Was ein DPO bei der Auswahl einer Background-Check-Plattform prüfen muss — die 23-Punkte-Checkliste
Verwandte Artikel
DPOs gatekeepern Enterprise-Käufe von Compliance-Software. Diese 23 Fragen entscheiden, ob ein Anbieter durchkommt — oder zurück ans Reißbrett geschickt wird. Die Liste ist aus 18 Monaten DPO-Reviews destilliert, in denen Anbieter zwischen Validato, Certn, Indicium und drei US-zentrierten Lösungen verglichen wurden. Wer fünf der 23 Punkte nicht sauber beantworten kann, hat den Auftrag verloren — bevor das Demo beginnt.
1. Warum DPOs die eigentlichen Entscheidungsträger sind
Im Mittelstand ist der DPO oft nebenberuflich besetzt. Im Konzern hauptberuflich, mit Stab. In beiden Fällen gilt: ohne DPO-Freigabe wird kein Vertrag unterschrieben. Procurement kann den Preis aushandeln, IT die Integration definieren — aber der DPO entscheidet, ob der Vertrag überhaupt in die Unterschriftsmappe gelangt.
Die häufigste Anbieter-Pathologie: „Wir sind DSGVO-konform" als Marketing-Aussage, ohne hinterlegte Substanz. Diese 23 Fragen entlarven solche Aussagen binnen 30 Minuten. Sie sind in fünf Kategorien organisiert, die der typische DPO-Workflow durchläuft: AVV-Klauseln, Schrems-II-Risiko, TOMs nach Art. 32, Sub-AV-Transparenz, DSFA.
Kategorie 1: AVV-Klauseln nach Art. 28 DSGVO
Punkt 1: Existiert ein AVV-Entwurf in der Verhandlungssprache?
Was zu fragen: „Können Sie mir den AVV-Entwurf in deutscher Sprache binnen 5 Werktagen schicken?"
Gute Antwort: ein PDF-Entwurf eintrifft, in DE mit anwaltlich präziser Terminologie, mit konsistenter Abkürzungspraxis (z.B. „Auftragsverarbeiter" statt englischer Calque „Datenprozessor"), mit Verweis auf Art. 28 DSGVO und etwaige nationale Konkretisierungen.
Rote Flagge: AVV nur auf Englisch, mit Übersetzung „auf Anfrage". Bei einer regulierten Mandantschaft bedeutet das: 4–8 Wochen Verzug, weil ein hauseigener oder externer Anwalt die Übersetzung prüfen muss.
Punkt 2: Wie wird die Sub-Auftragsverarbeiter-Liste verhandelt?
Was zu fragen: „Welche Sub-Auftragsverarbeiter setzen Sie heute ein? Werde ich vor Ergänzungen informiert? Mit welcher Frist? Mit welchem Widerspruchsrecht?"
Gute Antwort: aktuelle Liste mit Namen, Standorten, Rolle (z.B. „SMTP-Versand", „Cloud-Hosting", „Strafregister-Lookup-Datenbank"). Vorinformation 30 Tage vor Hinzufügung neuer Sub-AVs, Widerspruchsrecht binnen 14 Tagen, bei berechtigtem Widerspruch Sonderkündigungsrecht.
Rote Flagge: „Sub-AVs werden nach Vendor-Ermessen ergänzt" — vertraglich nicht akzeptabel.
Punkt 3: Welche Audit-Rechte sind vereinbart?
Was zu fragen: „Habe ich ein Vor-Ort-Audit-Recht? Habe ich Remote-Audit-Recht? Bekomme ich aktuelle Penetrationstestberichte?"
Gute Antwort: Vor-Ort-Audit nach Vorankündigung 30 Tage, max. 1× pro Jahr, Kosten-tragend bei begründetem Verdacht für den Vendor, sonst für den Käufer. Ergänzend: Audit-Bericht-Sharing (SOC-2 Typ II oder ISO-27001-Audit-Reports unter NDA).
Rote Flagge: „Audit-Recht nur über schriftliche Stichprobe-Anfragen, kein Vor-Ort-Zugang" — nicht akzeptabel bei BaFin-relevanten Daten.
Punkt 4: Wie ist die Datenrückgabe nach Vertragsende geregelt?
Was zu fragen: „Bekomme ich alle meine Daten nach Vertragsende? In welchem Format? In welcher Frist? Wie wird die Löschung beim Vendor bestätigt?"
Gute Antwort: Datenexport in CSV oder JSON, binnen 30 Tagen nach Beendigung. Schriftliche Bestätigung der Löschung mit Datum, unterzeichnet vom Vendor-DPO. Ggf. Aufbewahrungspflicht bei steuer- oder aufsichtsrelevanten Daten ist kontraktlich klar geregelt.
Rote Flagge: „Datenrückgabe nach Vereinbarung im Einzelfall" oder „Datenexport nur bei einmaliger Vergütung von € X" — nicht akzeptabel.
Punkt 5: Welche Haftungsbegrenzungen gelten?
Was zu fragen: „Gilt die Haftungsbegrenzung auch bei DSGVO-Bußgeldern, die mein Unternehmen zahlen muss, wenn der Vendor verschuldet hat?"
Gute Antwort: Haftungsbegrenzung gilt nicht bei vorsätzlichen oder grob fahrlässigen Verstößen, gilt nicht bei Schäden durch Datenschutzverletzungen, nicht bei DSGVO-Bußgeld-Bezug. Mindestbetrag: 100% des Jahresvolumens, idealerweise 200%.
Rote Flagge: „Haftung max. € 50.000 für alle Schäden inkl. Bußgelder" — bei DSGVO-Bußgeldern bis zu 4% des konzernweiten Jahresumsatzes völlig unzureichend.
Kategorie 2: Schrems-II / Datenlokation
Punkt 6: In welchem Land werden die Daten primär gespeichert?
Was zu fragen: „Wo liegt der Production-Datenbank-Cluster? Wo ist der Backup-Standort? Wo ist der Disaster-Recovery-Standort?"
Gute Antwort: präzise Region-Angabe (z.B. „AWS eu-central-1, Frankfurt"), Backup in zweiter EU-Region (z.B. „eu-west-3, Paris"), DR-Standort EU-intern.
Rote Flagge: „Default US-Region, EU-Region auf Anfrage" — DPO-Standpunkt: wenn die EU-Region nicht per Default aktiv ist, wer garantiert, dass alle Datenflüsse in der EU bleiben?
Punkt 7: Welche Drittstaatentransfers finden statt?
Was zu fragen: „Welche Drittstaatentransfers sind operativ erforderlich? Welche EU-Adäquanzbeschlüsse sind einschlägig? Liegt ein Transfer-Impact-Assessment vor?"
Gute Antwort: dokumentiertes TIA mit Auflistung aller Transfers, einschließlich US (Adäquanzbeschluss DPF / Data Privacy Framework, seit 10.7.2023), Kanada (Adäquanzbeschluss seit 2002, kommerzielle Daten), UK (Adäquanzbeschluss seit 28.6.2021).
Rote Flagge: „Wir haben keine Transfers, weil unser Cloud-Anbieter EU-Region nutzt" — diese Antwort ignoriert mögliche Support-Zugriffe aus den US-Heimatregionen, Telemetriedaten, Backup-Replikation.
Punkt 8: Welche Standardvertragsklauseln werden eingesetzt?
Was zu fragen: „Werden die Standard Contractual Clauses der Kommission vom 4.6.2021 verwendet? Welche Module?"
Gute Antwort: SCCs vom 4.6.2021 (nicht die alten von 2010!), Modul 2 (Controller-Processor) als Standardfall, Modul 3 (Processor-Processor) wo Sub-AVs in Drittstaaten. Ergänzende Maßnahmen dokumentiert (Verschlüsselung, Pseudonymisierung).
Rote Flagge: SCCs der alten Generation oder „eigene Klauseln, die SCC-äquivalent sind" — nicht akzeptabel.
Punkt 9: Wie sind US-CLOUD-Act-Risiken behandelt?
Was zu fragen: „Welche Maßnahmen verhindern US-Behördenzugriffe auf in Europa gehostete Daten?"
Gute Antwort: entweder kein US-Mutterkonzern, oder dokumentierte klagewahrnehmende Maßnahmen: Datenverschlüsselung mit Käufer-eigenen Schlüsseln (BYOK), Sovereign Cloud-Architektur, juristische Notifizierungspflicht des Vendors bei Behördenzugriffen.
Rote Flagge: „US-CLOUD-Act ist für uns irrelevant, weil unsere EU-Tochter ein eigenständiger Rechtsträger ist" — unzureichende juristische Argumentation, US-CLOUD-Act greift extraterritorial.
Punkt 10: Wie ist Schweizer Datenresidenz behandelt?
Was zu fragen: „Können CH-Mandantenfälle exklusiv in der Schweiz gehostet werden, ohne EU-Replikation?"
Gute Antwort: dedizierte CH-Tenant-Architektur (z.B. Equinix Zürich, Swisscom Cloud), separate AVV/DBV nach revDSG Art. 9, getrennte Backup-Strategie.
Rote Flagge: „CH-Daten liegen in Frankfurt, das ist EU-Niveau und damit auch CH-konform" — formal nicht falsch, aber für FINMA-Mandanten praktisch nicht akzeptabel.
Kategorie 3: TOMs nach Art. 32 DSGVO
Punkt 11: Liegt ein dokumentiertes TOM-Konzept vor?
Was zu fragen: „Existiert ein TOM-Konzept als gesondertes Dokument oder nur als Vertragsanlage?"
Gute Antwort: 12–25-seitiges TOM-Dokument mit Gliederung nach Art. 32 Abs. 1 lit. a–d DSGVO: Pseudonymisierung/Verschlüsselung, Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit, regelmäßige Tests.
Rote Flagge: TOM nur als 1-Seiter-Anlage zum AVV mit Marketing-Sprech wie „industry-leading security".
Punkt 12: Welche Verschlüsselungstechniken sind aktiv?
Was zu fragen: „Wie ist Daten-at-Rest verschlüsselt? Wie ist Daten-in-Transit verschlüsselt? Welche Algorithmen, welche Schlüssellängen, welche Schlüsselverwaltung?"
Gute Antwort: AES-256-GCM für Daten-at-Rest, TLS 1.3 für Daten-in-Transit. Schlüsselverwaltung über AWS KMS, Azure Key Vault oder vergleichbar mit Customer Managed Keys.
Rote Flagge: „Wir verschlüsseln nach Industriestandard" — keine Substanz.
Punkt 13: Wie ist Mehrmandantentrennung implementiert?
Was zu fragen: „Sind meine Daten von anderen Kundendaten logisch oder physisch getrennt? Gibt es eine reale Möglichkeit, dass Mitarbeiter eines anderen Mandanten meine Daten sehen?"
Gute Antwort: entweder physische Trennung (separate DB-Cluster pro Mandant) oder strenge logische Trennung mit Row-Level-Security auf DB-Ebene, gekoppelt an Mandanten-IDs in Application-Layer und Session-Token. Audit-Logs zur Mandantengrenze.
Rote Flagge: „Logische Trennung über Application-Code" ohne DB-Layer-Kontrolle.
Punkt 14: Welche Penetrationstests werden durchgeführt?
Was zu fragen: „Welche externen Penetrationstests laufen wann? Wer testet? Sind die Berichte einsehbar?"
Gute Antwort: mindestens jährlicher Pentest durch externen, qualifizierten Anbieter (z.B. SySS, NSIDE, Cobalt). Bericht der letzten 12 Monate redaktiert einsehbar. Schwerwiegende Findings adressiert binnen 30 Tagen.
Rote Flagge: „Pentests sind vertraulich, wir teilen sie nicht" — nicht akzeptabel bei regulierten Mandanten.
Punkt 15: Welche Zertifizierungen liegen vor?
Was zu fragen: „Liegen ISO 27001, ISO 27701, SOC 2 Typ II, BSI C5, TISAX vor? Wann ist die letzte Zertifizierung, wann die nächste Prüfung?"
Gute Antwort: mindestens ISO 27001 oder SOC 2 Typ II, ideal beides. Aktuelles Zertifikat unter 12 Monaten alt. Ergänzend ISO 27701 (Privacy) gewinnt an Akzeptanz; BSI C5 ist im deutschen Banken-Mittelstand aufgestiegener Standard.
Rote Flagge: nur ISO-9001 (Qualitätsmanagement, kein Security-Bezug) oder „Zertifizierung läuft" ohne Datum.
Kategorie 4: Sub-Auftragsverarbeiter-Transparenz
Punkt 16: Wie viele Sub-AVs sind aktiv?
Was zu fragen: „Wie viele Sub-AVs sind im AVV gelistet? Wo sitzen sie? Welche Funktion erfüllt jeder?"
Gute Antwort: präzise Liste, idealerweise 3–8 Sub-AVs, alle mit EU/EWR/CH-Standort. Die Funktion klar dokumentiert (z.B. „Sendinblue: SMTP-Versand", „AWS: Cloud-Hosting", „Bundesanzeiger: Wertpapierhandelsregister-Lookup").
Rote Flagge: über 12 Sub-AVs, die meisten in den USA, mit unklarer Funktionszuweisung.
Punkt 17: Wie funktioniert die Sub-AV-Sub-AV-Kette?
Was zu fragen: „Welche Sub-AVs Ihrer Sub-AVs sind relevant? Werden meine Daten an Sub-Sub-AVs weitergegeben?"
Gute Antwort: dokumentierte zweite Ebene mit Begründung. Zum Beispiel: „AWS nutzt für Backup-Replikation S3 Glacier, das technisch Tier-1-Service von AWS selbst ist und nicht als eigenständiger Sub-AV vertraglich gesondert behandelt werden muss".
Rote Flagge: „Sub-Sub-AVs sind nicht unsere Verantwortung, sondern Sub-AV-Verantwortung" — vertraglich falsch.
Punkt 18: Wie werden neue Sub-AVs hinzugefügt?
Was zu fragen: „Wenn Sie morgen einen neuen Sub-AV hinzufügen — wie erfahre ich davon? Welche Frist habe ich für Widerspruch?"
Gute Antwort: 30 Tage Vorinformation per E-Mail an benannte Kontakt-Person, Widerspruchsrecht binnen 14 Tagen, Sonderkündigungsrecht bei begründetem Widerspruch (z.B. wenn ein neuer Sub-AV in einem Drittstaat ohne Adäquanzbeschluss sitzt).
Rote Flagge: „Sub-AVs werden im Vendor-Backend erweitert, ohne separate Mitteilung" — unverhandelbar.
Punkt 19: Welcher Flow-Down-Mechanismus gilt?
Was zu fragen: „Werden die AVV-Pflichten 1-zu-1 an Sub-AVs weitergegeben? Habe ich vertragliche Auskunfts- und Audit-Rechte gegen Sub-AVs?"
Gute Antwort: Flow-Down-Klausel im AVV mit ausdrücklicher Weitergabe aller materiellen Pflichten. Direkter Auskunftsweg gegen Sub-AVs eingebaut.
Rote Flagge: „Sub-AV-Verträge sind interne Angelegenheit des Vendors" — nicht akzeptabel.
Punkt 20: Wie wird Sub-AV-Compliance laufend überwacht?
Was zu fragen: „Wie kontrollieren Sie selbst die DSGVO-Konformität Ihrer Sub-AVs? Welche Berichte erhalten Sie? Welche Berichte gibt es an mich?"
Gute Antwort: jährliche Sub-AV-Audits durch den Vendor, dokumentierte Audit-Reports einsehbar, mindestens vierteljährliche Compliance-Reviews.
Rote Flagge: „Sub-AVs sind ISO-27001-zertifiziert, das reicht" — der DPO will laufendes Monitoring sehen, nicht nur ein einmaliges Zertifikat.
Kategorie 5: Datenschutz-Folgenabschätzung (DSFA) und Betroffenenrechte
Punkt 21: Liegt eine Vendor-seitige DSFA vor?
Was zu fragen: „Haben Sie eine eigene DSFA durchgeführt? Können Sie mir die Risikobewertung zur Verfügung stellen, damit ich meine eigene DSFA daran ankoppeln kann?"
Gute Antwort: dokumentierte DSFA nach Art. 35 DSGVO, Risikomatrix mit Eintrittswahrscheinlichkeit und Schwere, identifizierte Risiken, Maßnahmen, Restrisiko-Akzeptanz. Anteil davon, der für die Käufer-DSFA wiederverwendbar ist.
Rote Flagge: „DSFA ist Aufgabe des Verantwortlichen, nicht des Auftragsverarbeiters" — formal richtig, aber jeder ernsthafte Vendor stellt die eigene Risikobewertung als Input zur Verfügung.
Punkt 22: Wie werden Betroffenenrechte unterstützt?
Was zu fragen: „Wie unterstützen Sie mich bei Auskunftsersuchen nach Art. 15 DSGVO, Berichtigungsersuchen Art. 16, Löschungsersuchen Art. 17?"
Gute Antwort: Self-Service-Funktionen im Vendor-UI für Auskunft (Datenexport pro Person), Berichtigung (Editierfunktionalität mit Audit-Trail), Löschung (mit Bestätigungsmechanismus inkl. Backup-Cycle-Löschung). Reaktionszeit 3 Werktage.
Rote Flagge: „Auskunftsersuchen werden manuell vom Support bearbeitet, Lead-Time 30 Tage" — DSGVO-Frist ist 30 Tage insgesamt, der Vendor muss schneller liefern als der Käufer dem Betroffenen.
Punkt 23: Wie wird Datenpannen-Notifikation gehandhabt?
Was zu fragen: „Innerhalb welcher Frist werden Sie mich bei einer Datenschutzverletzung informieren? Wie umfassend ist die Mitteilung?"
Gute Antwort: Notifikation binnen 24 Stunden (kürzer als die DSGVO-72-Stunden-Frist gegenüber der Aufsichtsbehörde, weil der Käufer die 72-h-Frist einhalten muss). Notifikation-Inhalt: Art der Verletzung, Kategorien betroffener Daten, Anzahl betroffener Personen, Risikoeinschätzung, getroffene Gegenmaßnahmen.
Rote Flagge: „Notifikation erfolgt nach interner Untersuchung" ohne Frist — nicht akzeptabel.
Wie die Checkliste praktisch eingesetzt wird
Phase 1 (RFP-Stage): die Punkte 1, 6, 11, 16, 21 in einem Vorabfragebogen — wer hier nicht innerhalb 5 Werktagen antwortet, ist disqualifiziert.
Phase 2 (Vendor-Demos): in der 60-Minuten-Demo aktive Frage von 3–5 Punkten der Liste, mit Bitte um schriftliche Nachreichung.
Phase 3 (Final-Decision): alle 23 Punkte in tabellarischer Bewertungsmatrix, jede Antwort als ✅ / ⚠️ / ⛔. Über 5 ⛔ = Disqualifikation.
Phase 4 (Vertragsverhandlung): die ⚠️-Antworten werden zu Verhandlungspunkten. Die ✅-Antworten werden im AVV festgehalten.
Bewertungsmatrix-Vorlage
Kategorie | Anbieter A | Anbieter B | Anbieter C |
1. AVV-Klauseln (P1–P5) | 4✅ 1⚠️ | 3✅ 2⚠️ | 5✅ |
2. Schrems-II/Datenlokation (P6–P10) | 5✅ | 3✅ 1⚠️ 1⛔ | 4✅ 1⚠️ |
3. TOMs Art. 32 (P11–P15) | 5✅ | 4✅ 1⚠️ | 5✅ |
4. Sub-AV-Transparenz (P16–P20) | 3✅ 2⚠️ | 5✅ | 4✅ 1⚠️ |
5. DSFA & Betroffenenrechte (P21–P23) | 3✅ | 2✅ 1⚠️ | 3✅ |
Bewertung | 20✅ 3⚠️ 0⛔ | 17✅ 5⚠️ 1⛔ | 21✅ 2⚠️ 0⛔ |
Was gilt in der Schweiz, Österreich und EU-weit?
Schweiz
Das schweizerische revDSG (in Kraft 1.9.2023) bringt drei Pendants zu DSGVO-AVV-Pflichten: Art. 8 (Informationspflicht des Verantwortlichen), Art. 9 (Auftragsbearbeitung — das Schweizer Pendant zu Art. 28 DSGVO) und Art. 10 (Pflicht zur Wahrung der Datensicherheit). Wesentlich strenger als DSGVO ist das revDSG in Art. 5 lit. c, das „besonders schützenswerte Personendaten" umfassender definiert — biometrische Daten, genetische Daten, aber auch Daten zu administrativen oder strafrechtlichen Verfolgungen sowie Sozialhilfemaßnahmen. Background-Check-Anbieter, die Strafregister-Lookups durchführen, verarbeiten per Definition besonders schützenswerte Daten — die TOMs müssen entsprechend strenger sein. Die DPO-Checkliste behält in der Schweiz volle Anwendbarkeit, mit zwei Erweiterungen: separater DBV nach Art. 9 revDSG (nicht DSGVO-AVV mit Schweizer Briefkopf) und expliziter Bezug auf FINMA-Rundschreiben 2018/3 Outsourcing für Banken-Mandanten.
Österreich
DSGVO gilt unmittelbar; ergänzend das österreichische DSG, das punktuelle Konkretisierungen bringt (z.B. Bildaufnahmen, Datenübermittlungen an internationale Organisationen). Für Banken und Finanzdienstleister ist die FMA Aufsichtsbehörde — die FMA hat in den letzten Jahren in mehreren Rundschreiben (FMA-Rundschreiben 2/2023 zu Outsourcing, FMA-Rundschreiben 4/2024 zu ICT-Drittparteien) strengere Anforderungen an AVV-Sub-AV-Transparenz und Audit-Rechte konkretisiert. DPOs in Österreich erweitern die 23-Punkte-Liste typischerweise um zwei Punkte: explizite FMA-Konformität der Outsourcing-Verträge und ausdrückliche Berücksichtigung des österreichischen Gleichbehandlungsgesetzes für recruiting-bezogene Datenverarbeitung.
EU-weit
Auf EU-Ebene treten 2025–2027 mehrere Regimes neben DSGVO. Die CRD VI (Eigenkapitalrichtlinie, Umsetzung Januar 2026) verschärft Drittanbieter-Anforderungen für Banken, mit konkreten Datenrückgabe-Klauseln, Audit-Rechten und Sub-AV-Beschränkungen. DORA (Verordnung 2022/2554, anwendbar seit 17.1.2025) erweitert die TOM-Erwartung um ICT-Resilienz: Threat-Led-Penetration-Tests für kritische ICT-Drittanbieter, Incident-Reporting-Pflichten, Resilienz-Tests. NIS-2 (Richtlinie 2022/2555) erweitert den regulierten Kreis auf weite Teile des Mittelstands. Die AMLR (Anti-Money-Laundering-Verordnung, anwendbar ab 10.7.2027) bringt verschärfte KYC-Anforderungen, die mit Background-Check-Workflows konvergieren — DPOs sollten in 2026 implementierte Plattformen bereits AMLR-fähig auswählen. Schließlich ist die EU AI Act-Klassifizierung relevant: Background-Check-Plattformen mit KI-Komponenten in Recruiting-Kontexten sind High-Risk-Systeme nach Anhang III Nr. 4 und unterliegen erweiterten Transparenz- und Bias-Test-Pflichten ab August 2026.
Schlusswort: warum Disziplin schlägt Marketingbroschüren
Die 23 Fragen sind keine Hürden — sie sind die Checkliste, die jeder ernsthafte Vendor seinen Sales-Teams in der ersten Woche selbst gibt. Wer als Käufer diese Liste anwendet, erfährt binnen 30 Minuten, ob der Anbieter ein regulierter oder ein marketinggetriebener Vendor ist. Beides hat seinen Markt — aber nur ein Käufer-Profil mit dezidiertem Aufsichts- oder Bankbezug kann sich den marketinggetriebenen leisten.
Eine ehrliche Beobachtung aus 18 Monaten DPO-Reviews: Die Anbieter, die diese Liste mit der wenigsten Friktion durchlaufen, sind in der Regel die jüngeren und kleineren — weil sie ihren AVV von Anfang an für regulierte Mandanten gebaut haben. Die etablierten US-Anbieter haben oft 8–12 Wochen Vertragsverhandlung vor sich, weil ihre Standard-AVV mit DSGVO nicht kompatibel sind und für jeden Käufer neu angepasst werden müssen.
Buche eine Demo — wir gehen die 23 Punkte mit Ihnen durch, mit konkreten AVV-Klauseln aus unserem Vertragswerk und dem Walder-Wyss-geprüften DBV für Schweizer Mandanten.
Nabil El Berr
