Ein wesentlicher Teil der DSGVO-Umsetzung ist der geregelte Umgang mit Dienstleistern, die im Rahmen der Wertschöpfung Daten vom verantwortlichen Unternehmen erhalten haben.
Der Vertrag für Auftragsverarbeitung regelt in Ergänzung zum Dienstleistungsvertrag die Pflichten des Dienstleisters und dient als Beleg für die ordentliche Absicherung der Daten mit Technisch- Organisatorischen Maßnahmen. Sublieferanten des Dienstleisters werden ebenfalls angeführt, wenn sie Zugriff auf Daten erhalten.
Leider lässt die DSGVO bei der Entscheidung, ob ein Dienstleister Auftragsverarbeiter ist oder nicht, einigen Spielraum. Im Detail muss also auf jeden Fall überprüft werden, ob Mittel und Zwecke der Dienstleistung vom Verantwortlichen festgelegt werden.