Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.5.8: Beauftragung eines Unterauftragnehmers zur Verarbeitung personenbezogener Daten

Gemäß Kontrollmaßnahme A.2.5.8 dürfen Organisationen personenbezogene Daten nur dann an Unterauftragnehmer vergeben, wenn dies im Kundenvertrag festgelegt ist. Dadurch wird sichergestellt, dass Unterauftragnehmervereinbarungen autorisiert und vertraglich geregelt sind und denselben Datenschutzverpflichtungen unterliegen wie die primäre Verarbeitungsbeziehung.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.5.8?

Die Organisation darf einen Unterauftragnehmer nur gemäß dem Kundenvertrag mit der Verarbeitung personenbezogener Daten beauftragen.

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) bildet die vertragliche Grundlage für die Unterauftragsverarbeitung. Auftragsverarbeiter dürfen die Verarbeitung personenbezogener Daten nicht ohne Weiteres an Unterauftragnehmer delegieren. Jede Unterauftragsverarbeitung bedarf der Genehmigung durch den Kundenvertrag, und der Unterauftragnehmer muss gleichwertigen Datenschutzverpflichtungen unterliegen. Dies schützt die Interessen des Verantwortlichen entlang der gesamten Verarbeitungskette.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.5.8) enthält folgende Hinweise:

  • Schriftliche Kundengenehmigung — Vor Beginn jeglicher Bearbeitung durch einen Unterauftragnehmer ist eine schriftliche Genehmigung des Kunden erforderlich. Diese kann in Form von Vertragsklauseln oder einer gesonderten Vereinbarung erfolgen.
  • Schriftlicher Subunternehmervertrag — Die Organisation muss mit jedem Subunternehmer einen schriftlichen Vertrag abschließen.
  • Tabelle A.2 Steuerung — Der Subunternehmervertrag muss alle anwendbaren Kontrollmechanismen berücksichtigen von Tabelle A.2 (die PII-Prozessorsteuerung)
  • Standardimplementierung — Subunternehmer sollten alle Kontrollen gemäß A.2 standardmäßig implementieren; Ausnahmen müssen begründet werden.
  • Web Link A.2.5.2: Grundlage für die Übermittlung personenbezogener Daten zwischen Rechtsordnungen für damit zusammenhängende Anforderungen
  • Web Link A.2.5.4: Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte für damit zusammenhängende Anforderungen

Die Leitlinien legen eine klare Kette vertraglicher Verpflichtungen fest. Der Kunde genehmigt die Unterverarbeitung, der Auftragsverarbeiter schließt einen Vertrag mit dem Unterauftragnehmer ab, und der Vertrag mit dem Unterauftragnehmer spiegelt die Verpflichtungen aus dem Vertrag des Auftragsverarbeiters mit dem Kunden wider. Ausnahmen von den Kontrollen gemäß A.2 sind nur zulässig, wenn sie gerechtfertigt sind, um sicherzustellen, dass der Datenschutz im Verlauf der Verarbeitung nicht beeinträchtigt wird.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.5.8 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 28 (2) — Der Auftragsverarbeiter darf ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter einsetzen.
  • Artikel 28 (4) — Beauftragt ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter, so sind diesem anderen Auftragsverarbeiter durch einen Vertrag dieselben Datenschutzverpflichtungen aufzuerlegen, die im Vertrag zwischen dem Verantwortlichen und dem ersten Auftragsverarbeiter festgelegt sind, insbesondere durch die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

Datenschutz Artikel 28 Absatz 4 sieht eine Weitergabe der Pflichten vor: Der Vertrag mit dem Unterauftragnehmer muss diesem dieselben Pflichten auferlegen, die der Verantwortliche dem Auftragsverarbeiter auferlegt hat. Kommt der Unterauftragnehmer seinen Pflichten nicht nach, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen vollumfänglich haftbar.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung in die übergeordnete Klauselstruktur integriert. Die Ausgabe von 2025 enthält A.2.5.8 als eigenständige Kontrollmaßnahme mit Umsetzungshinweisen in B.2.5.8, die ausdrücklich vorschreiben, dass Unterauftragnehmerverträge alle relevanten Punkte abdecken müssen. Tabelle A.2 Die Kontrollmechanismen werden von Subunternehmern standardmäßig zur Implementierung aller A.2-Kontrollen mit begründeten Ausnahmen verpflichtet. Siehe dazu die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.5.8 achten die Prüfer typischerweise auf Folgendes:

  • Kundengenehmigung — Schriftliche Genehmigung jedes Kunden für den Einsatz von Unterauftragnehmern, entweder durch Vertragsklauseln (allgemeine Genehmigung) oder durch spezifische Genehmigungen (spezifische Genehmigung)
  • Subunternehmerverträge — Schriftliche Verträge mit jedem Subunternehmer, die alle anwendbaren A.2-Kontrollen abdecken und dokumentierte Begründungen für etwaige Ausnahmen enthalten
  • Weitergabe von Verpflichtungen — Nachweis dafür, dass die dem Auftragsverarbeiter durch den Kundenvertrag auferlegten Verpflichtungen an Unterauftragnehmerverträge weitergegeben wurden.
  • A.2 Kontrollabdeckung — Eine Übersicht, die zeigt, welche A.2-Kontrollen in den einzelnen Unterauftragnehmerverträgen berücksichtigt werden und die Begründung für etwaige Ausnahmen.
  • Überwachung der Einhaltung der Vorschriften durch Subunternehmer — Nachweise dafür, dass die Organisation die Einhaltung der vertraglichen Verpflichtungen durch Subunternehmer überwacht, wie z. B. Prüfungsergebnisse, Zertifizierungsstatus und Leistungsbeurteilungen

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.5.7 Offenlegung von Subunternehmern Subunternehmer müssen dem Kunden vor der Beauftragung offengelegt werden.
A.2.2.2 Kundenvereinbarung Der Kundenvertrag genehmigt die Unterauftragsbearbeitung und definiert die Bedingungen
A.2.5.3 Länder für die Übermittlung personenbezogener Daten Die Verarbeitungsstandorte der Subunternehmer müssen dokumentiert und offengelegt werden.
A.2.4.3 Rückgabe, Übertragung oder Entsorgung Subunternehmer müssen die Vorschriften zur Entsorgung personenbezogener Daten am Vertragsende einhalten.
A.2.2.6 Pflichten des Kunden Nachweise über die Einhaltung der Vorschriften durch Subunternehmer unterstützen die Kundenverantwortung

Für wen gilt diese Regelung?

A.2.5.8 gilt ausschließlich für PII-ProzessorenWenn ein Auftragsverarbeiter einen Unterauftragnehmer einsetzt, durchlaufen die personenbezogenen Daten des Verantwortlichen eine zusätzliche Verarbeitungsebene. Der Verantwortliche benötigt die Gewissheit, dass diese zusätzliche Ebene denselben Schutz bietet wie die primäre Verarbeitungsbeziehung. Diese Kontrollmaßnahme stellt sicher, dass die Unterverarbeitung autorisiert und vertraglich geregelt ist und den vollständigen Kontrollen gemäß Artikel A.2 unterliegt.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für das Subunternehmer-Management?

ISMS.online bietet praktische Instrumente für das Management der Einbindung von Subunternehmern:

  • Vertragsmanagement — Unterauftragnehmerverträge mit Versionskontrolle speichern und verwalten, wobei jeder Vertrag mit den entsprechenden A.2-Kontrollen und Kundengenehmigungen verknüpft wird.
  • Steuerungszuordnung — Ordnen Sie jeden Unterauftragnehmervertrag allen A.2-Kontrollen zu, mit strukturierten Feldern zur Dokumentation der Kontrollabdeckung und begründeten Ausnahmen.
  • Autorisierungsverfolgung — Kundengenehmigungen für jeden Unterauftragnehmer erfassen, einschließlich Genehmigungsart (spezifisch oder allgemein), Datum der Erteilung und etwaiger Bedingungen
  • Compliance-Überwachung — Überwachung der Einhaltung der Vorschriften durch Subunternehmer durch regelmäßige Bewertungen, Nachverfolgung von Zertifizierungen und Management der Auditergebnisse
  • Weitergabe von Verpflichtungen — Vergleichen Sie die vertraglichen Verpflichtungen des Kunden mit den vertraglichen Verpflichtungen des Subunternehmers, um sicherzustellen, dass alle Anforderungen ordnungsgemäß weitergegeben wurden.

Häufig gestellte Fragen

Was muss der Subunternehmervertrag beinhalten?

Der Subunternehmervertrag muss alle anwendbaren Kontrollmechanismen berücksichtigen. Tabelle A.2 (Die Kontrollen des PII-Auftragsverarbeiters). Dies umfasst Verarbeitungsanweisungen, Vertraulichkeitsverpflichtungen, Sicherheitsmaßnahmen, die Wahrung der Rechte betroffener Personen, die Meldung von Datenschutzverletzungen, die Datenlöschung, Bestimmungen zur grenzüberschreitenden Übermittlung und Prüfungsrechte. Der Unterauftragnehmer sollte alle Kontrollen gemäß A.2 standardmäßig implementieren. Jegliche Ausnahmen müssen dokumentiert und anhand des Umfangs der Unterverarbeitung begründet werden. Der Vertrag muss zudem dieselben Verpflichtungen enthalten, die der Kundenvertrag dem Auftragsverarbeiter auferlegt.

Wer haftet, wenn der Subunternehmer seine Verpflichtungen verletzt?

Gemäß der DSGVO bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragnehmers vollumfänglich haftbar. Kommt der Unterauftragnehmer seinen datenschutzrechtlichen Pflichten nicht nach, haftet der Auftragsverarbeiter. Daher sind solide Unterauftragnehmerverträge, die Überwachung der Einhaltung der Vorschriften und Prüfrechte unerlässlich. Der Auftragsverarbeiter sollte zudem sicherstellen, dass sein Unterauftragnehmervertrag angemessene Haftungsfreistellungsbestimmungen enthält, um das wirtschaftliche Risiko einer Nichteinhaltung durch den Unterauftragnehmer abzusichern.

Sind Ausnahmen von den Kontrollen gemäß A.2 gerechtfertigt?

Ja, Ausnahmen müssen jedoch anhand des Umfangs und der Art der Unterverarbeitung begründet werden. Beispielsweise kann ein Unterauftragnehmer, der lediglich Infrastruktur-Hosting anbietet (ohne Zugriff auf personenbezogene Daten), berechtigterweise Kontrollen in Bezug auf Betroffenenrechte oder die Offenlegung personenbezogener Daten ausnehmen. Kontrollen in Bezug auf Sicherheit, Vertraulichkeit und Meldung von Datenschutzverletzungen bleiben jedoch weiterhin gültig. Die Begründung muss dokumentiert, einer Risikobewertung unterzogen und genehmigt werden. Die Prüfer werden die Ausnahmen genau prüfen, um sicherzustellen, dass dadurch keine Datenschutzlücken entstehen.

Einkaufsteams nutzen diese Kontrollen zur Bewertung von Verarbeitern – siehe unsere Leitfaden für Beschaffungsanforderungen und Leitfaden zur Lieferantenbewertung.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt detailliert, was die Prüfer der Subunternehmerdokumentation erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.