Auftragsverarbeitung nach DSGVO: Worauf Unternehmen achten müssen
Wer personenbezogene Daten nicht selbst verarbeitet, sondern einen Dienstleister damit beauftragt, muss einiges beachten. Die Datenschutz-Grundverordnung (DSGVO) regelt die sogenannte Auftragsverarbeitung streng – und das aus gutem Grund. Denn Unternehmen tragen auch dann Verantwortung, wenn die eigentliche Verarbeitung ausgelagert ist.
In diesem Artikel erfahren Sie, worauf es ankommt – von den rechtlichen Grundlagen über die typischen Stolperfallen bis zur praktischen Checkliste für Ihren Auftragsverarbeitungsvertrag.
Was ist Auftragsverarbeitung?
Von Auftragsverarbeitung spricht man, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Typische Beispiele:
- Hosting- oder Cloud-Anbieter
- E‑Mail-Dienste
- Lohnabrechnungsbüros
- externe IT-Administratoren
Wichtig: Der Dienstleister entscheidet nicht selbst über Zwecke und Mittel der Verarbeitung. Tut er das, liegt keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit oder eine eigene Verantwortlichkeit vor.
Rechtsgrundlagen: Was sagt die DSGVO?
Die maßgeblichen Regelungen zur Auftragsverarbeitung finden sich in:
- Art. 28 DSGVO: zentrale Vorschrift zur Auftragsverarbeitung
- Art. 32 DSGVO: technische und organisatorische Maßnahmen (TOMs)
- Art. 29 DSGVO: Weisungsgebundenheit des Auftragsverarbeiters
- Art. 44 ff. DSGVO: Drittlandübermittlungen (z. B. USA)
Zusätzlich gelten nationale Gesetze wie das BDSG, das KDG oder das DSAG, wenn kirchliche oder öffentliche Stellen betroffen sind.
Praktische Herausforderungen
1. Geeignete Auftragsverarbeiter finden
Nicht jeder Anbieter erfüllt die Anforderungen der DSGVO. Besonders schwierig: Anbieter mit Sitz außerhalb der EU oder Anbieter, die keine klaren Angaben zur eigenen Subverarbeitung machen.
2. TOMs prüfen – aber wie?
Verantwortliche müssen nachweislich prüfen, ob der Dienstleister angemessene Sicherheitsmaßnahmen getroffen hat. Häufige Probleme:
- unklare oder pauschale Aussagen im Sicherheitskonzept
- kein Penetrationstest
- fehlende Maßnahmen für Vertraulichkeit und Verfügbarkeit
Tipp: Bitten Sie um ein detailliertes TOM-Dokument oder ISO-Zertifikate – und lesen Sie kritisch.
3. Subunternehmerkette im Blick behalten
Ein großer Stolperstein: Der Auftragsverarbeiter bezieht selbst Leistungen von Subunternehmern (z. B. ein Cloudanbieter hostet bei AWS). Das ist zulässig, aber nur mit vorheriger Information und Zustimmung des Verantwortlichen.
Schwierig wird es, wenn Subunternehmer weitere Subunternehmer beauftragen. Die Kontrollierbarkeit nimmt mit jeder Stufe ab – rechtlich verantwortlich bleiben aber Sie als Auftraggeber.
Was muss ein Auftragsverarbeitungsvertrag regeln?
Nach Art. 28 Abs. 3 DSGVO ist ein AVV Pflicht – mündliche Absprachen oder AGB-Klauseln reichen nicht. Der Vertrag muss u. a. folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Datenverarbeitung
- Kategorien betroffener Personen und Daten
- Rechte und Pflichten des Verantwortlichen
- Pflichten des Auftragsverarbeiters, u. a. zur Vertraulichkeit, Datensicherheit, Unterstützung bei Betroffenenrechten
- Regelungen zu Subunternehmern
- Löschung oder Rückgabe der Daten nach Vertragsende
- Nachweispflichten, Kontrollen, Dokumentation
Kurze Checkliste: Auftragsverarbeitung richtig umsetzen
- Liegt überhaupt Auftragsverarbeitung im Sinne der DSGVO vor?
- Wurde ein schriftlicher AVV (auch elektronisch möglich) abgeschlossen?
- Wurden die TOMs des Dienstleisters geprüft und dokumentiert?
- Ist die Subunternehmerregelung transparent (inkl. aktueller Liste)?
- Gibt es Vertragsstrafen oder Kündigungsrechte bei DSGVO-Verstößen?
- Wurde eine Risikoabwägung vorgenommen (z. B. bei Drittlandsverarbeitung)?
- Sind Kontrollrechte vertraglich vereinbart (z. B. Audit oder Fragebogen)?
Weiterführende Informationen und Musterverträge
- Checkliste der Berliner Datenschutzbehörde (PDF)
- Bitkom-Mustervertragsanlage für AVV (Version 2023)
- Formularhandbuch Datenschutzrecht – Kapitel zur Auftragsverarbeitung (Koreng/Lachenmann)
Diese Muster helfen bei der Erstellung eigener Verträge – sie ersetzen aber keine juristische Prüfung im Einzelfall.
Fazit:
Die Auftragsverarbeitung ist kein bloßer Formalakt. Wer personenbezogene Daten auslagert, muss seine Partner sorgfältig auswählen, Verträge rechtssicher gestalten und die Kontrolle behalten. Sonst drohen nicht nur Bußgelder, sondern auch ein Reputationsschaden – und den kann kein Vertrag ausgleichen.
Was ist eine Auftragsverarbeitung gemäß DSGVO?
Eine Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Unternehmens verarbeitet – z. B. ein IT- oder Cloud-Dienstleister.
Wann muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet. Der Vertrag ist nach Art. 28 DSGVO verpflichtend.
Was muss im AVV geregelt sein?
Der AVV muss u. a. Verarbeitungszweck, Datenarten, Kategorien betroffener Personen, Pflichten des Dienstleisters, technische und organisatorische Maßnahmen (TOMs) und Subunternehmer regeln.
Wie prüfe ich die technischen und organisatorischen Maßnahmen (TOMs)?
Lass dir ein Sicherheitskonzept, Zertifizierungen (z. B. ISO 27001) oder konkrete Maßnahmen zeigen – und dokumentiere deine Prüfung.
Darf ein Auftragsverarbeiter Subunternehmer einsetzen?
Ja, aber nur mit vorheriger schriftlicher Genehmigung oder einer allgemeinen Genehmigung und Information des Verantwortlichen. Alle Subunternehmer müssen DSGVO-konform arbeiten.
Was passiert bei Drittlandsverarbeitung (z. B. USA)?
Dann gelten zusätzlich die Art. 44 ff. DSGVO. Es müssen geeignete Garantien vorliegen, z. B. Standardvertragsklauseln oder ein Angemessenheitsbeschluss.
Was sind typische Fehler bei der Auftragsverarbeitung?
Kein schriftlicher Vertrag, fehlende Prüfung der TOMs, keine klare Subunternehmerregelung, unklare Verantwortlichkeiten oder die Nutzung von Dienstleistern ohne DSGVO-Niveau.