IT-Outsourcing und Background Checks: Was bei Cloud-Dienstleistern zu prüfen ist
Wenn ein Unternehmen Cloud-Services, SaaS-Lösungen oder Managed Services einkauft, delegiert es nicht nur Rechenleistung, sondern auch den Zugang zu sensiblen Daten an die Mitarbeiter eines Dritten. Der Administrator eines Hyperscalers, der Support-Mitarbeiter eines SaaS-Anbieters, der Techniker eines Managed-Service-Providers — sie alle können in Kundendaten einsehen, diese kopieren, modifizieren oder im schlimmsten Fall exfiltrieren. Art. 28 DSGVO, DORA Art. 28, MaRisk AT 9 und BSI C5 verlangen deshalb, dass die auftraggebende Stelle nicht nur die technische Sicherheit des Dienstleisters prüft, sondern auch die personelle Sicherheit dessen Mitarbeiter verantwortet. Dieser Artikel zeigt, was konkret zu prüfen ist — und wie Einkaufs- und Compliance-Teams ihre Sorgfaltspflicht erfüllen.
Rechtsgrundlagen: Warum personelle Sicherheit beim Dienstleister Ihr Problem ist
Art. 28 und Art. 32 DSGVO
Art. 28 Abs. 1 DSGVO schreibt vor, dass Verantwortliche nur solche Auftragsverarbeiter einsetzen dürfen, die „hinreichende Garantien" für geeignete technische und organisatorische Maßnahmen bieten. Art. 32 DSGVO konkretisiert die Sicherheit der Verarbeitung, wobei Abs. 4 explizit klarstellt: Verantwortlicher und Auftragsverarbeiter müssen sicherstellen, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Weisung verarbeiten. Diese Anforderung ist ohne Prüfung der Mitarbeiter-Zuverlässigkeit nicht erfüllbar.
DORA Art. 28 — für Finanzinstitute
Der Digital Operational Resilience Act (EU 2022/2554) präzisiert seit 17. Januar 2025 die Anforderungen für Banken, Versicherer und Kapitalverwaltungsgesellschaften. Art. 28 verlangt, dass Finanzinstitute in Verträgen mit IKT-Drittdienstleistern unter anderem „Anforderungen an die Einstellung und Ausbildung des Personals" festschreiben. Der RTS on Sub-Outsourcing konkretisiert dies mit detaillierten Mindestanforderungen an Personalzuverlässigkeit. Wer auf DORA-Compliance angewiesen ist, kommt um ein strukturiertes Mitarbeiter-Screening seiner Dienstleister nicht herum.
BaFin MaRisk AT 9 (Outsourcing)
Für deutsche Finanzinstitute gelten zusätzlich die Mindestanforderungen an das Risikomanagement (MaRisk), konkret AT 9 zu Auslagerungen. Tz. 7 verlangt, dass das auslagernde Institut „hinreichende Garantien" vor Vertragsschluss prüft — dazu zählt explizit die Zuverlässigkeit und Qualifikation des Personals des Dienstleisters. In der jüngsten MaRisk-Novelle (7. Novelle vom 29. Juni 2023) wurde diese Anforderung für IKT-Auslagerungen weiter verschärft.
BSI C5 — Cloud Computing Compliance Criteria Catalogue
Der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik gilt als faktischer Standard für Cloud-Dienstleister in Deutschland. Das Prüfkriterium HR-01 bis HR-05 (Personalsicherheit) verlangt konkret: Zuverlässigkeitsüberprüfung vor Einstellung, Vertraulichkeitsvereinbarungen, regelmäßige Sicherheits-Awareness-Schulungen, geregeltes Off-Boarding und disziplinarische Prozesse bei Verstößen. Cloud-Dienstleister ohne gültiges C5-Testat sollten für regulierte Branchen gar nicht erst in Betracht gezogen werden.
Konkrete Anforderungen an Cloud-Dienstleister
Welche Mitarbeiter müssen geprüft werden?
Nicht jeder Angestellte eines Dienstleisters muss umfassend gescreent werden. Entscheidend ist die Zugriffshöhe auf Kundendaten oder Kundensysteme. Die folgende Priorisierung hat sich in der Praxis bewährt:
Rolle | Zugriffstyp | Prüfstandard |
|---|---|---|
Cloud-Administratoren, SRE, DevOps | Root/Domain-Admin, Zugriff auf Kundendaten | Volle Prüfung: Identität, Strafregister, Sanktionslisten, Bonität, berufliche Referenzen |
Datenbankadministratoren | Direkter Datenbankzugriff | Volle Prüfung |
2nd/3rd-Level-Support | Eskalierter Kundendaten-Zugriff | Identität, Strafregister, Sanktionslisten, Referenzen |
Sicherheitsteam (SOC, CSIRT) | Log- und Incident-Daten | Volle Prüfung (analog Admin) |
1st-Level-Support | Eingeschränkter Ticketing-Zugriff | Identität, Strafregister, Sanktionslisten |
Entwickler mit Prod-Access | Deployment in Kundensysteme | Volle Prüfung |
Sales, Marketing ohne System-Access | Keine direkten Kundendaten | Keine Prüfpflicht (aber empfohlen: Sanktionslisten) |
Welche Prüftiefe ist angemessen?
Für privilegierte Zugriffe sollte mindestens geprüft werden:
Identitätsverifikation: Behördlich ausgestelltes Dokument, idealerweise mit Video-Ident oder eIDAS-konformer eID.
Strafregisterauszug: Nicht älter als 3 Monate, aus allen Ländern, in denen die Person in den letzten fünf Jahren gelebt hat.
Sanktionslistenabgleich: EU-, UN-, OFAC-Listen sowie nationale Listen der relevanten Jurisdiktionen.
Wirtschaftsauskunft: Insolvenz- und eidesstattliche Versicherungen — besonders relevant bei Positionen mit Vermögens- oder Datenwert-Bezug.
Qualifikationsverifikation: Diplome, Zertifikate, die der Rolle zugrunde liegen.
Referenzprüfung: Mindestens zwei frühere Arbeitgeber, telefonisch oder schriftlich.
Dokumentations-Nachweis
Der Dienstleister muss belegen können, dass die Prüfungen stattgefunden haben — in der Regel durch: (a) signiertes Attest eines unabhängigen Prüfers, (b) anonymisierte Protokolle der Einzelprüfungen, (c) jährlichen Bericht mit Abdeckungsgrad pro Rollenkategorie. Direktes Einsehen der Originaldokumente ist weder möglich noch DSGVO-konform — die Mitarbeiter des Dienstleisters stehen nicht im Vertragsverhältnis zum Auftraggeber.
Wiederholungs-Intervalle
Als Best Practice gilt: Volle Erstprüfung bei Einstellung oder Rollenwechsel zu privilegiertem Zugriff, Refresh der Strafregister- und Sanktionslistenprüfung jährlich, volle Re-Zertifizierung alle drei Jahre. Ad-hoc-Prüfung bei konkreten Anlässen (Insolvenz, Strafverfahren, Medienhinweise).
Vertragsklauseln: Was im Sub-AVV stehen muss
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist der zentrale Steuerungshebel. Die folgenden Klauseln sollten enthalten sein:
Personalzuverlässigkeitsklausel: Verpflichtung des Dienstleisters, Mitarbeiter mit Zugang zu Kundendaten nach definiertem Standard zu prüfen — mit Verweis auf BSI C5 HR-Kriterien oder ISO/IEC 27002:2022 Kontrolle 6.1.
Dokumentationspflicht: Jährlicher Bericht über Abdeckungsgrad, ohne Preisgabe personenbezogener Daten.
Audit-Recht: Recht zur Vor-Ort-Prüfung oder zur Beauftragung eines externen Prüfers, mindestens jährlich.
Sub-Auftragsverarbeitung: Verpflichtung, den Prüfstandard auf sämtliche Sub-Dienstleister durchzureichen. Vorabgenehmigung bei neuen Sub-Dienstleistern.
Incident-Meldung: Unverzügliche Meldung bei Verstößen, inklusive Insider-Threat-Vorfällen.
Kündigungsrecht: Außerordentliches Kündigungsrecht bei Verletzung der Personalzuverlässigkeitsanforderungen.
Haftung: Mindestens bis zur Höhe der DSGVO-Bußgelder, idealerweise mit Versicherungsnachweis.
Red Flags: Wie erkenne ich Dienstleister mit mangelhafter Personalsicherheit?
In der Due-Diligence-Phase gibt es klare Warnsignale:
Kein gültiges C5-Testat oder ISO 27001-Zertifikat mit dem Scope „Personalsicherheit".
Keine dokumentierte Background-Check-Policy. Wenn der Vertrieb auf diese Frage mit „machen wir natürlich" antwortet, aber kein Dokument vorlegen kann — Vorsicht.
Prüfung nur bei Einstellung, keine Wiederholung.
Ausschluss bestimmter Mitarbeitergruppen (z. B. „unsere Offshore-Teams prüfen wir nicht").
Intransparenz bei Sub-Dienstleistern: Wer den Unterauftragnehmern keinen verbindlichen Standard auferlegt, hat keine Kontrolle über die Lieferkette.
Keine Meldeprozesse für Insider-Vorfälle oder Mitarbeiter-Offboarding.
Geografische Risiken: Mitarbeiter in Ländern ohne funktionierendes Strafregister-System — ohne Kompensationsmechanismus.
Due-Diligence-Prozess vor Outsourcing-Vergabe
Ein strukturierter Due-Diligence-Prozess vor Vertragsschluss sollte mindestens folgende Schritte umfassen:
Risikoklassifizierung des Outsourcing-Vorhabens: Kritikalität der ausgelagerten Daten/Funktion bestimmen.
Questionnaire-Versand: Standardisierter Fragenkatalog an Kandidaten (siehe Checkliste unten).
Zertifikats- und Testat-Prüfung: C5, ISO 27001, SOC 2 Type II, TISAX — je nach Sektor.
Referenzen: Gespräch mit Bestandskunden, insbesondere aus derselben Branche.
Vor-Ort-Besuch / Remote-Audit: Insbesondere bei kritischen Funktionen.
Vertragsverhandlung: Personalsicherheits-Klauseln nicht nachgeben lassen.
Pre-Go-Live-Testat: Abschließender Nachweis, dass die Personalsicherheit implementiert ist.
Audit-Rights: Wie, wie oft, was prüfen?
Audit-Rechte sind rechtlich vorgesehen, werden aber selten gezielt genutzt. Dabei gilt: Ungenutzte Audit-Rechte sind aus Aufsichtssicht wie nicht-existente Audit-Rechte. Empfohlene Frequenz und Scope:
Prüfungsart | Frequenz | Scope |
|---|---|---|
Dokumenten-Review | Jährlich | Policies, Testate, Berichte, Stichproben aus Prüfprotokollen |
Remote-Audit | Alle 2 Jahre | Interviews mit Security, HR, Compliance; Systemeinsicht |
Vor-Ort-Audit | Alle 3 Jahre bzw. anlassbezogen | Physische Sicherheit, Organisationskultur, Off-Boarding-Stichproben |
Ad-hoc | Bei konkreten Anlässen | Incidents, Medienhinweise, Personalwechsel in Schlüsselfunktionen |
Was gilt in der Schweiz, Österreich und EU-weit?
Schweiz
Das FINMA-Rundschreiben 2018/3 „Outsourcing — Banken und Versicherer" regelt Auslagerungen für den Schweizer Finanzsektor. Rz. 20 verlangt vom auslagernden Institut eine sorgfältige Auswahl und Überwachung des Dienstleisters — einschließlich Personalqualifikation. Rz. 36 fordert eindeutige Regelungen zu Unterbeauftragungen. Für Cloud-Outsourcing publizierte die FINMA 2023 zusätzlich eine Guidance zur Cloud-Nutzung, die personelle Sicherheit des Cloud-Anbieters explizit thematisiert. Das revidierte Datenschutzgesetz (revDSG) schreibt seit 1. September 2023 in Art. 9 Auftragsdatenbearbeitung fest, was funktional Art. 28 DSGVO entspricht.
Österreich
Die FMA-Mindeststandards für Auslagerungsverfahren (FMA-MS-OL) sind für österreichische Finanzdienstleister maßgeblich. Sie spiegeln inhaltlich weitgehend die deutschen MaRisk-Anforderungen, mit besonderem Augenmerk auf Konzernauslagerungen. Personalsicherheit des Dienstleisters ist Teil der Gesamtbewertung. Zusätzlich gilt das österreichische Datenschutzgesetz (DSG) in Ergänzung zur DSGVO, das für den öffentlichen Sektor strengere Anforderungen stellt.
EU-weit
Auf EU-Ebene ist DORA inzwischen das Flaggschiff-Regime für den Finanzsektor. Der RTS on Sub-Outsourcing (Commission Delegated Regulation, veröffentlicht 2024) konkretisiert Sub-Outsourcing-Anforderungen. Die EBA Guidelines on Outsourcing Arrangements (EBA/GL/2019/02) bleiben für Nicht-IKT-Auslagerungen maßgeblich. Für alle anderen Sektoren greifen DSGVO Art. 28 und sektor-spezifische Regimes (NIS2, MDR, IVDR etc.). Paneuropäische Unternehmen sollten einen Harmonisierungsstandard definieren, der den höchsten anwendbaren Einzelstandard reflektiert.
Checkliste: 15 Fragen an jeden Cloud-Dienstleister
Liegt ein gültiges BSI C5 Typ 2 Testat oder ISO/IEC 27001 Zertifikat inklusive Kontrollen zu Personalsicherheit vor?
Welche Mitarbeiterkategorien haben Zugang zu Kundendaten und welcher Prüfstandard gilt für jede Kategorie?
Welche Background-Checks führen Sie vor Einstellung durch? (Bitte listen Sie: Identität, Strafregister, Sanktionslisten, Bonität, Referenzen, Qualifikation.)
In welchen Intervallen werden Prüfungen wiederholt und was löst eine Ad-hoc-Wiederholung aus?
Wie wird ein Sanktionslistenabgleich (EU, UN, OFAC) konkret umgesetzt — täglich oder einmalig?
Wie dokumentieren Sie durchgeführte Prüfungen, und welche Berichte stellen Sie Ihren Kunden zur Verfügung?
In welchen Ländern sitzt Ihr Personal mit Zugriff auf Kundendaten und wie adressieren Sie dortige Screening-Einschränkungen?
Welche Sub-Dienstleister nutzen Sie und wie stellen Sie deren Personalsicherheit sicher?
Wie läuft Ihr Off-Boarding-Prozess (technisch und dokumentarisch) ab und wie wird er geprüft?
Welche Insider-Threat-Detection-Maßnahmen sind implementiert?
Wie oft finden Awareness-Schulungen statt und werden Teilnahmen dokumentiert?
Welche NDAs und Vertraulichkeitsklauseln gelten für Ihre Mitarbeiter?
Welche Audit-Rechte räumen Sie Ihren Kunden vertraglich ein und haben Sie schon Kundenaudits zur Personalsicherheit durchgeführt?
Wie stellen Sie die Trennung der Kundendatenzugriffe (Multi-Tenancy) auf Personalebene sicher?
Welche Versicherungen decken Personal-bezogene Incidents ab und in welcher Höhe?
Indicium als Tool für Vendor-Mitarbeiter-Screening
Unternehmen, die selbst als Auftragsverarbeiter oder Cloud-Dienstleister auftreten, müssen ihren eigenen Kunden belegen können, dass ihre Mitarbeiter ordentlich geprüft sind. Unternehmen, die als Auftraggeber auftreten, müssen ihre Dienstleister kontrollieren. Indicium bedient beide Seiten.
Die Indicium-Plattform bietet:
DSGVO-konforme Background Checks mit vollständiger Rechtsgrundlagen-Dokumentation.
Vendor-Modul zur strukturierten Erfassung und Bewertung der Personalsicherheit von Dienstleistern.
Multi-Jurisdiktions-Checks: DE, AT, CH, EU-27, UK, US und 40+ weitere Länder.
Kontinuierliche Sanktionslisten-Überwachung mit automatischer Alerting-Funktion.
Audit-Trail in BSI C5-, ISO 27001- und DORA-konformer Struktur.
Questionnaire-Engine für standardisierte Vendor-Due-Diligence auf Basis der 15-Fragen-Checkliste.
Template-Bibliothek für AVV-, Sub-AVV- und Audit-Rights-Klauseln, geprüft durch deutsche Rechtsanwälte.
Damit stellen Sie sicher, dass sowohl Ihre eigene Organisation als auch Ihre kritischen Dienstleister den Anforderungen von DSGVO, DORA, MaRisk und C5 standhalten — und dass Ihre Compliance-Dokumentation jedem Audit durch BaFin, FMA, FINMA oder EZB gewachsen ist.
Buche eine Demo und zeig uns, welche Dienstleister bei dir noch ungeprüft im System stehen — wir zeigen dir, wie Indicium das in 30 Tagen löst.
Weiterlesen — verwandte Artikel
Nabil El Berr
