Informationssicherheit entwickelt sich zunehmend von einer technischen Pflicht zur strategischen Schlüsselkomponente unternehmerischer Stabilität. In einer digitalisierten Wirtschaft, in der Datenverarbeitung weit über die eigenen Grenzen hinweg erfolgt, rückt das Sicherheitsniveau beauftragter Dienstleister und Subunternehmer in den Fokus der Unternehmensverantwortung. Ob Cloud-Dienstleister, Reinigungskräfte mit Zugang zu Serverräumen oder externe IT-Berater mit Vollzugriff auf operative Systeme – überall dort, wo Informationen durch Dritte berührt werden, entsteht ein Risiko, das unter Kontrolle gebracht werden muss.
Externe Partner als Risikofaktor in der IT-Sicherheitsarchitektur
Subunternehmer und externe Dienstleister sind integraler Bestandteil moderner Geschäftsprozesse, gleichzeitig aber auch ein nicht zu unterschätzender Risikofaktor für Datenlecks, Systemkompromittierungen und Compliance-Verstöße. Laut einer Studie des Ponemon Institute gehen 59 Prozent aller Datenschutzverletzungen auf Vorfälle bei Dritten zurück. Die Sicherheitskette ist nur so stark wie ihr schwächstes Glied, und dieses Glied befindet sich häufig außerhalb der eigenen Unternehmensgrenzen. Durch die zunehmende Komplexität globaler Lieferketten und IT-Outsourcing-Strukturen werden die Angriffsflächen größer und schwerer kontrollierbar.
Wachsende regulatorische Anforderungen an Unternehmen
Die Datenschutz-Grundverordnung der EU, das IT-Sicherheitsgesetz 2.0 sowie branchenspezifische Regulierungen wie ISO/IEC 27001 und BSI-Grundschutz fordern von Unternehmen ein proaktives Risikomanagement auch im Hinblick auf externe Dienstleister. Neben der technischen Absicherung und der regelmäßigen Kontrolle der Maßnahmen müssen Unternehmen nachweisen können, dass sie geeignete organisatorische und vertragliche Vorkehrungen zur Sicherstellung der Informationssicherheit getroffen haben. Das umfasst auch die Dokumentation von Auswahlprozessen, Schulungsmaßnahmen, Zugriffskontrollen und Notfallplänen für Vorfälle bei Dienstleistern.
Vertrauen ist keine Kontrollstrategie
Viele Unternehmen verlassen sich auf die Vertrauenswürdigkeit ihrer Partner – ein gefährlicher Trugschluss, wie zahlreiche Vorfälle in der Praxis zeigen. Der Fall eines externen Reinigungsunternehmens, das ungesicherte Zugangskarten für Hochsicherheitsbereiche unkontrolliert weitergab, oder der Datenabfluss über ein beauftragtes Callcenter, das mit unverschlüsselten Excel-Listen operierte, zeigen, wie mangelnde Kontrolle bei scheinbar banalen Dienstleistungen zu erheblichen Sicherheitslücken führen kann. Vertrauen muss durch überprüfbare Prozesse, Audits und durchsetzbare Verträge ersetzt werden.
Psychologie der Fahrlässigkeit
Häufig liegt das Problem weniger im bösen Willen externer Akteure, sondern in fehlender Sensibilisierung für Gefahren. Subunternehmer ohne Bezug zur Branche oder ohne fundierte Schulung im Datenschutz handeln oftmals unwissentlich fahrlässig. Sensible Informationen, die als unwichtig erscheinen, werden auf unsicheren Geräten gespeichert, aus Bequemlichkeit per WhatsApp geteilt oder im Rahmen von Routinearbeiten übersehen. Ein Sicherheitsvorfall ist dann nicht die Ausnahme, sondern nur eine Frage der Zeit. Das Verständnis für die Bedeutung unternehmensinterner Schutzmechanismen muss aktiv auf externe Partner übertragen werden.
Der entscheidende Wettbewerbsvorteil
Informationssicherheit gegenüber Subunternehmern ist längst nicht mehr nur ein Mittel zur Risikominimierung. In vielen Branchen wird die Fähigkeit, sensible Informationen sicher zu verwalten, zum zentralen Kriterium für Ausschreibungen und Kooperationen. Kunden und Geschäftspartner verlangen verlässliche Nachweise über ein belastbares Sicherheitsmanagement – auch über die Unternehmensgrenzen hinweg. Wer hier keine klaren Standards setzt, verliert nicht nur an Vertrauen, sondern auch an Marktanteilen. Informationssicherheit wird zum Wettbewerbsvorteil, der nur dann Bestand hat, wenn externe Dienstleister nahtlos eingebunden sind.
Zwischen externem Zugriff und interner Verantwortung
Subunternehmer agieren oft in hybriden Rollen zwischen Fremd- und Eigenverantwortung. Während sie faktisch Außenstehende sind, arbeiten sie mit internen Systemen, Anwendungen oder gar in Unternehmensräumen. Diese Nähe erfordert neue Formen der Kontrolle, ohne das Arbeitsverhältnis zu stören oder innovationshemmend zu wirken. Klassische Sicherheitsmechanismen wie Firewalls oder Zugangsausweise reichen nicht aus, um die neue Risikolandschaft abzubilden. Vielmehr braucht es eine dynamische Sicherheitsarchitektur, die auch kulturelle und prozessuale Aspekte berücksichtigt.
Die Bedeutung klarer Verantwortlichkeiten
Ein zentrales Problem im Umgang mit Subunternehmern liegt in der unklaren Verantwortungsverteilung. Wer trägt die Verantwortung, wenn durch ein beauftragtes Unternehmen Daten entwendet werden? Wer haftet bei einem Cyberangriff, der über ein unsicheres Gerät eines Dienstleisters erfolgt? Ohne eindeutige vertragliche Regelungen entsteht ein juristisches Vakuum, in dem sich keine Partei zur Verantwortung bekennt. Die Folge sind langwierige Schadensersatzverfahren, Imageschäden und massive Kosten. Unternehmen müssen daher proaktiv sicherstellen, dass ihre Pflichten nicht mit der Auftragsvergabe enden.
Zwischen Effizienz und Kontrolle
Gerade in Zeiten des Kostendrucks und flexibler Arbeitsmodelle setzen viele Unternehmen verstärkt auf Outsourcing. Dabei steht der Effizienzgedanke im Vordergrund, die Sicherheitsaspekte werden oft erst bei Problemen berücksichtigt. Diese Praxis birgt erhebliche Gefahren, denn je mehr operative Prozesse nach außen verlagert werden, desto größer wird der Kontrollverlust. Nur wer von Beginn an Informationssicherheit als festen Bestandteil jeder Dienstleisterbeziehung etabliert, kann langfristig erfolgreich und regelkonform agieren.
Sicherheitsbewusstsein muss Teil der Unternehmenskultur werden
Informationssicherheit lässt sich nicht isoliert betrachten, sondern muss tief in der Unternehmenskultur verankert sein. Das gilt für interne Mitarbeitende genauso wie für externe Partner. Ein ganzheitliches Sicherheitsmanagement betrachtet Subunternehmer nicht als Ausnahme, sondern als Teil des Sicherheitsökosystems. Schulungen, Awareness-Kampagnen, strukturierte Prüfprozesse und transparente Dokumentationen gehören dabei genauso dazu wie der technische Schutz der Infrastruktur. Nur so gelingt es, die Sicherheit von Daten und Systemen ganzheitlich zu gewährleisten.
Sicherheitskriterien bei der Auswahl externer Dienstleister
Die Auswahl von Subunternehmern im Kontext der Informationssicherheit verlangt weit mehr als nur wirtschaftliche Überlegungen. Unternehmen stehen vor der Aufgabe, Sicherheit und Zuverlässigkeit potenzieller Partner systematisch zu bewerten. Dabei spielen Qualifikationen, Erfahrungen, Zertifizierungen und Referenzen eine zentrale Rolle. Sicherheitsrelevante Aspekte wie der Umgang mit vertraulichen Daten, die Einhaltung gesetzlicher Vorgaben und die technische Ausstattung müssen bereits in der Auswahlphase transparent gemacht und bewertet werden.
Risikoanalyse als Grundlage der Entscheidungsfindung
Bevor ein Dienstleister eingebunden wird, sollte eine detaillierte Risikoanalyse durchgeführt werden, um potenzielle Schwachstellen und Gefahrenquellen frühzeitig zu identifizieren. Hierbei geht es insbesondere um die Art der Daten, die verarbeitet werden, die Systemzugänge, die benötigt werden, sowie die Auswirkungen eines möglichen Vorfalls. Diese Analyse entscheidet darüber, wie hoch das Sicherheitsniveau des Anbieters sein muss. Unternehmen, die mit hochsensiblen Informationen arbeiten, benötigen Partner mit nachweislich hohen Sicherheitsstandards, etwa durch eine ISO/IEC 27001-Zertifizierung.
Anforderungen an Detekteien und ähnliche Spezialdienstleister
Besondere Aufmerksamkeit verdienen sensible Dienstleister wie Detekteien, private Sicherheitsfirmen oder externe Ermittler. Sie erhalten nicht nur Zugriff auf kritische Informationen, sondern arbeiten häufig auch in Graubereichen, in denen juristische und ethische Standards leicht verletzt werden können. Unternehmen müssen sicherstellen, dass diese Akteure nicht nur diskret, sondern auch datenschutzkonform agieren. Ein Detektiv, der etwa personenbezogene Daten ohne ausreichende Rechtsgrundlage erhebt, bringt den Auftraggeber in unmittelbare rechtliche Verantwortung. Die Prüfung der Zulassung, die Vorlage eines Datenschutzkonzepts und die verbindliche Einhaltung gesetzlicher Grenzen sind daher zwingend erforderlich. Beauftrag eine professionelle Detektei, dann sollte das allerdings selbstverständlich sein.
Technische Mindestanforderungen und Schnittstellenkontrolle
Externe Dienstleister, die auf Systeme zugreifen oder Daten verarbeiten, müssen klar definierte technische Voraussetzungen erfüllen. Dazu gehört der Einsatz aktueller Sicherheitssoftware, verschlüsselter Kommunikationskanäle, Multi-Faktor-Authentifizierungen sowie kontrollierter Zugänge zu Cloud- oder On-Premise-Systemen. Ebenso entscheidend ist die Trennung der IT-Infrastruktur: Subunternehmer dürfen auf keinen Fall mit unsicheren oder privaten Geräten auf unternehmensinterne Systeme zugreifen. Die Kontrolle über die genutzten Schnittstellen und Protokolle entscheidet darüber, ob Sicherheitsmaßnahmen auch in der Praxis greifen.
Nachweis der Sicherheitskompetenz
Vertrauen basiert auf Nachweisen. Dienstleister, die sicherheitskritische Aufgaben übernehmen, müssen durch Dokumente, Testate und Audits belegen können, dass sie geeignete Schutzmaßnahmen etabliert haben. Dabei sind insbesondere externe Zertifikate wie ISO 27001, TISAX oder branchenspezifische Prüfzeichen relevant. Diese bieten eine objektive Grundlage zur Bewertung der Sicherheitskompetenz. Ein Anbieter ohne nachvollziehbare Schutzmaßnahmen stellt ein unkalkulierbares Risiko dar, selbst wenn er in anderen Bereichen hohe Standards erfüllt.
Relevanz der physischen Sicherheit
Nicht alle Informationsrisiken entstehen im digitalen Raum. Unternehmen müssen auch die physische Sicherheit in die Auswahl einbeziehen. Reinigungskräfte, Facility-Management-Firmen oder technische Dienstleister betreten oft sensible Bereiche und haben Zugriff auf Geräte, Serverräume oder Dokumente. Hier ist besondere Vorsicht geboten: Die Schulung dieser Mitarbeiter im Umgang mit Informationen, das Monitoring ihrer Tätigkeiten und der kontrollierte Zugang zu kritischen Bereichen sind essenziell. Auch klassische Schutzmaßnahmen wie Videoüberwachung, Protokollierung von Zutritten oder das Vier-Augen-Prinzip müssen berücksichtigt werden.
Sprachliche, kulturelle und rechtliche Aspekte bei internationalen Anbietern
Viele Unternehmen greifen auf internationale Dienstleister zurück, insbesondere im Bereich IT-Outsourcing, Kundensupport oder Datenverarbeitung. Dabei müssen nicht nur technische Standards, sondern auch sprachliche, kulturelle und rechtliche Rahmenbedingungen berücksichtigt werden. Datenschutzgesetze variieren stark zwischen einzelnen Ländern, ebenso das Verständnis für IT-Sicherheit. Verträge, Dokumentationen und Kommunikationsstrukturen müssen eindeutig sein und Missverständnisse vermeiden. Sprachliche Barrieren dürfen nicht zu Sicherheitslücken führen. Der Einsatz lokaler Ansprechpartner oder spezieller Sicherheitsverantwortlicher kann hier Risiken minimieren.
Dauerhafte Überprüfung und Re-Zertifizierung
Die Auswahl eines sicheren Dienstleisters ist kein einmaliger Vorgang, sondern Bestandteil eines kontinuierlichen Sicherheitsprozesses. Anbieter, die einmal als sicher eingestuft wurden, müssen regelmäßig überprüft werden. Technologische Veränderungen, Personalwechsel oder unternehmerische Umstrukturierungen können das Risiko erheblich verändern. Re-Zertifizierungen, periodische Audits und kontinuierliche Risikoanalysen gehören deshalb zum Standardprozess. Nur durch regelmäßige Überprüfung bleibt die externe Sicherheitsarchitektur stabil und belastbar.
Entscheidungsfreiheit versus Marktverfügbarkeit
In manchen Märkten ist die Auswahl sicherheitszertifizierter Dienstleister begrenzt. Unternehmen stehen hier vor einem Zielkonflikt: Soll ein weniger sicherer, aber verfügbarer Anbieter gewählt werden, oder wird auf eine Leistung verzichtet, um die Sicherheitsstandards nicht zu gefährden? Diese Entscheidung erfordert eine präzise Abwägung von Risiko und Nutzen. In kritischen Bereichen darf kein Kompromiss eingegangen werden. Es ist unter Umständen besser, Leistungen intern zu übernehmen oder zu verschieben, als unkalkulierbare Risiken einzugehen.
Nachhaltige Auswahlprozesse stärken das Sicherheitsprofil
Ein strukturierter Auswahlprozess externer Dienstleister stärkt langfristig die Sicherheit und Resilienz des Unternehmens. Durch einheitliche Prüfverfahren, klar dokumentierte Bewertungskriterien und transparente Entscheidungen entsteht ein belastbarer Rahmen, der auch gegenüber Aufsichtsbehörden Bestand hat. Unternehmen, die ihre Auswahlstrategien dokumentieren und laufend weiterentwickeln, signalisieren nicht nur Verantwortungsbewusstsein, sondern schützen sich aktiv vor Reputationsverlust, finanziellen Schäden und juristischen Konsequenzen. Die Auswahl eines Dienstleisters wird so zur Sicherheitsentscheidung mit strategischer Tragweite.
Vertragsgestaltung als Fundament der Sicherheitsbeziehung
Verträge mit Subunternehmern bilden die rechtliche Grundlage jeder sicherheitskritischen Zusammenarbeit. Sie müssen klare und bindende Regelungen enthalten, die Informationssicherheit als verbindlichen Bestandteil definieren. Dabei genügt es nicht, allgemeine Formulierungen zu verwenden. Vielmehr sind detaillierte Anforderungen an technische und organisatorische Maßnahmen festzuschreiben, ergänzt durch konkrete Umsetzungsfristen, Kontrollrechte und Eskalationsprozesse bei Verstößen. Nur so entsteht ein durchsetzbares Sicherheitsniveau, das auch vor Gericht Bestand hat.
Verbindliche Definition von Schutzmaßnahmen
Ein Vertrag muss alle relevanten Schutzmaßnahmen explizit benennen. Dazu gehören unter anderem Verschlüsselungsverfahren, Zugangskontrollen, Backup-Routinen, Sicherheitsupdates, Authentifizierungsprozesse und Notfallpläne. Die Maßnahmen sind nicht nur in ihrer Existenz, sondern auch hinsichtlich ihrer Qualität und Frequenz zu definieren. Ein Beispiel: Es reicht nicht aus, regelmäßige Updates zu verlangen – es muss festgelegt werden, wie oft, unter welchen Bedingungen und mit welchem Nachweis die Updates erfolgen. Diese Präzision verhindert Interpretationsspielräume und macht die Anforderungen überprüfbar.
Datenschutzvereinbarungen im Sinne der DSGVO
Sobald ein Subunternehmer personenbezogene Daten verarbeitet, greift Artikel 28 der Datenschutz-Grundverordnung. Die Auftragsverarbeitung muss durch einen speziellen Vertrag geregelt werden, der unter anderem Zweck, Art und Umfang der Verarbeitung, die eingesetzten Schutzmaßnahmen und die Rechte der betroffenen Personen festlegt. Auch muss geregelt werden, ob und in welchem Rahmen der Subunternehmer weitere Unterauftragnehmer einbinden darf. Der Verantwortliche bleibt gegenüber den Betroffenen und den Aufsichtsbehörden rechenschaftspflichtig und haftet für Datenschutzverstöße des Dienstleisters.
Kontroll- und Auditrechte als Vertragsbestandteil
Um Sicherheitsstandards dauerhaft durchzusetzen, benötigen Unternehmen vertraglich gesicherte Kontrollrechte. Dazu gehört das Recht auf regelmäßige Audits, die Einsicht in relevante Dokumentationen und die Durchführung von Penetrationstests oder Sicherheitsüberprüfungen. Diese Kontrollen können intern erfolgen oder durch externe Prüfer. Wichtig ist, dass sie unangekündigt möglich sind und bei festgestellten Mängeln konkrete Konsequenzen nach sich ziehen. Der Vertrag muss zudem sicherstellen, dass der Dienstleister aktiv an der Prüfung mitwirkt und alle notwendigen Informationen bereitstellt.
Verpflichtung zur Verschwiegenheit
Vertraulichkeit ist eine Grundvoraussetzung jeder Sicherheitsbeziehung. Dienstleister müssen vertraglich zur Verschwiegenheit verpflichtet werden – nicht nur während der Vertragslaufzeit, sondern auch darüber hinaus. Die Vereinbarung muss alle Informationen erfassen, die als vertraulich gelten, und darf keine Lücken lassen, durch die sensible Daten weitergegeben oder genutzt werden könnten. Verstöße müssen mit Vertragsstrafen sanktioniert werden. Nur durch eine klare Definition der Geheimhaltungspflichten und der damit verbundenen Sanktionen lässt sich ein wirksamer Schutz erreichen.
Incident-Response-Verpflichtungen
Der Vertrag muss regeln, wie bei Sicherheitsvorfällen zu verfahren ist. Der Dienstleister ist verpflichtet, Vorfälle unverzüglich zu melden, bei der Aufklärung zu kooperieren und Sofortmaßnahmen einzuleiten. Die Meldepflicht sollte an feste Fristen gebunden sein, etwa 24 Stunden nach Entdeckung. Außerdem muss definiert sein, wie über Vorfälle berichtet wird, welche Informationen enthalten sein müssen und wer auf Unternehmensseite informiert wird. Ein strukturierter Incident-Response-Prozess minimiert Reaktionszeiten und verhindert Eskalationen.
Regelung von Haftung und Schadenersatz
Im Fall eines Vorfalls muss klar geregelt sein, wer für entstandene Schäden haftet. Der Vertrag muss festlegen, unter welchen Bedingungen der Subunternehmer haftbar gemacht werden kann, welche Schadensarten abgedeckt sind und ob Höchstgrenzen gelten. Es empfiehlt sich, sicherheitsrelevante Pflichtverletzungen aus etwaigen Haftungsbegrenzungen auszuschließen. Auch eine Pflicht zum Abschluss einer entsprechenden Berufshaftpflichtversicherung sollte vertraglich verlangt werden. So wird sichergestellt, dass Schadensersatzforderungen im Ernstfall durchgesetzt werden können.
Regelung zur Beendigung der Zusammenarbeit
Bereits im Vertrag muss definiert sein, wie mit Daten, Systemzugängen und Geräten umzugehen ist, wenn die Zusammenarbeit endet. Dazu gehört die Rückgabe oder Löschung aller Daten, die Entsperrung aller Schnittstellen und die Deaktivierung aller Zugangsberechtigungen. Diese Vorgänge müssen überprüfbar dokumentiert werden. Unternehmen sollten das Recht haben, die vollständige Umsetzung der Offboarding-Maßnahmen zu prüfen. So wird verhindert, dass Daten im System des Dienstleisters verbleiben oder versehentlich weiterverarbeitet werden.
Verpflichtung zur Schulung und Sensibilisierung
Informationssicherheit steht und fällt mit dem Verhalten der beteiligten Personen. Deshalb muss der Vertrag auch die Pflicht zur Schulung aller involvierten Mitarbeiter enthalten. Themen wie Datenschutz, Phishing-Prävention, Passwortmanagement oder der sichere Umgang mit Systemen müssen regelmäßig geschult und dokumentiert werden. Auch für neue Mitarbeiter müssen Einarbeitungsprozesse mit Sicherheitsmodulen definiert sein. Unternehmen sichern sich so gegen menschliches Fehlverhalten ab und schaffen eine gemeinsame Sicherheitskultur.
Eskalationsmechanismen bei Verstößen
Nicht jeder Verstoß rechtfertigt eine sofortige Vertragskündigung – aber jeder Vorfall muss Konsequenzen haben. Der Vertrag sollte klare Eskalationsmechanismen definieren, etwa schriftliche Verwarnungen, die Verpflichtung zur Mängelbeseitigung innerhalb definierter Fristen oder die Zahlung von Vertragsstrafen. Im Wiederholungsfall oder bei grober Fahrlässigkeit kann das Kündigungsrecht greifen. Diese Regelungen fördern die Ernsthaftigkeit der Sicherheitsvorgaben und machen deutlich, dass Verstöße nicht toleriert werden.
Datenweitergabe unter strenger Kontrolle
Die Weitergabe von Daten an Subunternehmer erfordert höchste Sorgfalt. Unternehmen müssen sicherstellen, dass nur die für die Leistungserbringung notwendigen Informationen weitergeleitet werden. Eine übermäßige oder pauschale Datenweitergabe stellt ein erhebliches Sicherheitsrisiko dar und kann datenschutzrechtlich unzulässig sein. Datenminimierung ist nicht nur gesetzlich gefordert, sondern schützt auch vor Missbrauch und Lecks. Jedes Datenelement, das ein Dienstleister erhält, muss in seiner Relevanz begründbar und dokumentierbar sein.
Schutz von personenbezogenen und sensiblen Unternehmensdaten
Subunternehmer verarbeiten nicht nur personenbezogene Daten, sondern auch Betriebs- und Geschäftsgeheimnisse. Dazu zählen strategische Planungen, interne Verfahren, Preislisten, Kundenverträge oder technische Dokumentationen. Die Offenlegung solcher Informationen birgt wirtschaftliche Risiken, da sie zur Wettbewerbsverzerrung, Industriespionage oder Erpressung genutzt werden können. Eine systematische Kategorisierung der übergebenen Daten nach Schutzklassen sowie abgestufte Zugriffskonzepte gehören zu den Grundpfeilern eines wirksamen Informationsschutzes.
Verschlüsselung als unverzichtbare Sicherheitsmaßnahme
Die Übertragung und Speicherung von Daten bei Subunternehmern muss zwingend verschlüsselt erfolgen. Das betrifft sowohl ruhende Daten in Datenbanken oder Dokumenten als auch Datenströme in Netzwerken und Schnittstellen. Symmetrische und asymmetrische Verschlüsselungsverfahren müssen dem Stand der Technik entsprechen und regelmäßig aktualisiert werden. Die Verwaltung der Schlüssel darf ausschließlich zentral durch das beauftragende Unternehmen erfolgen oder durch den Subunternehmer unter streng kontrollierten Bedingungen mit klarer Rollenverteilung.
Zugriffskontrollen als Schutzbarriere
Zugriffsrechte auf Daten und Systeme müssen granular gesteuert werden. Subunternehmer dürfen ausschließlich Zugriff auf jene Informationen erhalten, die für ihre spezifische Aufgabe erforderlich sind. Rollenbasierte Zugriffskonzepte, zeitlich begrenzte Berechtigungen und die Protokollierung aller Zugriffe sind unverzichtbar. Zusätzlich sollten sensible Informationen durch technische Maßnahmen wie Sichtschutz, Maskierung oder Anonymisierung zusätzlich gesichert werden. Nur durch eine präzise Steuerung der Zugänge kann sichergestellt werden, dass keine unnötigen Angriffsflächen entstehen.
Nachvollziehbarkeit durch umfassende Protokollierung
Unternehmen müssen jederzeit nachvollziehen können, welche Daten wann und durch wen verarbeitet wurden. Dazu sind lückenlose Protokolle über alle Zugriffe, Bearbeitungen, Exporte und Löschvorgänge notwendig. Diese Protokolle müssen auswertbar, manipulationssicher und aufbewahrungspflichtig sein. Im Falle eines Vorfalls sind sie entscheidend für die Ursachenanalyse, für die Einhaltung der Meldepflichten gegenüber Aufsichtsbehörden und für die gerichtliche Beweisführung. Moderne SIEM-Systeme können hier helfen, Anomalien frühzeitig zu erkennen.
Datenspeicherung in sicheren Infrastrukturen
Die Speicherung der Daten darf nur in zertifizierten Rechenzentren erfolgen, die physisch und logisch abgesichert sind. Für europäische Unternehmen ist der Speicherort zudem von entscheidender Bedeutung im Hinblick auf die DSGVO. Eine Speicherung in Drittstaaten ohne angemessenes Datenschutzniveau ist grundsätzlich problematisch und muss vertraglich ausgeschlossen oder durch geeignete Garantien abgesichert werden. Auch bei Cloud-Dienstleistern muss das Unternehmen prüfen, wo sich die Datenzentren befinden und ob Zugriffsmöglichkeiten durch Behörden Dritter bestehen.
Umgang mit eigenen Unterauftragnehmern
Viele Subunternehmer arbeiten nicht allein, sondern setzen wiederum andere Dienstleister ein. Diese Kette der Auftragsverarbeitung erhöht die Komplexität und das Risiko erheblich. Deshalb müssen beauftragende Unternehmen vertraglich festlegen, dass der Subunternehmer keine weiteren Unterauftragnehmer ohne vorherige Zustimmung einsetzen darf. Jeder neue Dienstleister muss denselben Sicherheitsprüfungen und vertraglichen Verpflichtungen unterworfen werden. Ohne eine strikte Kontrolle entsteht ein unkontrollierbarer Datenfluss durch mehrere Hände.
Reaktionspflicht bei Datenpannen
Tritt beim Subunternehmer eine Datenpanne auf, ist das beauftragende Unternehmen unmittelbar betroffen. Die DSGVO sieht eine Meldefrist von 72 Stunden vor, sobald eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Diese Frist gilt unabhängig davon, ob der Vorfall intern oder bei einem Dienstleister passiert ist. Deshalb muss vertraglich geregelt sein, dass der Subunternehmer Datenpannen umgehend meldet, bei der Aufklärung mitwirkt und dokumentiert, welche Maßnahmen zur Schadensbegrenzung eingeleitet wurden.
Technische und organisatorische Sicherheitsmaßnahmen im Detail
Nicht jede Branche und jede Dienstleistung erfordert dasselbe Sicherheitsniveau. Dennoch müssen grundlegende technische und organisatorische Maßnahmen (TOMs) immer erfüllt werden. Dazu zählen unter anderem Firewalls, Antivirusprogramme, regelmäßige Sicherheitsupdates, Zugriffskontrollen, Notfallpläne und Mitarbeiterschulungen. Unternehmen müssen diese Maßnahmen individuell festlegen und in regelmäßigen Abständen auf ihre Wirksamkeit prüfen. Ein einmal erstelltes Maßnahmenpaket genügt nicht – es muss dynamisch an neue Bedrohungen und technische Entwicklungen angepasst werden.
Sensibilisierung für Datenethik und Verantwortlichkeit
Informationssicherheit endet nicht bei technischen Maßnahmen. Die ethische Verantwortung im Umgang mit Daten muss auch externen Partnern vermittelt werden. Subunternehmer sollen nicht nur rechtskonform handeln, sondern verstehen, welche Verantwortung sie für die digitalen Werte ihrer Auftraggeber tragen. Dazu gehört das Bewusstsein, dass Daten keine abstrakten Objekte, sondern Ausdruck von Vertrauen und Teil der wirtschaftlichen Identität eines Unternehmens sind. Wer Daten verarbeitet, trägt Mitverantwortung für Integrität, Vertraulichkeit und Verfügbarkeit – auch ohne direkten Kundenkontakt.
Offboarding-Prozesse mit Sicherheitsfokus
Wird die Zusammenarbeit mit einem Subunternehmer beendet, beginnt eine besonders kritische Phase für die Informationssicherheit. Daten, Systeme und Prozesse müssen so entkoppelt werden, dass keinerlei Zugriffsmöglichkeiten bestehen bleiben. Der Offboarding-Prozess muss klar definiert, dokumentiert und kontrolliert werden. Subunternehmer dürfen nach Vertragsende keinerlei Daten mehr speichern oder verarbeiten. Alle Informationen müssen entweder vollständig zurückgegeben oder nachweislich gelöscht werden. Der Prozess umfasst auch die Sicherstellung, dass Kopien, Backups oder Zwischenspeicher vollständig bereinigt wurden.
Löschung, Rückgabe und Dokumentation von Daten
Die Entscheidung, ob Daten gelöscht oder zurückgegeben werden müssen, hängt vom jeweiligen Vertragsverhältnis und den geltenden gesetzlichen Anforderungen ab. In jedem Fall ist eine schriftliche Bestätigung über die vollständige Datenlöschung oder -rückgabe erforderlich. Für besonders sensible Daten kann zudem ein technisches Löschprotokoll gefordert werden, das den Prozess detailliert beschreibt und revisionssicher archiviert wird. Unternehmen sollten sich diese Bestätigungen immer rechtzeitig einholen, um bei späteren Konflikten oder Prüfungen abgesichert zu sein.
Entzug von Systemzugängen und digitalen Identitäten
Neben den physischen Datenbeständen müssen auch digitale Identitäten deaktiviert werden. Subunternehmer haben im Laufe der Zusammenarbeit häufig Zugriff auf interne Plattformen, Kommunikationsdienste, Cloud-Services oder VPN-Verbindungen erhalten. Alle diese Zugänge müssen zeitgleich und vollständig entzogen werden. Dabei darf kein Konto, kein Passwort und keine API-Verbindung übersehen werden. Ein abgestimmter Plan zur Berechtigungsverwaltung und die automatische Deaktivierung bei Vertragsende verhindern, dass ehemalige Partner noch Monate später über versteckte Wege Zugang erhalten.
Kontrolle über physische Datenträger und Geräte
Subunternehmer erhalten in vielen Fällen auch physische Datenträger, wie USB-Sticks, externe Festplatten, Firmenlaptops oder mobile Endgeräte. Diese Geräte müssen vollständig zurückgegeben und überprüft werden. Ein reiner Rücktransport genügt nicht – es muss geprüft werden, ob alle sensiblen Daten gelöscht und keine unautorisierten Kopien erstellt wurden. Die Übergabe sollte protokolliert und durch Unterschriften bestätigt werden. Geräte, die aus Sicherheitsgründen nicht wiederverwendet werden dürfen, sind fachgerecht zu entsorgen oder durch zertifizierte Dienstleister zu vernichten.
Kommunikation des Austritts im Unternehmen
Wird ein Subunternehmer aus dem Unternehmen ausgegliedert, muss auch die interne Kommunikation entsprechend erfolgen. Fachabteilungen, IT-Support, Datenschutzbeauftragte und Sicherheitsverantwortliche müssen über den Austritt informiert werden, um eigene Schutzmaßnahmen anzustoßen. Nur wenn alle betroffenen Stellen aktiv eingebunden sind, gelingt ein vollständiger und risikofreier Entzug von Rechten und Zugriffsmöglichkeiten. Besonders wichtig ist auch, betroffene Mitarbeitende darauf hinzuweisen, keine Informationen mehr an den Dienstleister zu übermitteln oder diesen versehentlich in Systeme einzubinden.
Prüfpflicht für die Vertragserfüllung zum Projektende
Auch bei einem geplanten und geordneten Projektabschluss ist eine Sicherheitsprüfung unerlässlich. Das Unternehmen muss überprüfen, ob alle vertraglich vereinbarten Maßnahmen tatsächlich erfüllt wurden. Dies betrifft insbesondere die Löschung sensibler Daten, die vollständige Rückgabe von Informationen und Geräten sowie die korrekte Beendigung der Systemzugriffe. Abweichungen müssen dokumentiert und bei Bedarf rechtlich verfolgt werden. Nur so lässt sich vermeiden, dass unerkannte Restzugriffe oder Datenreste zu späteren Sicherheitsvorfällen führen.
Umgang mit Sicherheitsvorfällen nach der Trennung
Nicht alle Risiken enden mit dem letzten Vertragstag. In einigen Fällen werden Sicherheitsvorfälle erst im Nachhinein entdeckt, etwa durch Loganalysen, Rückmeldungen von Kunden oder Audits. Deshalb sollte auch nach Vertragsende eine Frist bestehen, in der Subunternehmer zur Unterstützung bei der Aufklärung verpflichtet sind. Diese Nachwirkungspflicht muss vertraglich geregelt und durchsetzbar sein. Gerade bei größeren IT-Projekten ist es sinnvoll, eine Übergangsphase einzuplanen, in der technische Fragen geklärt und eventuelle Lücken geschlossen werden können.
Bewertung und Archivierung der Partnerschaft
Nach Abschluss der Zusammenarbeit sollten Unternehmen eine formale Bewertung des Dienstleisters vornehmen. Neben der wirtschaftlichen Leistung ist dabei besonders die Einhaltung der Sicherheitsanforderungen zu bewerten. Erkenntnisse aus dieser Bewertung fließen in die Risikoeinschätzung zukünftiger Kooperationen ein und helfen, Fehler nicht zu wiederholen. Alle sicherheitsrelevanten Dokumente, Protokolle und Berichte aus der Zusammenarbeit müssen in geeigneter Form archiviert werden, um im Bedarfsfall auf sie zugreifen zu können.
Integration des Subunternehmermanagements in das ISMS
Ein wirksames Informationssicherheitsmanagementsystem (ISMS) integriert Subunternehmer nahtlos in die eigenen Sicherheitsprozesse. Externe Partner müssen denselben Regeln unterliegen wie interne Mitarbeiter. Dazu gehört nicht nur die Kontrolle, sondern auch die Schulung, Dokumentation und regelmäßige Überprüfung. Unternehmen, die Subunternehmer konsequent in ihr ISMS einbinden, reduzieren das Risiko von Schwachstellen an der Schnittstelle zwischen internem und externem Bereich erheblich. Die kontinuierliche Pflege dieser Integration ist entscheidend für die langfristige Sicherheitsarchitektur.
Fazit
Subunternehmer stellen für Unternehmen eine wertvolle Ressource dar, bergen aber gleichzeitig erhebliche Risiken für die Informationssicherheit. Die Auswahl, vertragliche Bindung, Datenweitergabe und das Offboarding müssen systematisch geplant, dokumentiert und kontrolliert werden. Nur durch klare Regeln, überprüfbare Maßnahmen und eine konsequente Sicherheitskultur lassen sich Schwachstellen vermeiden und Compliance sicherstellen. Unternehmen, die Informationssicherheit nicht als bloße Pflicht, sondern als strategischen Erfolgsfaktor begreifen, können externe Partnerschaften nutzen, ohne ihre digitalen Werte zu gefährden.
Über den Autor
-
Seit mehr als 30 Jahren in leitender Tätigkeit im Bereich IT
Datenschutzbeauftragter
Zertifizierter Information Security Manager nach ISO 27001
Zertifizierter Information Security Auditor nach ISO 27001
Seit 2016 selbstständig im Bereich IT-Dienstleistungen
Betreiber von infomationssicherheit.at
Letzte Beiträge
Allgemein7. April 2025Social Engineering und Abhörschutz: Rechtliche Rahmenbedingungen in Österreich
Allgemein30. März 2025Top 8 Best Practices für ein sicheres Remote-Work-Setup
Allgemein10. März 2025Informationssicherheit bei Subunternehmern: Auswahl, Verträge und Datenverarbeitung
Allgemein14. Februar 2025EU AI Act: Anforderungen und Vorbereitung für Unternehmen
