Die Auftragsverarbeitung ist eines der praxisrelevantesten Themen der DSGVO. Nahezu jedes Unternehmen setzt externe Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten – von Cloud-Anbietern über Lohn- und Gehaltsabrechnungen bis zu Marketing-Tools. Laut einer Bitkom-Studie nutzen 94 % der deutschen Unternehmen mindestens einen externen IT-Dienstleister, der als Auftragsverarbeiter im Sinne der DSGVO einzustufen ist.
Artikel 28 DSGVO stellt klare Anforderungen an die vertragliche Gestaltung und die Pflichten beider Seiten. Fehler bei der Auftragsverarbeitung gehören zu den häufigsten Gründen für DSGVO-Bußgelder. Dieser Artikel erläutert die rechtlichen Grundlagen, die Vertragsinhalte und die praktische Umsetzung der Auftragsverarbeitung nach der DSGVO.
Was ist Auftragsverarbeitung nach der DSGVO?
Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher einen externen Dienstleister beauftragt, personenbezogene Daten in seinem Auftrag und nach seinen Weisungen zu verarbeiten. Der Auftragsverarbeiter handelt nicht eigenverantwortlich, sondern ist an die Weisungen des Verantwortlichen gebunden. Diese Abgrenzung ist von zentraler Bedeutung, da sie bestimmt, welche rechtlichen Pflichten für die beteiligten Parteien gelten.
Abgrenzung und typische Beispiele
Die Unterscheidung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach Artikel sechsundzwanzig DSGVO ist entscheidend. Bei der Auftragsverarbeitung bestimmt ausschließlich der Verantwortliche die Zwecke und Mittel der Verarbeitung. Der Auftragsverarbeiter führt die Verarbeitung nach Weisung durch. Bei gemeinsamer Verantwortlichkeit legen hingegen zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel fest.
Typische Beispiele für Auftragsverarbeitung sind Hosting-Dienste, die personenbezogene Daten speichern, externe Lohn- und Gehaltsabrechnung, Cloud-basierte CRM-Systeme, Newsletter-Versanddienstleister und externe IT-Wartung mit Zugriff auf personenbezogene Daten. Keine Auftragsverarbeitung liegt hingegen vor bei rein postalischen Dienstleistungen, Bankdiensten oder Steuerberatung, da diese Dienstleister eigenverantwortlich handeln und selbst über Zwecke und Mittel der Verarbeitung entscheiden.
Pflichten von Verantwortlichen und Auftragsverarbeitern
Artikel achtundzwanzig DSGVO begründet umfangreiche Pflichten für beide Seiten. Die Einhaltung dieser Pflichten ist nicht nur eine rechtliche Anforderung, sondern auch ein wesentlicher Faktor bei der Vermeidung von Bußgeldern.
Pflichten des Verantwortlichen und des Auftragsverarbeiters
Der Verantwortliche trägt die primäre Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Er muss eine sorgfältige Auswahl des Auftragsverarbeiters sicherstellen und prüfen, ob dieser hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet. Darüber hinaus muss er einen Auftragsverarbeitungsvertrag (AVV) abschließen, der alle gesetzlichen Anforderungen erfüllt, Weisungen dokumentieren und dem Auftragsverarbeiter klare Anweisungen erteilen. Die Durchführung von Kontrollen und die Genehmigung von Unterauftragsverarbeitern gehören ebenfalls zu den Pflichten des Verantwortlichen.
Der Auftragsverarbeiter ist an die Weisungen des Verantwortlichen gebunden und muss die Daten nur auf dokumentierte Weisung verarbeiten, die Vertraulichkeit sicherstellen, alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen umsetzen und den Verantwortlichen bei der Erfüllung seiner Pflichten unterstützen, insbesondere bei Auskunftsersuchen und Löschanfragen. Nach Abschluss der Auftragsverarbeitung müssen alle personenbezogenen Daten gelöscht oder zurückgegeben werden. Der Auftragsverarbeiter muss dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung zur Verfügung stellen und Überprüfungen ermöglichen.
Was muss im Auftragsverarbeitungsvertrag stehen?
Der Auftragsverarbeitungsvertrag (AVV) ist das zentrale Dokument der Auftragsverarbeitung. Die DSGVO legt den Mindestinhalt verbindlich fest, und ein unvollständiger oder fehlerhafter AVV kann erhebliche rechtliche Konsequenzen nach sich ziehen.
Obligatorische Vertragsinhalte
Ein DSGVO-konformer AVV muss folgende Regelungen enthalten: eine präzise Beschreibung von Gegenstand und Dauer der Verarbeitung, die konkrete Angabe von Art und Zweck der Verarbeitungsvorgänge, die Auflistung der Arten personenbezogener Daten und der Kategorien betroffener Personen, eine klare Regelung der Pflichten und Rechte des Verantwortlichen einschließlich seiner Weisungsbefugnisse und Kontrollrechte, eine detaillierte Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen sowie die Festlegung, ob und unter welchen Bedingungen Unterauftragsverarbeiter eingesetzt werden dürfen.
Eine vage Beschreibung wie lediglich “IT-Dienstleistungen” ist unzureichend. Stattdessen sollten konkrete Verarbeitungsvorgänge benannt werden, etwa “Speicherung und Bereitstellung von Kundendaten im Rahmen des CRM-Systems” oder “Durchführung der monatlichen Lohn- und Gehaltsabrechnung”. Eine vollständige DSGVO-Checkliste sollte die Prüfung aller AVV-Pflichtinhalte umfassen.
Laut dem BfDI weisen über 40 % der geprüften Auftragsverarbeitungsverträge in Deutschland inhaltliche Mängel auf. Die häufigsten Defizite betreffen fehlende oder zu allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen, unzureichende Regelungen zur Einschaltung von Unterauftragsverarbeitern, fehlende Regelungen zur Datenlöschung nach Vertragsende und eine mangelnde Konkretisierung des Vertragsgegenstands.
Welche Rolle spielen Unterauftragsverarbeiter?
Die Einschaltung von Unterauftragsverarbeitern ist in der Praxis weit verbreitet. Große Cloud-Anbieter setzen regelmäßig Dutzende von Unterauftragsverarbeitern ein, die weltweit Daten verarbeiten. Die korrekte Handhabung dieser Unterauftragsverhältnisse ist ein häufig unterschätzter Compliance-Aspekt.
Genehmigung und Informationspflichten
Gemäß der DSGVO darf der Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuziehen. Dabei gibt es zwei Varianten: Bei der spezifischen Genehmigung genehmigt der Verantwortliche jeden einzelnen Unterauftragsverarbeiter namentlich, was maximale Kontrolle bietet, aber bei häufigen Änderungen aufwendig sein kann. Bei der allgemeinen Genehmigung erteilt der Verantwortliche eine generelle Erlaubnis, die den Auftragsverarbeiter jedoch verpflichtet, über Änderungen zu informieren und dem Verantwortlichen die Möglichkeit gibt, Einspruch zu erheben.
Der Auftragsverarbeiter muss dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die im AVV zwischen Verantwortlichem und Auftragsverarbeiter vereinbart wurden. Die Leitlinien des EDPB betonen, dass der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Handlungen des Unterauftragsverarbeiters vollständig haftet. Dies bedeutet, dass eine sorgfältige Prüfung und vertragliche Absicherung der gesamten Verarbeitungskette unerlässlich ist.
Prüfung und Kontrolle der Auftragsverarbeiter
Die Auswahl und fortlaufende Kontrolle von Auftragsverarbeitern ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der in das Datenschutz-Managementsystem integriert werden sollte. Ein strukturierter Kontrollprozess schützt vor Compliance-Lücken und unterstützt die Nachweispflichten gegenüber den Aufsichtsbehörden.
Audit- und Kontrollmaßnahmen
Eine wirksame Kontrolle umfasst mehrere Ebenen. Die Erstprüfung vor Vertragsschluss beinhaltet die Bewertung der technischen und organisatorischen Maßnahmen, die Prüfung von Zertifizierungen und das Einholen von Nachweisen über die Datenschutz-Compliance des Dienstleisters. Der AVV sollte ausdrückliche Audit-Rechte vorsehen, die sowohl angekündigte als auch unangekündigte Prüfungen ermöglichen.
Die regelmäßige Überprüfung sollte mindestens einmal jährlich erfolgen, idealerweise ergänzt durch Fragebögen und Selbstauskünfte des Auftragsverarbeiters. Alle Auftragsverarbeiter sollten im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden, einschließlich der Rechtsgrundlage und der getroffenen Sicherheitsmaßnahmen. Die Einbindung des Datenschutzbeauftragten in den Auswahlprozess und die regelmäßige Überprüfung ist dringend empfehlenswert.
Der Enforcement Tracker zeigt, dass Bußgelder wegen mangelhafter Auftragsverarbeitung in den letzten Jahren deutlich gestiegen sind. Die Berliner Beauftragte für Datenschutz hat mehrere Bußgelder wegen fehlender oder unvollständiger Auftragsverarbeitungsverträge verhängt, was die Bedeutung einer lückenlosen vertraglichen Absicherung unterstreicht.
Besonderheiten bei internationalem Datentransfer
Wenn ein Auftragsverarbeiter personenbezogene Daten in einem Drittland außerhalb des EWR verarbeitet, müssen zusätzliche Anforderungen erfüllt werden. Neben dem AVV ist ein geeigneter Transfermechanismus erforderlich, etwa Standardvertragsklauseln der EU-Kommission, ein Angemessenheitsbeschluss oder verbindliche Unternehmensregeln.
Die Nutzung US-amerikanischer Cloud-Dienste erfordert besondere Sorgfalt. Seit dem EU-US Data Privacy Framework besteht zwar ein Angemessenheitsbeschluss für zertifizierte US-Unternehmen, doch müssen Verantwortliche prüfen, ob der konkrete Auftragsverarbeiter tatsächlich zertifiziert ist. Eine Erfassung dieser Prüfungen im Rahmen der DSGVO-Anforderungen ist empfehlenswert.
Die Prüfung internationaler Datentransfers umfasst die Bewertung des Schutzniveaus im Empfängerland, die Auswahl des geeigneten Transfermechanismus, die Durchführung eines Transfer Impact Assessment bei Standardvertragsklauseln und die Dokumentation der gesamten Bewertung. Die Komplexität dieser Prüfung sollte nicht unterschätzt werden, und die Unterstützung durch den Datenschutzbeauftragten sowie die Erfassung der Ergebnisse gemäß der DSGVO-Checkliste sind dabei von großem Nutzen. Der Schutz der Rechte betroffener Personen, einschließlich des berechtigten Interesses als möglicher Rechtsgrundlage, muss auch bei Drittlandübermittlungen stets gewährleistet sein. Im Rahmen des Digital-Omnibus-Pakets der EU-Kommission vom November 2025 ist geplant, die Erleichterungen bei der Dokumentationspflicht für Auftragsverarbeiter — insbesondere die Ausnahme vom Verzeichnis der Verarbeitungstätigkeiten — künftig auf Unternehmen mit weniger als 750 Beschäftigten auszuweiten, was die Compliance-Anforderungen an kleinere Auftragsverarbeiter erheblich vereinfachen würde.
FAQ
Brauche ich für jeden Dienstleister einen Auftragsverarbeitungsvertrag?
Nicht für jeden Dienstleister ist ein AVV erforderlich. Ein AVV ist nur dann nötig, wenn der Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Dienstleister, die eigenverantwortlich handeln (zum Beispiel Steuerberater, Rechtsanwälte oder Banken), sind in der Regel keine Auftragsverarbeiter. Im Zweifelsfall sollte eine Einzelfallprüfung vorgenommen werden, um die richtige Einordnung sicherzustellen.
Was passiert, wenn kein Auftragsverarbeitungsvertrag vorliegt?
Das Fehlen eines AVV bei bestehender Auftragsverarbeitung stellt einen Verstoß gegen die DSGVO dar und kann mit erheblichen Bußgeldern geahndet werden. In der Praxis haben Aufsichtsbehörden Bußgelder in unterschiedlicher Höhe für fehlende AVV verhängt. Darüber hinaus fehlt ohne AVV die vertragliche Grundlage für die Kontrolle des Auftragsverarbeiters und für die Durchsetzung von Datenschutzpflichten entlang der Verarbeitungskette.
Kann ein Auftragsverarbeiter auch zum Verantwortlichen werden?
Ja, wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung eigenmächtig bestimmt, wird er nach der DSGVO automatisch als Verantwortlicher angesehen. Dies hat weitreichende Konsequenzen: Der ehemalige Auftragsverarbeiter unterliegt dann allen Pflichten eines Verantwortlichen und kann direkt mit Bußgeldern belegt werden. Dieses Risiko besteht insbesondere bei großen Technologieunternehmen, die Daten auch für eigene Zwecke nutzen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
