Unternehmen, die im Rahmen ihrer Tätigkeiten Dienstleister einsetzen, die mit der Verarbeitung personenbezogener Daten betraut sind oder bei denen die Möglichkeit der Einsichtsnahme in personenbezogen Daten besteht, sind verpflichtet einen schriftlichen Vertrag mit diesem Dienstleister zu schließen, der den Anforderungen des § 11 BDSG erfüllt, denn es handelt sind in diesen Fällen regelmäßig um Auftragsdatenverarbeitung. Anders ist es nur, wenn eine sogenannte Funktionsübertragung vorliegen würde. In diesem Fall müßte es allerdings auch eine Rechtsgrundlage für die Übermittlung an den Dienstleister geben, während sich bei der Auftragsdatenverarbeitung die Erlaubnis für die Übermittlung aus § 11 BDSG ergibt.
Der Dienstleister ist vor Tätigkeitsaufnahme und dann in rgelmäßigen Abständen in datenschutzrechtlicher Hinsicht zu prüfen. Hierbei handelt es sich um eine Verpflichtung der verantwortlichen Stelle. Hat die verantwortliche Stelle einen Datenschutzbeauftragten, kann dieser die Prüfung für das Unternehmen übernehmen. Hierzu benötigt er eine Liste der Dienstleister, sowie die dazugehörigen Verträge, um mit der Prüfung beginnen zu können. Meist sind in vertraglicher Hinsicht Anpassungen notwendig. Anschließend sind die getroffenen und vereinbarten technischen und organisatorischen Maßnahmen in tatsächlicher Hinsicht zu prüfen.
Anstelle von Vor-Ort-Prüfungen kann der Auftragnehmer auch Bescheinigungen von Gutachtern oder einschlägige Zertifizierungen vorlegen. Ob dies für den Auftraggeber ausreicht, hängt von der Schutzwürdigkeit der Daten, die der Dienstleister verarbeitet und den getroffenen vertraglichen Vereinbarungen ab. Prüfungsbescheinigungen von externern Datenschutzbeaufragten oder Rechtsanwälten können hier ebenfalls ausreichen, da externe Datenschutzbeauftragte und Rechtsanwälte im Gegensatz zu internen Datenschutzbeauftragten eine höhere Unabhängigket und Neutralität gewährleisten. In der Praxis werden sie jedenfalls häufig akzeptiert.
