Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die DSGVO begründet eigene Pflichten und eine eigenständige Haftung des Auftragsverarbeiters.
Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Begriff löst die frühere Bezeichnung „Auftragsdatenverarbeitung" aus dem alten BDSG ab und hat gegenüber ihr inhaltlich deutlich an Kontur gewonnen.
Das Wichtigste in Kürze
- Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen, nicht für eigene Zwecke.
- Die DSGVO trifft den Auftragsverarbeiter mit eigenen Pflichten: Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO, ggf. Vertreterbestellung nach Art. 27 DSGVO.
- Verarbeitung und Unterauftragsvergabe erfordern zwingend einen Vertrag, der die Mindestanforderungen des Art. 28 Abs. 3 DSGVO erfüllt. Für diesen Vertrag gibt es Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/915).
- Bestimmt der Auftragsverarbeiter selbst über Zwecke und Mittel der Verarbeitung, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen.
- Neben dem Verantwortlichen haftet auch der Auftragsverarbeiter auf Schadensersatz nach Art. 82 DSGVO; im Außenverhältnis besteht gesamtschuldnerische Haftung.
1. Überblick
1.1 Definition und Abgrenzung zur alten Rechtslage
Ein Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten nicht für eigene Zwecke, sondern auf Anweisung und für Rechnung eines Verantwortlichen verarbeitet. Die Weisungsgebundenheit ist das Kernmerkmal: Der Auftragsverarbeiter entscheidet nicht selbst, warum und auf welche Art die Daten verarbeitet werden; das bleibt Aufgabe des Verantwortlichen (Art. 4 Nr. 8 DSGVO).
Gegenüber dem früheren Recht hat sich die Rolle des Auftragsverarbeiters grundlegend gewandelt. Nach altem BDSG-Verständnis galt der Auftragnehmer als verlängerter Arm des Auftraggebers; Pflichten und Haftung lagen nahezu ausschließlich beim Verantwortlichen. Die DSGVO bricht mit dieser Konzeption: Sie adressiert den Auftragsverarbeiter mit eigenen, unmittelbar anwendbaren Pflichten und macht ihn für deren Verletzung haftbar.
1.2 Praktische Bedeutung
Nahezu jeder Einsatz externer IT-Dienstleister begründet eine Auftragsverarbeitung: Cloud-Infrastruktur, Software-as-a-Service, externes Hosting, Lohn- und Gehaltsabrechnung sowie Inkassotätigkeiten sind typische Anwendungsfälle. Solange die Forderung nicht an den Dienstleister abgetreten ist, handelt eine Inkasso- oder Abrechnungsstelle im Auftrag des Verantwortlichen und ist als Auftragsverarbeiter einzuordnen. Auch Cloud Computing stellt nach allgemeiner Auffassung Auftragsverarbeitung dar.
2. Pflichten des Auftragsverarbeiters
2.1 Verzeichnis der Verarbeitungstätigkeiten
Im Unterschied zum alten Recht führt der Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO ein eigenes Verzeichnis der Verarbeitungstätigkeiten. Das Verzeichnis muss die Namen und Kontaktdaten aller Verantwortlichen, für die der Auftragsverarbeiter tätig ist, die Kategorien der im Auftrag durchgeführten Verarbeitungen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO enthalten. Die Verzeichnispflicht gilt unabhängig von der Unternehmensgröße.
2.2 Vertreter in der Union
Hat der Auftragsverarbeiter keinen Sitz in der Europäischen Union, ist er nach Art. 27 DSGVO verpflichtet, einen Vertreter in der Union schriftlich zu benennen. Der Vertreter fungiert als Ansprechpartner für Betroffene und Aufsichtsbehörden. Ausgenommen sind nur gelegentliche Verarbeitungen ohne besonderes Risiko sowie Verarbeitungen durch Behörden.
3. Vertragliche Grundlage der Auftragsverarbeitung
3.1 Pflicht zum Auftragsverarbeitungsvertrag
Jede Auftragsverarbeitung setzt einen Vertrag oder ein anderes Rechtsinstrument voraus (Art. 28 Abs. 3 DSGVO). Dieser Vertrag muss schriftlich oder in einem elektronischen Format abgefasst sein und einen Mindestinhalt aufweisen: Er legt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen fest. Darüber hinaus regelt er die konkreten Weisungsbefugnisse des Verantwortlichen und die Pflichten des Auftragsverarbeiters, insbesondere zur Vertraulichkeit, zur Umsetzung technischer und organisatorischer Maßnahmen, zur Unterstützung bei der Wahrnehmung von Betroffenenrechten sowie zur Löschung oder Rückgabe der Daten nach Beendigung des Auftrags.
3.2 Standardvertragsklauseln
Für die Ausgestaltung des Vertrags nach Art. 28 Abs. 3 DSGVO hat die Europäische Kommission Standardvertragsklauseln beschlossen (Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021). Diese Klauseln können Verantwortliche und Auftragsverarbeiter direkt übernehmen, um die Anforderungen des Art. 28 Abs. 3 und 4 DSGVO zu erfüllen. Ihre Verwendung schließt eine inhaltliche Prüfung der Verarbeitungssituation nicht aus; zusätzliche Vereinbarungen sind zulässig, solange sie den Klauseln nicht widersprechen.
3.3 Unterauftragsverhältnisse
Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Unterauftragnehmer) nur einschalten, wenn der Verantwortliche hierfür zugestimmt hat (Art. 28 Abs. 2 DSGVO). Die Zustimmung kann allgemein oder spezifisch erteilt werden; bei allgemeiner Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen informieren. Der Unterauftragnehmer ist über einen Vertrag zu verpflichten, der dieselben Datenschutzpflichten enthält wie der Hauptvertrag (Art. 28 Abs. 4 DSGVO). Hält der Unterauftragnehmer diese Pflichten nicht ein, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen voll verantwortlich.
Ein Vertrag mit einem Dienstleister, der personenbezogene Daten verarbeitet, ohne die Voraussetzungen des Art. 28 Abs. 3 DSGVO zu erfüllen, begründet keine wirksame Auftragsverarbeitung. In diesem Fall fehlt es an einer Rechtsgrundlage für die Weitergabe der Daten, was einen eigenständigen Datenschutzverstoß darstellt und Bußgeldrisiken nach Art. 83 Abs. 4 lit. a DSGVO auslöst.
4. Haftung
4.1 Eigene Haftung des Auftragsverarbeiters
Die DSGVO hat die Haftungslage grundlegend verändert. Während nach altem Recht die Verantwortung im Außenverhältnis im Wesentlichen beim Auftraggeber lag, haftet der Auftragsverarbeiter nach Art. 82 DSGVO nunmehr selbst auf Ersatz materieller und immaterieller Schäden. Haftungsgrundlage ist ein Verstoß gegen spezifisch den Auftragsverarbeiter treffende DSGVO-Pflichten oder eine Handlung außerhalb oder entgegen den Weisungen des Verantwortlichen.
4.2 Gesamtschuldnerische Haftung
Ist neben dem Auftragsverarbeiter auch der Verantwortliche für denselben Schaden verantwortlich, haften beide gegenüber der betroffenen Person gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO). Die betroffene Person kann den vollen Schadensersatz von jeder der beteiligten Stellen verlangen. Im Innenverhältnis erfolgt ein Ausgleich entsprechend dem jeweiligen Verantwortlichkeitsgrad. Ein Auftragsverarbeiter kann sich von der Haftung nur befreien, wenn er nachweist, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist (Art. 82 Abs. 3 DSGVO).
5. Auftragsverarbeiter als Verantwortlicher
Überschreitet der Auftragsverarbeiter die Grenzen des Auftrags und bestimmt er eigenständig über Zwecke und Mittel der Verarbeitung, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Die Qualifikation als Auftragsverarbeiter schützt also nicht dauerhaft vor einer Verantwortlichkeit; entscheidend ist, wer tatsächlich die Zwecke der Verarbeitung bestimmt.
6. Abgrenzung zu verwandten Rechtsfiguren
Die Abgrenzung zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und der Übermittlung an einen eigenständig Verantwortlichen ist in der Praxis von erheblicher Bedeutung, weil sich daraus unterschiedliche Pflichten und Rechtsgrundlagen ergeben.
Die frühere datenschutzrechtliche Figur der „Funktionsübertragung" kennt die DSGVO nicht. Eine Stelle, die Aufgaben des Verantwortlichen mit eigener Entscheidungsbefugnis übernimmt, ist daher entweder als eigenständig Verantwortlicher oder bei arbeitsteiligem Zusammenwirken als gemeinsam Verantwortlicher einzuordnen.
Die folgende Tabelle fasst die wesentlichen Unterschiede zusammen:
| Kriterium | Auftragsverarbeitung (Art. 28 DSGVO) | Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) | Übermittlung an Dritten |
|---|---|---|---|
| Zweck- und Mittelbestimmung | Allein beim Verantwortlichen | Gemeinsam durch beide Parteien | Eigenständig durch den Empfänger |
| Weisungsgebundenheit | Ja, vollständig | Nein, beide bestimmen mit | Nein |
| Rechtsgrundlage für die Weitergabe | AVV nach Art. 28 Abs. 3 DSGVO | Vereinbarung nach Art. 26 Abs. 1 DSGVO | Rechtsgrundlage nach Art. 6 DSGVO erforderlich |
| Eigene Pflichten des Empfängers | Ja (Art. 28 Abs. 3, Art. 30 Abs. 2 DSGVO) | Ja, als Verantwortlicher | Ja, als eigenständiger Verantwortlicher |
| Haftung | Gesamtschuldnerisch mit Verantwortlichem (Art. 82 Abs. 4 DSGVO) | Gesamtschuldnerisch, Ausgleich intern | Eigenständige Haftung |
| Typische Praxisbeispiele | Cloud-Hosting, Gehaltsabrechnung, Inkasso (vor Abtretung) | Gemeinsam betriebene Plattform, Joint Venture | Weitergabe an Behörden, eigenständige Dienstleister |
Die Lohn- und Gehaltsabrechnung durch einen externen Dienstleister oder Steuerberater stellt Auftragsverarbeitung dar, solange dieser ausschließlich nach Weisung des Arbeitgebers handelt. Wird die Abrechnung als arbeitsteiliges Zusammenwirken mit eigener Gestaltungsbefugnis des Steuerberaters verstanden, kann die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO einschlägig sein. Die Abgrenzung hängt von der tatsächlichen Ausgestaltung der Zusammenarbeit ab.
Verantwortlicher
Art. 4 Nr. 7 DSGVO: Wer die Zwecke und Mittel der Verarbeitung bestimmt.
Dritter
Art. 4 Nr. 10 DSGVO: Abgrenzung zum eigenständig Verantwortlichen.
Verzeichnis der Verarbeitungstätigkeiten
Art. 30 Abs. 2 DSGVO: Pflichten des Auftragsverarbeiters zur Dokumentation.
Art. 28 DSGVO
Volltext: Auftragsverarbeiter, Vertragsinhalt, Unterauftragsvergabe.
Art. 82 DSGVO
Haftung und Schadensersatzansprüche bei DSGVO-Verstößen.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist Verantwortlicher und zentraler Pflichtenträger der DSGVO: Definition, Abgrenzung zu Auftragsverarbeiter und gemeinsamer Verantwortlichkeit, Fallgruppen.
Empfänger (Art. 4 Nr. 9 DSGVO)
Empfänger ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.