Welche Aufgabe hat eine externe Kanzlei bei der Vendorauditierung nach Art. 28 DSGVO und beim Bereitstellen des Prüftools?

**Eine externe Kanzlei hat bei der Art.-28-DSGVO-Vendorauditierung nicht die Aufgabe, die Verantwortung zu übernehmen, sondern die Prüfung rechtlich zu strukturieren, zu dokumentieren und mit einem Prüftool standardisiert umsetzbar zu machen. Verantwortlich bleibt immer dein Unternehmen als „Verantwortlicher“.** ([trustee.eu](https://trustee.eu/de/guides/dpa)) ## Was die Kanzlei konkret macht Sie übersetzt die Anforderungen aus Art. 28 DSGVO in prüfbare Kriterien: Ist der Dienstleister überhaupt ein Auftragsverarbeiter, enthält der AVV alle Pflichtinhalte, sind technische und organisatorische Maßnahmen belastbar, wie ist der Einsatz von Subunternehmern geregelt und welche Nachweise reichen für die Kontrollpflicht aus. Genau diese Punkte nennt Art. 28 als Kern der Auswahl-, Vertrags- und Kontrollpflicht. ([trustee.eu](https://trustee.eu/de/guides/dpa)) Praktisch heißt das: Die Kanzlei baut den rechtlichen Prüfmaßstab, formuliert Fragenkataloge, bewertet kritische Vertragsklauseln und definiert, wann ein Fall unkritisch, nachbesserungsbedürftig oder nicht freigabefähig ist. Das Prüftool ist dann nur das operative Instrument, um diese Logik skalierbar anzuwenden. ([advisori.de](https://www.advisori.de/leistungen/regulatory-compliance-management/dsgvo/dsgvo-vendor-management)) ## Was sie nicht macht Die Kanzlei „zertifiziert“ den Vendor in der Regel nicht und ersetzt auch keine eigene Managemententscheidung. Sie liefert eine rechtliche und dokumentierte Entscheidungsgrundlage. Die Freigabe des Dienstleisters, die Risikotoleranz und die tatsächliche Beauftragung liegen weiter beim Unternehmen. Das ist der entscheidende Unterschied, der in vielen oberflächlichen Erklärungen fehlt. ([datenschutz-guru.de](https://www.datenschutz-guru.de/checkliste-zur-pruefung-eines-auftragsverarbeitungsvertrages/)) ## Rolle des Prüftools Das Prüftool dient vor allem dazu, die Vendorenprüfung einheitlich, nachvollziehbar und revisionsfest zu machen: gleiche Prüffragen, gleiche Bewertungssystematik, dokumentierte Nachweise, Wiedervorlagen für Re-Assessments und saubere Audit-Trails. Der Mehrwert ist nicht „mehr Recht“, sondern weniger Wildwuchs und bessere Nachweisbarkeit gegenüber interner Revision, Datenschutzbeauftragten oder Aufsichtsbehörden. ([advisori.de](https://www.advisori.de/leistungen/regulatory-compliance-management/dsgvo/dsgvo-vendor-management)) ## Die klare Einordnung Wenn eine externe Kanzlei bei der Vendorauditierung unterstützt und das Tool anbietet, hat sie typischerweise drei Aufgaben: - rechtliche Prüfkriterien definieren - Einzelfälle oder Abweichungen juristisch bewerten - die Prüfung über ein Tool standardisieren und dokumentierbar machen Die eigentliche Pflicht aus Art. 28 DSGVO bleibt aber bei dir: Du musst nur solche Dienstleister einsetzen, die hinreichende Garantien für eine DSGVO-konforme Verarbeitung bieten. ([datenschutz-guru.de](https://www.datenschutz-guru.de/checkliste-zur-pruefung-eines-auftragsverarbeitungsvertrages/)) Ein praxisnahes Beispiel: Wenn das Tool bei einem Cloud-Anbieter fehlende Angaben zu Subprozessoren oder nur pauschale TOMs erkennt, ist die Aufgabe der Kanzlei nicht, den Anbieter „durchzuwinken“, sondern die Lücke rechtlich einzuordnen und die konkrete Konsequenz festzulegen: Nachforderung, Vertragsänderung oder Ablehnung. Genau darin liegt ihr eigentlicher Nutzen. ([visioncompliance.eu](https://visioncompliance.eu/de/blog/art-28-dsgvo-auftragsverarbeitung))