Viele Unternehmen bedienen sich an Dienstleistungsangeboten anderer Unternehmen.

Im Rahmen der Dienstleistungen sind oft personenbezogene Daten Bestandsteil oder „Beiwerk“.

In diesem Fall ist es zur Regelung von Verantwortlichkeiten, Pflichten und Haftungsmöglichkeiten oft verpflichtend, einen Auftragsverarbeitungsvertrag (AV-Vertrag gem. Art. 28 DSGVO) abzuschließen. Bestandteil solcher Verträge sind u.a. auch die Vorgabe und Dokumentation der relevanten technischen und organisatorischen Sicherheitsmaßnahmen des Dienstleisters, die sog. „TOM’s“.

Auch muss eine Regelung zu eventuell von Dienstleister genutzter Sub- oder Nachunternehmen getroffen werden.