Auftragsverarbeitung ist eines der wichtigsten Konzepte der DSGVO — und gleichzeitig eines der am häufigsten missverstandenen. Wenn Sie als Unternehmen externe Dienstleister einsetzen, die personenbezogene Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Ohne diesen Vertrag verstoßen Sie gegen Art. 28 DSGVO — und das kann teuer werden.

In diesem Artikel erkläre ich Ihnen, was Auftragsverarbeitung genau ist, wann Sie einen AVV brauchen, was drin stehen muss und welche typischen Fehler Sie vermeiden sollten.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn eine externe Stelle (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der Verantwortliche bestimmt dabei die Zwecke und Mittel der Verarbeitung — der Auftragsverarbeiter handelt nur nach dessen Anweisungen.

Die Definition ergibt sich aus Art. 4 Nr. 8 DSGVO:

„Auftragsverarbeiter" [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Abgrenzung: Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Nicht jede Zusammenarbeit mit Dienstleistern ist Auftragsverarbeitung. Es gibt drei Konstellationen:

  1. Auftragsverarbeitung (Art. 28 DSGVO): Der Dienstleister verarbeitet Daten nach Ihrer Weisung, ohne eigene Entscheidungsbefugnis über Zweck und Mittel.

  2. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Beide Parteien bestimmen gemeinsam über Zweck und Mittel der Verarbeitung. Beispiel: Gemeinsam betriebene Facebook-Fanpage (EuGH, Urteil vom 05.06.2018, C-210/16).

  3. Eigenverantwortliche Verarbeitung: Der Dienstleister verarbeitet Daten zu eigenen Zwecken. Beispiel: Steuerberater, Rechtsanwalt, Bank.

Die Abgrenzung ist in der Praxis nicht immer einfach. Entscheidend ist, wer über die Zwecke und Mittel der Verarbeitung bestimmt.

Wann brauchen Sie einen AVV?

Typische Fälle von Auftragsverarbeitung

Hier sind die häufigsten Situationen, in denen ein AVV erforderlich ist:

IT und Hosting:

  • Cloud-Hosting (AWS, Hetzner, IONOS)
  • E-Mail-Hosting
  • Managed IT-Services
  • Backup-Dienste
  • Content Delivery Networks (CDN)

Marketing und Kommunikation:

  • Newsletter-Dienste (Mailchimp, CleverReach, Sendinblue)
  • CRM-Systeme (HubSpot, Salesforce)
  • Marketing-Automation
  • Social-Media-Management-Tools

Analyse und Tracking:

  • Google Analytics (als Cloud-Dienst)
  • Hotjar, Mouseflow
  • A/B-Testing-Tools

Personalwesen:

  • Lohnabrechnung durch externen Dienstleister
  • Bewerbermanagement-Software
  • Zeiterfassungssysteme

Kundenservice:

  • Externes Call-Center
  • Helpdesk-Software (Zendesk, Freshdesk)
  • Chatbot-Dienste

Weitere:

  • Aktenvernichtung
  • Lettershop / Druckdienstleister (wenn personalisiert)
  • Cloud-Speicher (Dropbox, Google Drive)

Wann ist kein AVV erforderlich?

Kein AVV wird benötigt bei:

  • Berufsgeheimnisträgern: Steuerberater, Rechtsanwälte, Ärzte verarbeiten Daten eigenverantwortlich
  • Banken und Zahlungsdienstleistern: Die Bank verarbeitet Zahlungsdaten zu eigenen Zwecken (Vertragserfüllung)
  • Postdiensten: Reine Beförderung von Briefen und Paketen
  • Eigenverantwortlichen Dienstleistern: Wenn der Dienstleister die Daten zu eigenen Zwecken und nach eigenem Ermessen verarbeitet

Was muss im AVV stehen?

Art. 28 Abs. 3 DSGVO schreibt verbindlich vor, welche Inhalte ein AVV haben muss:

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

  1. Gegenstand und Dauer der Verarbeitung: Was wird verarbeitet und wie lange?

  2. Art und Zweck der Verarbeitung: Welche konkreten Verarbeitungstätigkeiten finden statt?

  3. Art der personenbezogenen Daten: Welche Datenkategorien werden verarbeitet (z. B. Kontaktdaten, Zahlungsdaten, Gesundheitsdaten)?

  4. Kategorien betroffener Personen: Wer ist betroffen (z. B. Kunden, Mitarbeiter, Bewerber)?

  5. Pflichten und Rechte des Verantwortlichen: Weisungsrecht, Kontrollrecht, Informationspflichten.

  6. Weisungsgebundenheit (lit. a): Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung verarbeiten.

  7. Vertraulichkeit (lit. b): Alle zur Verarbeitung befugten Personen müssen zur Vertraulichkeit verpflichtet sein.

  8. Technische und organisatorische Maßnahmen (lit. c): Konkrete Sicherheitsmaßnahmen nach Art. 32 DSGVO.

  9. Unterauftragsverarbeiter (lit. d): Regelung, ob und wie Sub-Dienstleister eingesetzt werden dürfen.

  10. Unterstützung bei Betroffenenrechten (lit. e): Der Auftragsverarbeiter muss bei der Erfüllung von Betroffenenanfragen helfen.

  11. Unterstützung bei Sicherheit und Meldepflichten (lit. f): Hilfe bei Datenpannen, DSFA und Konsultation der Aufsichtsbehörde.

  12. Löschung oder Rückgabe (lit. g): Nach Ende der Auftragsverarbeitung müssen alle Daten gelöscht oder zurückgegeben werden.

  13. Nachweispflicht und Kontrollen (lit. h): Der Auftragsverarbeiter muss die Einhaltung nachweisen und Audits ermöglichen.

Form des AVV

Der AVV muss schriftlich abgeschlossen werden — wobei ein elektronisches Format (z. B. PDF oder Online-Vereinbarung) ausreicht (Art. 28 Abs. 9 DSGVO). Viele große Anbieter stellen ihre AVVs als Online-Dokument bereit, das Sie akzeptieren können.

Unterauftragsverarbeitung

Ein besonders wichtiger Aspekt ist die Unterauftragsverarbeitung — also die Frage, ob Ihr Auftragsverarbeiter seinerseits Subunternehmer einsetzt.

Nach Art. 28 Abs. 2 DSGVO gibt es zwei Modelle:

  1. Allgemeine schriftliche Genehmigung: Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen, muss Sie aber über jede Änderung informieren. Sie haben ein Einspruchsrecht.

  2. Gesonderte Genehmigung: Jeder einzelne Unterauftragsverarbeiter muss von Ihnen genehmigt werden.

In der Praxis ist Modell 1 üblich, insbesondere bei großen Cloud-Anbietern. Achten Sie darauf, dass Sie tatsächlich über Änderungen informiert werden und Ihr Einspruchsrecht wahrnehmen können.

Wichtig: Der Auftragsverarbeiter muss dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die im AVV zwischen Ihnen und dem Auftragsverarbeiter vereinbart sind (Art. 28 Abs. 4 DSGVO).

Drittlandtransfer und AVV

Wenn Ihr Auftragsverarbeiter oder dessen Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten, brauchen Sie zusätzlich eine Rechtsgrundlage für den Drittlandtransfer nach Art. 44 ff. DSGVO:

  • Angemessenheitsbeschluss (Art. 45): z. B. EU-US Data Privacy Framework für zertifizierte US-Unternehmen
  • Standardvertragsklauseln (Art. 46 Abs. 2 lit. c): Die EU-Standardvertragsklauseln von 2021 müssen verwendet werden
  • Binding Corporate Rules (Art. 47): Für konzerninterne Transfers

In jedem Fall muss ein Transfer Impact Assessment (TIA) durchgeführt werden, um die Risiken des Transfers zu bewerten.

Häufige Fehler bei der Auftragsverarbeitung

1. Kein AVV vorhanden

Der häufigste Fehler überhaupt. Viele Unternehmen setzen Dutzende Cloud-Dienste ein, ohne je einen AVV abgeschlossen zu haben. Das ist ein klarer Verstoß gegen Art. 28 DSGVO.

2. Veraltete AVVs

AVVs, die noch auf die alte Fassung der EU-Standardvertragsklauseln (vor 2021) verweisen, sind nicht mehr gültig. Prüfen Sie regelmäßig, ob Ihre AVVs aktuell sind.

3. AVV mit dem falschen Dienstleister

Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Einen AVV mit dem Steuerberater oder Rechtsanwalt abzuschließen, ist rechtlich falsch — und kann die tatsächliche Verantwortungsverteilung unklar machen.

4. Ungeprüfte Unterauftragsverarbeiter

Viele Unternehmen wissen nicht, welche Unterauftragsverarbeiter ihre Dienstleister einsetzen. Das ist problematisch, weil Sie als Verantwortlicher die Kontrolle behalten müssen.

5. Fehlende TOMs

Der AVV enthält keine oder nur pauschale Angaben zu technischen und organisatorischen Maßnahmen. Die TOMs müssen konkret und nachprüfbar sein.

Praxis-Tipps für die Umsetzung

  1. Bestandsaufnahme machen: Listen Sie alle Dienstleister auf, die personenbezogene Daten für Sie verarbeiten. Nutzen Sie unseren DSGVO-Check als Ausgangspunkt.

  2. Kategorisieren: Prüfen Sie für jeden Dienstleister, ob es sich um Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigenverantwortliche Verarbeitung handelt.

  3. AVVs einfordern: Die meisten großen Anbieter stellen AVVs auf ihren Websites bereit. Kleinere Dienstleister müssen Sie aktiv auffordern.

  4. Regelmäßig überprüfen: Mindestens jährlich sollten Sie prüfen, ob alle AVVs aktuell sind und ob neue Dienstleister hinzugekommen sind.

  5. Dokumentieren: Halten Sie alle AVVs zentral fest und dokumentieren Sie, wann sie abgeschlossen oder aktualisiert wurden.

Konsequenzen bei fehlenden AVVs

Ohne AVV verstoßen Sie gegen Art. 28 DSGVO. Die Konsequenzen:

  • Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO: Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes
  • Haftung für Schäden, die durch den Auftragsverarbeiter verursacht werden
  • Abmahnrisiko durch Wettbewerber oder Verbraucherschutzverbände

Fazit

Die Auftragsverarbeitung nach der DSGVO ist kein bürokratisches Monster — sie ist ein systematischer Schutz für die Daten Ihrer Kunden und Mitarbeiter. Ein sauberer AVV schafft Klarheit über Verantwortlichkeiten, Pflichten und Rechte.

Starten Sie mit einer Bestandsaufnahme Ihrer Dienstleister und arbeiten Sie die AVVs systematisch ab. Unser DSGVO-Check hilft Ihnen dabei, den Überblick zu behalten. Bei akutem Handlungsbedarf unterstützt Sie unser Rettungspaket, und alle Begriffe finden Sie in unserem Glossar.

In unserer Produktübersicht finden Sie weitere Lösungen für Ihre DSGVO-Compliance.

Häufig gestellte Fragen (FAQ)