Auftragsverarbeiter (Art. 28 DSGVO)
Wann eine Auftragsverarbeitung vorliegt: Fallgruppen, Prüfschema nach Zwecken und Mitteln, Funktionsübertragung, Mehrfachrollen und Risiken der Fehleinordnung sowie der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Pflichtinhalten, Unterauftragsverarbeitern und EU-Mustervertrag.
Ein Auftragsverarbeiter verarbeitet personenbezogene Daten weisungsgebunden für einen Verantwortlichen, ohne über Zwecke oder wesentliche Mittel zu entscheiden. Er ist gewissermaßen die ausgelagerte IT- oder Sachbearbeitung des Verantwortlichen. Sein Datenumgang wird dem Verantwortlichen zugerechnet, und die Weitergabe an ihn ist privilegiert. Im Gegenzug muss ein Auftragsverarbeitungsvertrag geschlossen werden.
Das Wichtigste in Kürze
- Auftragsverarbeiter ist, wer Daten weisungsgebunden für einen Verantwortlichen verarbeitet, ohne über Zwecke oder wesentliche Mittel zu entscheiden (Art. 4 Nr. 8, Art. 28 DSGVO).
- Ob eine Auftragsverarbeitung vorliegt, lässt sich in der Praxis oft schneller über Fallgruppen klären als über die abstrakte Frage nach Zwecken und Mitteln.
- Wer als Auftragsverarbeiter über die Zwecke oder wesentliche Mittel mitentscheidet, gilt insoweit als Verantwortlicher (Art. 28 Abs. 10 DSGVO). Dieselbe Stelle kann für verschiedene Verarbeitungen verschiedene Rollen haben.
- Mit dem Auftragsverarbeiter ist ein Auftragsverarbeitungsvertrag mit den Pflichtinhalten des Art. 28 Abs. 3 lit. a bis h DSGVO zu schließen.
- Maßgeblich ist die faktische Rollenverteilung. Eine falsche Einordnung kann eigene Verantwortlichkeit, Bußgelder und eine unzulässige Datenweitergabe auslösen.
1 Vorliegen einer Auftragsverarbeitung
1.1 Grundkonzept und Bedeutung
Der Auftragsverarbeiter handelt strikt nach den Vorgaben des Verantwortlichen. Er darf die Daten nur so behandeln, wie es der Verantwortliche vorgibt, sich an dessen Weisungen halten und für die Datensicherheit sorgen. Über das Wofür und Warum sowie über die wesentlichen Mittel entscheidet er nicht.
Daraus folgen zwei zentrale Wirkungen. Erstens wird der Datenumgang des Auftragsverarbeiters dem Verantwortlichen zugerechnet: Speichert der Auftragnehmer zu lange oder verliert er Daten, treffen die Folgen (Bußgeld, Meldepflicht, Information der Betroffenen) den Auftraggeber. Zweitens ist die Weitergabe an den Auftragsverarbeiter privilegiert: Sie bedarf keiner eigenen Rechtsgrundlage, weil der Auftragsverarbeiter nicht als Dritter, sondern als Teil der Sphäre des Verantwortlichen gilt (Art. 4 Nr. 9, 10 DSGVO). Der vollständige Begriff ist als Nachschlage-Eintrag erläutert (1.2.8 Auftragsverarbeiter).
Diese Privilegierung reicht weit. Sie gilt auch für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, deren Weitergabe sich nicht auf ein berechtigtes Interesse stützen ließe, und sie gilt unabhängig davon, ob der Auftragsverarbeiter in der EU oder in einem Drittland sitzt. Bei einem Auftragsverarbeiter im Drittland treten allerdings die Anforderungen an internationale Datenübermittlungen hinzu (dazu unten im Abschnitt zum Drittlandbezug).
In der Praxis werden der Verantwortliche als Auftraggeber und der Auftragsverarbeiter als Auftragnehmer bezeichnet. Die schlanke Rolle bedeutet aber nicht, dass den Auftragsverarbeiter keine eigenen Pflichten träfen. Er ist in zahlreichen Vorschriften unmittelbarer Normadressat:
Eigene Pflichten des Auftragsverarbeiters, unabhängig vom Verantwortlichen:
- ein eigenes Verzeichnis von Verarbeitungstätigkeiten, getrennt je Auftraggeber (Art. 30 Abs. 2 DSGVO),
- die Verpflichtung des eingesetzten Personals auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO),
- eigene technische und organisatorische Maßnahmen (Art. 32 DSGVO),
- die Meldung von Sicherheitsvorfällen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO),
- gegebenenfalls die Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO),
- die unmittelbare Haftung gegenüber Betroffenen (Art. 82 DSGVO) und die Adressierung von Bußgeldern (Art. 83 Abs. 4 lit. a DSGVO).
1.2 Prüfung über Fallgruppen
Für die häufigen Konstellationen lässt sich die Einordnung über Fallgruppen vornehmen, ohne die abstrakte Prüfung durchlaufen zu müssen.
| Typische Auftragsverarbeiter | Regelmäßig keine Auftragsverarbeitung |
|---|---|
| IT-Dienstleister, die Software oder Datenbanken mit personenbezogenen Daten betreiben | Lieferanten und Kunden, die Kontaktdaten für die eigene Geschäftsabwicklung nutzen |
| Cloud- und SaaS-Anbieter mit personenbezogenen Daten | Geschäftspartner, die Projekt- oder Kontaktdaten für eigene Zwecke verwenden |
| In Websites eingebundene Tools (etwa Terminbuchungs-Plugins) | Handelsvertreter bei Beratung und Vertragsvermittlung |
| Hosting-Anbieter (Serverlogfiles, IP-Adressen) | Zahlungsdienstleister und Banken im Zahlungsverkehr |
| Dienstleister für Scannen, Archivieren und Vernichten von Unterlagen | Berufsgeheimnisträger (siehe unten) |
| Datenträgerentsorger und Backup-Dienstleister | Telekommunikationsanbieter (siehe unten) |
| IT-Wartung und Fernwartung mit möglichem Zugriff auf personenbezogene Daten | Dienstleister, bei denen die Datenverarbeitung nur Beiwerk ist (siehe unten) |
Drei Faustregeln helfen bei der Zuordnung der rechten Spalte:
- Eigenständige Zweckverfolgung. Wer die erhaltenen Daten für eigene, selbst bestimmte Zwecke nutzt, ist kein Auftragsverarbeiter, sondern eigenständig Verantwortlicher.
- Beiwerk-Regel. Ist die Datenverarbeitung nur Nebensache einer anderen Hauptleistung, liegt keine Auftragsverarbeitung vor. So sind Postdienste (Kern: Transport), Druckereien (Kern: Druck), Übersetzer (Kern: Sprache), Empfangspersonal (Kern: Begrüßung) und Reinigungsdienste (Kern: Reinigung) keine Auftragsverarbeiter. Anders liegt es, wenn die Datenverarbeitung selbst Leistungsgegenstand wird, etwa wenn eine Druckerei Adresslisten und Texte selbst zu Serienbriefen zusammenführt.
- Gesetzliche Sonderfälle. Telekommunikationsanbieter sind für die reine Signalübermittlung keine Auftragsverarbeiter; anders bei Zusatzleistungen wie der Speicherung von Sprachnachrichten in der Cloud. Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, externe Betriebsärzte und Wirtschaftsprüfer sind wegen ihrer weisungsunabhängigen, berufsrechtlich gebundenen Tätigkeit regelmäßig eigene Verantwortliche; anders bei Tätigkeiten außerhalb ihres Berufskerns, etwa einer reinen Datenanalyse.
Die Aufsichtsbehörden haben in ihren Auslegungshilfen zahlreiche weitere Tätigkeiten eingeordnet. Die folgende Übersicht fasst die wiederkehrenden Fälle zusammen:
| Regelmäßig Auftragsverarbeitung | Regelmäßig keine Auftragsverarbeitung (eigene Fachleistung) |
|---|---|
| Lohn- und Gehaltsabrechnung sowie Finanzbuchhaltung durch ein Rechenzentrum | Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) |
| Cloud-Computing ohne erforderlichen inhaltlichen Zugriff des Anbieters | Inkassobüros mit Forderungsübertragung |
| Werbeadressverarbeitung in einem Lettershop | Banken beim Geldtransfer |
| Call-Center ohne wesentliche eigene Entscheidungsspielräume | Postdienste für den Brief- und Pakettransport |
| Auslagerung der E-Mail-Verwaltung oder von Datendiensten einer Webseite (Kontaktformulare, Nutzeranfragen) | Verwalter einer Wohnungseigentümergemeinschaft |
| Datenerfassung, Datenkonvertierung und Einscannen von Dokumenten | Detektive bei Observierungs- und Ausforschungstätigkeit |
| Backup- und Archivierungsspeicherung | Hersteller und Großhändler bei Direktlieferung mit Endkundenadressen |
| Datenträgerentsorgung | Insolvenzverwalter |
| Zentralisierte Shared Services im Konzern (etwa Reisekostenabrechnung), soweit keine gemeinsame Verantwortlichkeit besteht | Personalvermittlung sowie Versicherungs- und Finanzmakler |
| Apothekenrechenzentren und ärztliche Verrechnungsstellen ohne Forderungskauf | Handelsvertreter im Rahmen ihrer Beratungs- und Vermittlungstätigkeit |
| Ablesen und Erfassen von Messwerten in Mietwohnungen (Heizung, Strom, Wasser) | Zahlungsdienstleister für elektronische Zahlungen |
| Wartung, Fernwartung und externer Support, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen ist | Vom Reisebüro vermittelte Leistungen (Hotels, Mietwagen, Fluggesellschaften) |
Keine Auftragsverarbeitung liegt schließlich vor, wenn der Schwerpunkt der beauftragten Leistung gar nicht auf der Datenverarbeitung liegt, der Dienstleister mit personenbezogenen Daten also nur beiläufig in Berührung kommt. Das betrifft etwa vom Vermieter beauftragte Handwerker, die dafür Mieterdaten erhalten, Sachverständige zur Begutachtung eines Schadens, Personenbeförderung, Bewachungs- und Reinigungsdienste, den Druck von Unterlagen mit Beschäftigtenfotos sowie Kurier- und Speditionsleistungen. Das ist die bereits genannte Beiwerk-Regel.
1.3 Prüfschema in Zweifelsfällen
Lässt sich der Fall nicht über die Fallgruppen lösen, gilt die Kernfrage: Wer legt faktisch die Zwecke und die wesentlichen Mittel fest?
Über die Zwecke (das Wofür und Warum) darf nur der Auftraggeber entscheiden. Sobald der Auftragnehmer über den Zweck mitentscheidet, wird er für diese Verarbeitung selbst Verantwortlicher (Art. 28 Abs. 10 DSGVO). Speichert etwa eine Konzernmutter Beschäftigtendaten zunächst nur zur Datensicherung für die Tochter (Auftragsverarbeitung), entscheidet dann aber allein, diese Daten für ein konzernweites Reporting zu nutzen, ist sie insoweit eigenständig Verantwortliche.
Bei den Mitteln ist nach ihrer Wesentlichkeit zu unterscheiden:
| Aspekt | Entscheidungsbefugnis | Einordnung |
|---|---|---|
| Umfang der Verarbeitung | nur Auftraggeber | wesentliches Mittel |
| Verarbeitete Datenkategorien | nur Auftraggeber | wesentliches Mittel |
| Speicherdauer | nur Auftraggeber | wesentliches Mittel |
| Datenempfänger und Weitergaben | nur Auftraggeber | wesentliches Mittel |
| Konkrete Sicherheitsmaßnahmen | Auftraggeber und Auftragnehmer | unwesentliches Mittel |
| Eingesetzte Software | Auftraggeber und Auftragnehmer | unwesentliches Mittel |
Ein Spielraum bei den unwesentlichen Mitteln ist also unschädlich. Bleiben Zweifel, sprechen die folgenden Indizien für eine Auftragsverarbeitung; je mehr zutreffen, desto eher liegt sie vor:
- Der Auftraggeber bleibt für die Rechtmäßigkeit verantwortlich und wälzt sie nicht ab.
- Der Auftraggeber kann praktisch Weisungen erteilen.
- Der Auftragnehmer hat einen geringen inhaltlichen Bewertungs- und Ermessensspielraum.
- Der Auftraggeber übt faktisch Kontrollrechte aus.
- Der Auftragnehmer hat keine eigenständige rechtliche Beziehung zu den Betroffenen.
- Der Auftragnehmer erhält keine eigenständigen Nutzungsrechte an den Daten.
Die Aufsichtsbehörden stellen für die Abgrenzung ergänzend auf folgende Kriterien ab (EDSA, Leitlinien 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter): die Ausführlichkeit der erteilten Weisungen, die Überwachung der Verarbeitung durch den Auftraggeber, die Außenwirkung gegenüber den Betroffenen (tritt der Dienstleister im Namen des Auftraggebers oder im eigenen Namen auf?), die Fachkompetenz und traditionelle Rolle der beteiligten Parteien sowie der dem Dienstleister verbleibende Entscheidungsspielraum. Je ausführlicher die Weisungen, je enger die Überwachung und je geringer der Spielraum, desto eher liegt eine Auftragsverarbeitung vor.
Wie eng der Spielraum sein kann, zeigt das Beispiel eines Call-Centers zur Gewinnung von Kontaktdaten: Überlässt der Auftraggeber dem Call-Center die Kontaktstrategie, die Fragen und die Bewertung, ist das Call-Center wegen seiner freien Hand kein Auftragsverarbeiter. Gibt der Auftraggeber dagegen die Kontaktliste, die zu stellenden Fragen und die Bewertungskriterien vor und verlangt die Rückgabe der Daten ohne Weiterverwendung, liegt eine Auftragsverarbeitung vor.
Die Aufsichtsbehörden veranschaulichen die Abgrenzung an weiteren Konstellationen. Beauftragt ein Unternehmen ein Marktforschungsinstitut mit einer Umfrage und gibt ihm dabei genaue Vorgaben zu Befragten, Fragen und Methode, ohne dem Institut einen eigenen Entscheidungsspielraum zu lassen, ist das Institut Auftragsverarbeiter; bestimmt das Institut dagegen selbst über die einzusetzenden Mittel (Stichprobe, Methodik, Auswertung), handelt es als eigenständig Verantwortlicher. Aufschlussreich ist auch der Fall eines IT-Dienstleisters, der zur Behebung einer Störung auf Systeme mit personenbezogenen Daten zugreifen kann: Ist der Zugriff auf die Daten nicht Gegenstand, sondern nur unvermeidliche Begleiterscheinung der Wartungsleistung und vertraglich auf das Erforderliche begrenzt, bleibt der Dienstleister gleichwohl Auftragsverarbeiter, weil er die Daten für den fremdbestimmten Zweck der Systempflege verarbeitet; nutzt er die zugänglichen Daten dagegen für eigene Zwecke, wird er insoweit Verantwortlicher.
1.4 Funktionsübertragung und Outsourcing
Wird nicht eine konkrete Verarbeitung, sondern eine ganze Geschäftsfunktion ausgelagert (Business Process Outsourcing), spricht man von Funktionsübertragung. Erhält der Auftragnehmer dabei kaum konkrete Vorgaben und entscheidet selbst über das Vorgehen, ist er kein Auftragsverarbeiter, sondern eigenständig Verantwortlicher. Typische Beispiele sind das Facility Management, eine Shared-Service-Gesellschaft für Personal, Finanz- und Rechnungswesen oder Beschaffung sowie die Auslagerung einer Rechts-, Compliance- oder Datenschutzabteilung.
Der Begriff der Funktionsübertragung ist überholt; entscheidend ist auch hier allein die Festlegung von Zwecken und wesentlichen Mitteln. Viele Auslagerungen lassen sich daher als Auftragsverarbeitung ausgestalten, wenn der Auftraggeber die Zwecke vorgibt und der Auftragnehmer nur über die Umsetzung entscheidet.
1.5 Mehrfachrollen bei denselben Daten
Eine Stelle kann für dieselben Daten zugleich Auftragsverarbeiter und eigenständig Verantwortlicher sein, je nach Zweck der konkreten Verarbeitung. Bezugspunkt ist immer die einzelne Verarbeitung, nicht der Dienstleister als Ganzes.
| Verarbeitung durch den Dienstleister | Zweck | Rolle |
|---|---|---|
| Nutzungsdaten erfassen und an den Auftraggeber zurückspielen | Reports zum Lernfortschritt für den Auftraggeber | Auftragsverarbeiter |
| Nutzungsdaten analysieren | Weiterentwicklung des eigenen Produkts | eigenständig Verantwortlicher |
| Nutzungsdaten auswerten | Betrugsabwehr zum Schutz des Anbieters | eigenständig Verantwortlicher |
| Nutzungsdaten aggregieren | kundenübergreifende Benchmarks | eigenständig Verantwortlicher |
Der Grund liegt in der Zweckfestlegung: Soweit der Dienstleister die Daten zu eigenen, nicht vom Auftraggeber vorgegebenen Zwecken nutzt, wird er für diese Verarbeitung eigenständig Verantwortlicher, mit allen daraus folgenden Pflichten.
1.6 Grenzfälle und strategische Erwägungen
In Grenzfällen hängt das Ergebnis davon ab, wie breit oder eng man die geprüfte Leistung zuschneidet. Eine Gesamtleistung kann anders einzuordnen sein als eine einzelne Teilleistung. Zwei Kontrollfragen helfen bei der Bestimmung des richtigen Prüfgegenstands:
- Macht eine Leistung nur in Verbindung mit der anderen Sinn? Dann sind beide zusammen zu betrachten.
- Werden die Leistungen am Markt auch isoliert angeboten? Dann sind sie getrennt zu betrachten.
So kann ein umfassendes Fuhrparkmanagement (Verträge, Logistik, Schadensmanagement) anders zu bewerten sein als die isoliert betrachtete Online-Plattform zur Fahrzeugauswahl, die für sich genommen eine Auftragsverarbeitung sein kann.
Weil die Abgrenzung nicht immer eindeutig ist, lohnt zusätzlich ein Blick auf die praktischen Folgen. Vor- und Nachteile fallen je nach Position unterschiedlich aus:
| Position | Vorteil der Auftragsverarbeitung | Nachteil der Auftragsverarbeitung |
|---|---|---|
| Auftragnehmer | nicht verantwortlich für die Rechtmäßigkeit; kein eigenes Verzeichnis nötig; keine Melde- und Informationspflichten gegenüber Behörde und Betroffenen | an Weisungen gebunden; keine eigene Datennutzung; Mitspracherecht des Auftraggebers bei Unterauftragsverarbeitern |
| Auftraggeber | privilegierte Datenweitergabe; der Auftragnehmer darf die Daten nur nach Vorgaben nutzen | bleibt für den gesamten Datenumgang verantwortlich; muss Datenpannen des Auftragnehmers als eigene melden; trägt Auswahl-, Anweisungs- und Kontrollpflichten |
1.7 Risiken einer falschen Einordnung
Ob eine Auftragsverarbeitung vorliegt, entscheidet sich nach der faktischen Realität, nicht nach dem Vertrag. Ein geschlossener oder unterlassener Auftragsverarbeitungsvertrag kann aber eine Anscheinswirkung entfalten, an der sich Aufsichtsbehörden und Gerichte orientieren. Beide Fehler haben Folgen:
| Fehler | Risiko für den Auftragnehmer | Risiko für den Auftraggeber |
|---|---|---|
| AVV versäumt, obwohl Auftragsverarbeitung vorliegt | wird bei Aufdeckung als Verantwortlicher behandelt, mit allen Begleitpflichten | Bußgeldrisiko wegen fehlenden Vertrags; Verlust der Privilegierung; die Weitergabe kann unzulässig sein |
| AVV geschlossen, obwohl keine Auftragsverarbeitung vorliegt | wird über die Indizwirkung als Auftragsverarbeiter behandelt, obwohl faktisch Verantwortlicher; trägt zugleich unerfüllte Verantwortlichenpflichten | die angenommene Privilegierung greift nicht; Haftung für einen Partner, der eigentlich eigenständig verantwortlich ist |
Für den Auftragnehmer ist es meist das geringere Risiko, im Zweifel einen Auftragsverarbeitungsvertrag zu schließen, weil die Weisungsbindung Haftung begrenzt. Für den Auftraggeber lohnt eine Abwägung: Bei sensiblen Daten (etwa Finanz- oder Gesundheitsdaten) spricht viel für einen Vertrag, weil die Weitergabe sonst schwerer zu rechtfertigen ist. Lässt sich der Dienstleister praktisch nicht sinnvoll kontrollieren und ist die Weitergabe ohnehin gerechtfertigt, kann ein nicht erforderlicher Vertrag dagegen unnötige Haftung erzeugen.
2 Auftragsverarbeitungsvertrag (AVV)
2.1 Pflicht, Rechtsnatur und Form
Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeiter gegenüber dem Verantwortlichen bindet (Art. 28 Abs. 3 DSGVO). Der Vertrag ist nicht konstitutiv für die Rolle, die sich aus den tatsächlichen Verhältnissen ergibt, aber sein Abschluss ist eine eigenständige Pflicht beider Parteien; sein Fehlen ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO).
Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO). Eine qualifizierte elektronische Signatur ist nicht erforderlich; in der Regel genügt die Textform, etwa der Austausch unterzeichneter Dokumente per E-Mail. Fehlt der Vertrag oder ist er inhaltlich unzureichend, kann die Auftragsverarbeitung unwirksam sein, vor allem wenn die Weisungsbindung nicht klar geregelt ist. Ein Auftragsverarbeiter, der über Zwecke und Mittel der Verarbeitung selbst bestimmt, gilt für diese Verarbeitung ohnehin als Verantwortlicher (Art. 28 Abs. 10 DSGVO). Hält er eine Weisung für rechtswidrig, muss er den Verantwortlichen darauf hinweisen (Art. 28 Abs. 3 UAbs. 2 DSGVO).
2.2 Auswahl, Garantien und Kontrolle (Art. 28 Abs. 1 und 5 DSGVO)
Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen die Anforderungen der DSGVO erfüllen (Art. 28 Abs. 1 DSGVO). Bedeutung haben dabei vor allem Fachwissen, Zuverlässigkeit und Ressourcen des Auftragsverarbeiters (Erwägungsgrund 81 DSGVO). Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen, sich die getroffenen Maßnahmen nachweisen lassen und die Zusammenarbeit begleiten. Fehlt eine echte Auswahlmöglichkeit, etwa weil ein Auftragsverhältnis aufgezwungen wird, fehlt eine wesentliche tatsächliche Voraussetzung der Auftragsverarbeitung, und der Dienstleister rückt in die Rolle des Verantwortlichen.
Den Nachweis der Garantien können die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder eine Zertifizierung (Art. 42 DSGVO) erleichtern (Art. 28 Abs. 5 DSGVO). Beide sind aber nur ein Faktor und ersetzen die Gesamtbeurteilung durch den Verantwortlichen nicht. Eine starre, regelmäßige Kontrollpflicht schreibt Art. 28 Abs. 1 DSGVO nicht vor; aus der Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DSGVO) folgt aber, dass der Verantwortliche die fortdauernde Einhaltung im Blick behalten muss und die Zusammenarbeit zu beenden hat, sobald die Garantien nicht mehr gewährleistet sind.
2.3 Pflichtinhalte nach Art. 28 Abs. 3 lit. a bis h DSGVO
Der Vertrag muss mindestens die folgenden acht Themen regeln:
| Buchstabe | Regelungsinhalt | Bedeutung |
|---|---|---|
| lit. a | Verarbeitung nur auf dokumentierte Weisung | Bindung des Auftragsverarbeiters; erfasst auch die Übermittlung in Drittländer |
| lit. b | Vertraulichkeit der eingesetzten Personen | Verpflichtung des Personals auf Vertraulichkeit |
| lit. c | Sicherheit der Verarbeitung | technische und organisatorische Maßnahmen nach Art. 32 DSGVO |
| lit. d | Einsatz weiterer Auftragsverarbeiter | Genehmigungs- und Vertragsanforderungen für Unterauftragsverarbeiter |
| lit. e | Unterstützung bei Betroffenenrechten | Hilfe bei der Beantwortung von Anträgen nach Art. 15 bis 22 DSGVO |
| lit. f | Unterstützung des Verantwortlichen | bei Datensicherheit, Meldung von Datenpannen und Folgenabschätzung |
| lit. g | Löschung oder Rückgabe nach Vertragsende | Umgang mit den Daten nach Abschluss der Verarbeitung |
| lit. h | Nachweise und Kontrollen | Bereitstellung von Informationen, Duldung von Prüfungen und Inspektionen |
Einige Pflichtinhalte verdienen in der Praxis besondere Aufmerksamkeit:
- lit. a (Weisung): Die Bindung an dokumentierte Weisungen erfasst ausdrücklich auch die Frage, ob Daten außerhalb der EU verarbeitet werden dürfen. Eine Ausnahme gilt nur, soweit der Auftragsverarbeiter durch Unionsrecht oder mitgliedstaatliches Recht zu einer abweichenden Verarbeitung verpflichtet ist; dann muss er den Verantwortlichen vorab informieren, sofern das Recht eine solche Mitteilung nicht verbietet (etwa bei behördlichen Anordnungen mit Schweigeverpflichtung).
- lit. c (Sicherheit): Es genügt die Verpflichtung, geeignete Maßnahmen nach Art. 32 DSGVO zu ergreifen; die konkreten Maßnahmen müssen nicht vollständig im Vertrag aufgezählt werden. In der Praxis empfiehlt es sich, das Sicherheitskonzept als Anlage beizufügen oder darauf zu verweisen und einen Informationsmechanismus für Änderungen vorzusehen.
- lit. f (Unterstützung): Diese Pflicht verzahnt den Vertrag mit weiteren Pflichten des Verantwortlichen. Der Auftragsverarbeiter meldet Sicherheitsvorfälle, die er feststellt, unverzüglich an den Verantwortlichen (Art. 33 Abs. 2 DSGVO) und wirkt bei der Datenschutz-Folgenabschätzung mit (Art. 35 Abs. 8 DSGVO).
- lit. g (Beendigung): Im Voraus ist zu klären, ob die Daten nach Projektende gelöscht oder zurückgegeben werden. Eine Ausnahme besteht, soweit gesetzliche Aufbewahrungspflichten entgegenstehen.
- lit. h (Kontrolle): Eine eigene Vor-Ort-Kontrolle des Verantwortlichen ist nicht zwingend; es genügt, wenn der Auftragsverarbeiter aussagekräftige Nachweise vorlegt, etwa Berichte unabhängiger Prüfer oder Zertifikate. Eine Vor-Ort-Inspektion muss aber möglich bleiben, wenn sie im Einzelfall zum Schutz der Daten erforderlich ist.
2.4 Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)
Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Unterauftragsverarbeiter) nicht ohne vorherige Genehmigung des Verantwortlichen einschalten. Dafür gibt es zwei Wege:
| Variante | Funktionsweise |
|---|---|
| Gesonderte (Einzel-)Genehmigung | Der Verantwortliche genehmigt jeden Unterauftragsverarbeiter vorab im Einzelfall. |
| Allgemeine schriftliche Genehmigung | Der Auftragsverarbeiter darf grundsätzlich Unterauftragsverarbeiter einsetzen, muss aber jede beabsichtigte Änderung vorab mitteilen und dem Verantwortlichen ein Einspruchsrecht einräumen. |
Dem Unterauftragsverarbeiter sind dieselben Datenschutzpflichten aufzuerlegen wie dem Auftragsverarbeiter (Art. 28 Abs. 4 S. 1 DSGVO). Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der erste Auftragsverarbeiter dem Verantwortlichen gegenüber für die Einhaltung dieser Pflichten (Art. 28 Abs. 4 S. 2 DSGVO).
2.5 Haftung und Bußgeld
Der Auftragsverarbeiter haftet betroffenen Personen gegenüber nach Art. 82 DSGVO unmittelbar und gesamtschuldnerisch mit dem Verantwortlichen, allerdings begrenzt auf die Verletzung der ihm selbst auferlegten Pflichten (Art. 82 Abs. 2 S. 2 DSGVO). Er ist außerdem eigener Adressat von Bußgeldern und kann mit bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes belegt werden (Art. 83 Abs. 4 lit. a DSGVO). Überschreitet er seine Rolle und bestimmt selbst über Zwecke und Mittel (Funktionsexzess, Art. 28 Abs. 10 DSGVO), gilt er für diese Verarbeitung als Verantwortlicher und unterliegt dem höheren Bußgeldrahmen sowie den weitergehenden Bußgeldtatbeständen. Wegen der unmittelbaren Außenhaftung empfiehlt sich eine Regelung zum Haftungsausgleich im Innenverhältnis, etwa über Freistellungs- und Regressklauseln im Vertrag.
2.6 Drittlandbezug
Verarbeitet der Auftragsverarbeiter Daten in einem Drittland oder schaltet er dort einen Unterauftragsverarbeiter ein (etwa Server außerhalb der EU), genügt der Auftragsverarbeitungsvertrag allein nicht. Zusätzlich sind die Anforderungen an internationale Datenübermittlungen nach Art. 44 ff. DSGVO zu erfüllen, regelmäßig über Standardvertragsklauseln und gegebenenfalls über zusätzliche Schutzmaßnahmen. Diese Anforderungen werden gesondert unter Drittlandsübermittlung (Datenexport) behandelt und sind von den nachstehend genannten Standardvertragsklauseln für die Auftragsverarbeitung zu unterscheiden.
2.7 EU-Mustervertrag und Umsetzung
Die Europäische Kommission hat nach Art. 28 Abs. 7 DSGVO Standardvertragsklauseln für das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter erlassen (Durchführungsbeschluss (EU) 2021/915 vom 04.06.2021). Dieses Muster ist von den Datenschutzbehörden geprüft, weder einseitig zugunsten des Auftraggebers noch des Auftragnehmers gestaltet, in allen EU-Sprachen verfügbar und am Markt zunehmend akzeptiert. Es ist nicht zu verwechseln mit den Standardvertragsklauseln für Drittlandsübermittlungen (Durchführungsbeschluss (EU) 2021/914). Sitzt der Auftragsverarbeiter in einem Drittland, decken diese Drittland-Standardvertragsklauseln (je nach Konstellation Modul 2 oder Modul 3) zugleich die Anforderungen des Art. 28 DSGVO ab, sodass kein zweiter Vertrag nötig ist. Die fallbezogene Konkretisierung (welche Daten, zu welchen Zwecken, mit welchen technischen Maßnahmen) bleibt in jedem Fall erforderlich.
Auftragsverarbeitungsvertrag erstellen
Der AVV-Generator erstellt auf Basis des EU-Mustervertrags einen individuellen Auftragsverarbeitungsvertrag mit erläuterndem Memo, weitgehend regelbasiert und mit gezielter KI-Unterstützung.
Zum AVV-GeneratorEine ausführliche, praxisorientierte Darstellung mit Hinweisen zum Ausfüllen findet sich im Leitfaden zur Auftragsverarbeitung.
2.8 Interne Organisation und AVV-Playbook
Wer regelmäßig Auftragsverarbeitungsverträge abschließt, sollte den Vorgang nicht jedes Mal neu erfinden, sondern in einem internen Playbook festhalten. Ein solches Playbook ist eine schriftliche Handlungsanweisung, die festlegt, wer im Unternehmen wann was zu prüfen hat und welche Vertragsklauseln in welcher Ausgestaltung akzeptabel sind. Es schafft einheitliche Maßstäbe, beschleunigt Verhandlungen und macht die getroffenen Entscheidungen für die Rechenschaftspflicht nachvollziehbar (Art. 5 Abs. 2 DSGVO).
Sinnvoll ist es, im Playbook zunächst den Prozess zu regeln, der vor jeder Beauftragung durchlaufen wird:
Die Prüftiefe sollte sich am Risiko orientieren, statt jeden Dienstleister gleich zu behandeln. Bei einfachen, wenig sensiblen Verarbeitungen kann eine Plausibilitätsprüfung der Garantien und des Vertrags genügen; bei umfangreichen Verarbeitungen oder besonderen Datenkategorien sind aussagekräftige Nachweise, gegebenenfalls Zertifikate und kürzere Wiedervorlageintervalle angemessen. Es empfiehlt sich, im Playbook risikoabhängige Prüfintervalle festzulegen (etwa eine jährliche Überprüfung bei sensiblen, eine anlassbezogene bei einfachen Verarbeitungen), damit die fortdauernde Einhaltung der Garantien tatsächlich im Blick bleibt.
Den Kern des Playbooks bildet eine Liste der kritischen Klauseln, bei denen Dienstleistermuster erfahrungsgemäß zulasten des Auftraggebers ausfallen, samt der jeweils möglichen Gegenmaßnahme:
| Kritische Klausel | Risiko für den Auftraggeber | Mögliche Maßnahme |
|---|---|---|
| Unterauftragsverarbeiter, auch in Drittländern, ohne wirksame Mitsprache | Kontrollverlust über die Kette; unbemerkte Drittlandübermittlung | Einspruchsrecht und Vorabinformation sichern; Drittland-Garantien verlangen |
| Eingeschränkte Kontroll- und Auditrechte | Rechenschaftspflicht lässt sich nicht erfüllen | Nachweis- und Inspektionsrechte verankern; Prüfberichte oder Zertifikate akzeptieren |
| Kosten der Mitwirkung werden auf den Auftraggeber abgewälzt | Unterstützungspflichten werden faktisch teuer erkauft | Umfang der kostenfreien Mitwirkung (lit. e, f) klar abgrenzen |
| Weitreichende Haftungsbeschränkung des Auftragnehmers | Innenregress bei Datenpannen läuft leer | Haftungs- und Freistellungsregelung im Innenverhältnis ausgewogen fassen |
| Unklarer Gegenstand, Datenkategorien oder Zwecke | Weisungsbindung und Zweckbindung verschwimmen | Verarbeitung in einer Anlage konkret und abschließend beschreiben |
| Eigennutzungs- oder Verwertungsrechte des Auftragnehmers | verdeckte eigene Verantwortlichkeit; Verlust der Privilegierung | jede über die Weisung hinausgehende Nutzung ausschließen |
Ein solches Playbook lässt sich an die eigene Größe und Risikolage anpassen: Vom kurzen Prüfraster für kleine Unternehmen bis zur ausführlichen Klauselbibliothek mit Fallback-Formulierungen für stark regulierte Branchen ist jede Ausbaustufe denkbar. Entscheidend ist, dass die Maßstäbe einmal bewusst festgelegt und dann konsequent angewandt werden.
2.9 Häufige Fragen
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Gemeinsam Verantwortliche (Art. 26 DSGVO)
Wann zwei oder mehr Stellen gemeinsam Verantwortliche sind: Kriterien, Fallgruppen und EuGH-Rechtsprechung sowie die Vereinbarung über die Pflichtenverteilung nach Art. 26 DSGVO, Bekanntgabe an Betroffene und gesamtschuldnerische Haftung.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Pflichtinhalte, Form, Vorlage und KMU-Ausnahme des Verarbeitungsverzeichnisses nach Art. 30 DSGVO: eigenständige Pflichten von Verantwortlichem und Auftragsverarbeiter, Praxisaufbau, Reformvorschlag COM(2025) 501.