Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Auftragsverarbeitung DSGVO

Auftragsverarbeitung DSGVO

Auftragsdatenverarbeitung DSGVO
Auftragsdatenverarbeitung DSGVO

Auftragsverarbeitung (AVV) nach Art. 28 DSGVO

Artikel 28 der DSGVO regelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten. Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung, während der Auftragsverarbeiter die Daten im Auftrag verarbeitet.

Was bedeutet Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen (Auftraggeber) ein anderes Unternehmen (Auftragsverarbeiter) beauftragt, personenbezogene Daten in dessen Namen und nach dessen Weisungen zu verarbeiten.

Beispiel aus der Praxis

Ein Unternehmen beauftragt ein externes IT-Unternehmen, um seine Kundendatenbank zu verwalten und zu pflegen. Das IT-Unternehmen verarbeitet in diesem Fall personenbezogene Daten (z. B. Name, Adresse, Telefonnummer, E-Mail) im Auftrag des Unternehmens.

Rechte und Pflichten

Wichtig: Der Auftragsverarbeiter darf die Daten ausschließlich nach den Anweisungen des Auftraggebers verarbeiten. Zudem muss er alle erforderlichen Sicherheitsmaßnahmen ergreifen, um den Datenschutz sicherzustellen.

Zwischen Auftraggeber und Auftragsverarbeiter ist ein schriftlicher Auftragsverarbeitungsvertrag (AVV) erforderlich. Dieser regelt die Pflichten beider Parteien und stellt die Einhaltung der DSGVO sicher.

Inhalt Auftragsverarbeitung​

Der Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung AVV. Dies betrifft insbesondere:

  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Schutzmaßnahmen TOM
  • Umfang der Weisungsbefugnisse
  • Rückgabe von Datenträgern nach Beendigung des Auftrags
Auftragsverarbeitung DSGVO Sicherheit
Auftragsverarbeitung DSGVO Sicherheit

Grundlagen, Pflichten und praktische Umsetzung

Die Auftragsverarbeitung (AVV) – oft auch als Auftragsdatenverarbeitung (ADV) bezeichnet – ist ein zentraler Begriff im Datenschutzrecht. Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat das Thema zusätzliche Bedeutung gewonnen.

Rechtliche Konstruktion

Hinter dem Begriff steckt die rechtliche Konstruktion, dass ein Auftraggeber (Verantwortlicher) die Verarbeitung personenbezogener Daten an einen Dienstleister (Auftragsverarbeiter) überträgt. Der Auftraggeber entscheidet über Zweck und Mittel, während der Auftragsverarbeiter die Verarbeitung im Auftrag übernimmt.

Pflichten nach DSGVO

Damit eine Auftragsverarbeitung datenschutzkonform erfolgt, müssen klare Regelungen getroffen werden. Diese finden sich in Art. 28 DSGVO und betreffen u. a. die Dokumentation, Weisungsbindung, technische und organisatorische Maßnahmen (TOMs) sowie die Rechenschaftspflicht des Auftraggebers.

Praktische Umsetzung

In der Praxis bedeutet dies, dass zwischen Auftraggeber und Auftragsverarbeiter ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Dieser definiert die Rechte und Pflichten beider Parteien und stellt sicher, dass die Anforderungen der DSGVO eingehalten werden.

Pflichten des Auftragsverarbeiters

Pflichten des Auftragsverarbeiters (Art. 30 Absatz 2): Alle Daten Kategorien, die im Auftrag eines Verantwortlichen durchgeführt werden, müssen zukünftig nach Art. 30 Abs. 2 DSGVO ebenfalls in einem Verzeichnis dokumentiert werden. Die Inhalte sind identisch zu den Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30 DSGVO.​

Was ist eine Auftragsverarbeitung (AVV)?

Eine Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

Typische Beispiele sind:

🌐

Hosting von Websites und E-Mail-Services

☁️

Nutzung von Cloud-Diensten für das Dokumentenmanagement

💼

Externe Lohn- und Gehaltsabrechnungen

✉️

Versanddienstleister für Newsletter oder Werbepost

Wesentliches Merkmal: Der Auftragsverarbeiter hat keine Entscheidungsbefugnis über die Datenzwecke, sondern verarbeitet die Daten ausschließlich nach den Anweisungen des Verantwortlichen.

Rechtliche Grundlagen

Die DSGVO definiert in Art. 4 Nr. 8 den Begriff des „Auftragsverarbeiters“ und regelt in Art. 28 detailliert, wie ein Vertrag zur Auftragsverarbeitung (AV-Vertrag, AVV) beschaffen sein muss.

In Deutschland war dieses Konzept bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannt, wo es als Auftragsdatenverarbeitung bezeichnet wurde. Mit Einführung der DSGVO erfolgte eine europaweite Harmonisierung der Regelungen.

Artikel 28 DSGVO – Anforderungen und Pflichten

Artikel 28 der DSGVO legt die Pflichten von Verantwortlichen und Auftragsverarbeitern fest, um die Sicherheit personenbezogener Daten zu gewährleisten. Nachfolgend die wichtigsten Anforderungen:

📄 Schriftliche Vereinbarung

Verantwortliche und Auftragsverarbeiter müssen einen schriftlichen Vertrag abschließen, der die Verarbeitung regelt. Der Auftragsverarbeiter darf nur nach Anweisung handeln.

🔐 Sicherheit der Verarbeitung

Der Auftragsverarbeiter ist verpflichtet, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um personenbezogene Daten zu schützen.

👥 Unterauftragsverarbeiter

Der Einsatz weiterer Dienstleister bedarf der schriftlichen Zustimmung des Verantwortlichen. Die gleichen Pflichten müssen auch für den Unterauftragsverarbeiter gelten.

🤝 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter muss den Verantwortlichen bei gesetzlichen Pflichten unterstützen, z. B. bei Datenschutz-Folgenabschätzungen oder bei Meldungen von Datenschutzverletzungen.

🗑️ Löschung oder Rückgabe von Daten

Nach Beendigung der Verarbeitung sind personenbezogene Daten zu löschen oder zurückzugeben, es sei denn, gesetzliche Aufbewahrungsfristen bestehen.

🔎 Überprüfungen und Audits

Der Auftragsverarbeiter muss Informationen bereitstellen und Audits oder Inspektionen ermöglichen, um die Einhaltung der DSGVO nachzuweisen.

🏛️ Zusammenarbeit mit Aufsichtsbehörden

Bei Bedarf ist der Auftragsverarbeiter verpflichtet, mit den zuständigen Datenschutzaufsichtsbehörden zusammenzuarbeiten.

🤫 Vertraulichkeit

Alle Mitarbeiter, die Daten im Auftrag verarbeiten, müssen zur Vertraulichkeit verpflichtet werden.

🗂️ Dokumentation

Der Auftragsverarbeiter muss eine detaillierte Dokumentation aller Verarbeitungstätigkeiten führen, die im Zusammenhang mit dem Verantwortlichen stehen.

👤 Datenschutzbeauftragter

Ist der Auftragsverarbeiter nach Art. 37 DSGVO verpflichtet, muss er einen Datenschutzbeauftragten benennen und den Verantwortlichen darüber informieren.

🌍 Datenübermittlung in Drittländer

Daten dürfen nur übermittelt werden, wenn dies im Einklang mit der DSGVO und den Weisungen des Verantwortlichen geschieht. Zusätzliche Garantien wie Standardvertragsklauseln können erforderlich sein.

Fazit

Artikel 28 DSGVO stellt sicher, dass Verantwortliche und Auftragsverarbeiter klare Pflichten haben, um ein hohes Datenschutzniveau und die Einhaltung der Vorschriften zu gewährleisten. Beide Parteien müssen die Anforderungen kennen und konsequent umsetzen, um rechtskonform zu handeln.

Inhalte eines Auftragsverarbeitungsvertrags (Art. 28 Abs. 3 DSGVO)

Ein AV-Vertrag muss nach DSGVO klare Regelungen enthalten, um die Verarbeitung personenbezogener Daten zwischen Verantwortlichem und Auftragsverarbeiter rechtskonform zu gestalten. Die wichtigsten Inhalte im Überblick:

📄 Gegenstand und Dauer der Verarbeitung

Welche Daten werden verarbeitet und über welchen Zeitraum?

🎯 Art und Zweck der Verarbeitung

Was wird konkret mit den Daten gemacht und zu welchem Zweck?

👥 Kategorien betroffener Personen

Beispielsweise Kunden, Mitarbeiter oder Lieferanten.

🔑 Kategorien personenbezogener Daten

Kontaktdaten, Zahlungsdaten, IP-Adressen, Gesundheitsdaten usw.

⚖️ Rechte und Pflichten des Verantwortlichen

Zum Beispiel die Pflicht, den Auftragsverarbeiter über Änderungen bei Datenschutzanforderungen zu informieren.

🔐 Pflichten des Auftragsverarbeiters

Dazu gehören Vertraulichkeit, Unterstützung bei Betroffenenrechten sowie die Umsetzung angemessener technischer und organisatorischer Maßnahmen (TOM).

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für eigene Zwecke nutzt, die eigentliche Verarbeitung jedoch von einem Dienstleister durchführen lässt.

Typische Beispiele:

  • ☁️ Cloud-Anbieter speichern Unternehmensdaten auf externen Servern
  • 📊 Lohnbuchhaltungsanbieter erstellen Gehaltsabrechnungen und verarbeiten Mitarbeiterdaten
  • 💻 IT-Dienstleister betreuen Systeme und haben dabei Zugriff auf personenbezogene Daten

Was sind im Sinne des Artikels 28 Auftragsverarbeiter?

Auftragsverarbeiter sind Dienstleister, die im Namen und nach Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Sie dürfen Daten nur gemäß den Anweisungen des Verantwortlichen und im Einklang mit der DSGVO nutzen.

☁️ Cloud-Anbieter
Speicherung oder Verarbeitung personenbezogener Daten in Cloud-Systemen.
💻 IT-Dienstleister
Betrieb von Infrastruktur, Software oder Support mit Datenzugriff.
📧 Marketing- und Analyseanbieter
E-Mail-Marketing, CRM oder Webanalyse mit personenbezogenen Daten.
💳 Zahlungsdienstleister
Verarbeitung von Kundendaten zur Zahlungsabwicklung.
👥 Personal- und Lohnabrechnungsdienste
Verwaltung und Abrechnung von Mitarbeiterdaten.
🛠️ Wartung und Prüfung von IT-Systemen
Wartungsunternehmen mit potenziellem Einblick in personenbezogene Daten.

Artikel 28 DSGVO legt die Pflichten und Anforderungen fest: schriftliche Verträge, Sicherheitsmaßnahmen, Zusammenarbeit mit Aufsichtsbehörden und die Unterstützung des Verantwortlichen.

Ist ein App-Anbieter ein Auftragsverarbeiter?

Ob ein App-Anbieter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO gilt, hängt von den Umständen und der Art der Datenverarbeitung ab. Entscheidend ist, ob der Anbieter die Daten im Auftrag oder für eigene Zwecke verarbeitet.

📲 App-Anbieter als Auftragsverarbeiter

Ein App-Anbieter gilt als Auftragsverarbeiter, wenn er personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. Beispiel: Eine Organisation nutzt eine App, um Kundendaten zu sammeln. Der App-Anbieter verarbeitet diese Daten ausschließlich im Auftrag der Organisation.

⚖️ App-Anbieter als Verantwortlicher

Entwickelt der App-Anbieter die App und nutzt die gesammelten Daten für eigene Zwecke (z. B. Marketing, Profiling) und entscheidet selbst über die Verarbeitung, ist er Verantwortlicher im Sinne der DSGVO – nicht Auftragsverarbeiter.

💡 Praxis-Hinweis

Es ist wichtig, die Rolle des App-Anbieters klar zu definieren. Je nach Funktion gilt er entweder als Verantwortlicher oder als Auftragsverarbeiter. In beiden Fällen müssen DSGVO-Anforderungen erfüllt werden:

  • Abschluss schriftlicher Vereinbarungen (z. B. AV-Vertrag)
  • Umsetzung geeigneter Sicherheitsmaßnahmen
  • Unterstützung bei der Erfüllung von Betroffenenrechten
  • Zusammenarbeit mit Aufsichtsbehörden

Rolle von technischen und organisatorischen Maßnahmen (TOMs)

Ein zentraler Bestandteil der Auftragsverarbeitung sind technische und organisatorische Maßnahmen. Sie sollen gewährleisten, dass personenbezogene Daten jederzeit angemessen geschützt sind. Der Auftragsverarbeiter muss nachweisen können, dass er geeignete Sicherheitsmaßnahmen implementiert hat.

Beispiele für TOMs:

  • 🔐 Verschlüsselung und Pseudonymisierung
  • 👥 Strikte Regelung von Zugriffsrechten
  • 💾 Regelmäßige Backups
  • ⚡ Notfallpläne und Business Continuity Management
  • ✅ Interne Prüfungen auf Datenschutzkonformität

Wichtig: Der Verantwortliche bleibt verpflichtet, die Eignung dieser Maßnahmen zu prüfen und laufend zu kontrollieren.

Pflichten des Verantwortlichen

Auch wenn ein externer Dienstleister beauftragt wird, bleibt der Verantwortliche letztlich für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Er muss sicherstellen, dass der Auftragsverarbeiter DSGVO-konform arbeitet.

Dazu gehören insbesondere:

  • 📋 Prüfung vor Vertragsabschluss: Überprüfung der technischen und organisatorischen Leistungsfähigkeit des Dienstleisters.
  • 🔎 Regelmäßige Kontrollen: Durchführung von Audits oder Prüfungen, um die Einhaltung vereinbarter Maßnahmen sicherzustellen.
  • 🗂️ Dokumentation: Schriftliche Festhaltung aller relevanten Vorgänge, inkl. Verzeichnis der Verarbeitungstätigkeiten und Kontrollnachweise.

🌍 Internationale Datenübermittlung

Werden Daten durch einen Auftragsverarbeiter außerhalb der EU bzw. des EWR verarbeitet, gelten zusätzliche Anforderungen. Die DSGVO verlangt, dass ein angemessenes Datenschutzniveau sichergestellt wird – etwa durch EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse oder vergleichbare Mechanismen, die den Schutz personenbezogener Daten auch in Drittstaaten gewährleisten.

👤 Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare Person. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt über Kennungen wie Name, Kennnummer, Standortdaten, Online-Kennung oder besondere Merkmale identifiziert werden kann. Dazu gehören auch Daten über die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität.

Die Verarbeitung von Arbeitnehmerdaten wird in § 26 BDSG konkretisiert. Sie ist z. B. zulässig:

  • für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses (z. B. Lohnunterlagen, Krankheitstage),
  • zur Wahrnehmung der Interessenvertretung der Beschäftigten (z. B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

🏥 Verwendung von Gesundheitsdaten

Gesundheitsdaten (z. B. Dioptrienzahl, Gehörschädigung) gelten als besonders schutzwürdig und fallen unter Art. 9 DSGVO. Für Betriebe im Gesundheitswesen und in Gesundheitshandwerken ist die Verarbeitung durch § 22 Abs. 1 Nr. 1 b) BDSG erlaubt.

Die Verarbeitung ist zulässig, wenn sie erfolgt:

  • zum Zweck der Gesundheitsvorsorge,
  • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • wenn es für einen Vertrag mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.

Fazit

Die Auftragsverarbeitung (AVV) ist ein zentrales Element des Datenschutzes nach DSGVO. Sie ermöglicht Unternehmen, externe Dienstleister für spezifische Aufgaben einzusetzen, ohne selbst gegen gesetzliche Vorgaben zu verstoßen – vorausgesetzt, es besteht ein gültiger Auftragsverarbeitungsvertrag, der den rechtlichen Standards entspricht und regelmäßig kontrolliert wird.

Eine sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen und eine kontinuierliche Prüfung von Datenschutz & Datensicherheit sind unerlässlich. So stellen Verantwortliche sicher, dass sie ihre Pflichten erfüllen und gleichzeitig von den Vorteilen einer ausgelagerten Datenverarbeitung profitieren.

FAQ – Auftragsverarbeitung (AVV)

Die häufigsten Fragen und Antworten zur Auftragsverarbeitung nach Art. 28 DSGVO – übersichtlich zusammengefasst.

1Was versteht man unter Auftragsverarbeitung?

Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Verantwortlicher (z. B. ein Unternehmen) einen Dienstleister damit beauftragt, personenbezogene Daten ausschließlich nach seinen Vorgaben zu verarbeiten. Typische Beispiele sind Cloud-Dienste, Hosting-Anbieter oder externe Lohnabrechnungsstellen.

2Wann benötige ich einen Auftragsverarbeitungsvertrag (AVV)?

Immer dann, wenn externe Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten und keinen eigenen Zweck verfolgen. Sobald also ein Dienstleister direkten Zugriff auf personenbezogene Daten hat (z. B. Hosting, Newsletter-Versand, Lohnbuchhaltung), ist ein AV-Vertrag gesetzlich vorgeschrieben.

3Was muss ein AV-Vertrag beinhalten?
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Rechte und Pflichten des Verantwortlichen (z. B. Weisungsrecht)
  • Pflichten des Auftragsverarbeiters (z. B. Vertraulichkeit, Unterstützung bei Betroffenenrechten)
  • Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten
4Wer haftet bei Datenschutzverstößen?

Grundsätzlich bleibt der Verantwortliche dafür verantwortlich, dass die Datenverarbeitung DSGVO-konform ist. Der Auftragsverarbeiter trägt jedoch ebenfalls eine Mitverantwortung. Bei Verstößen können beide Parteien belangt werden.

5Welche Kriterien sollte ich bei der Auswahl eines Auftragsverarbeiters beachten?
  • Vorhandenes Datenschutzkonzept und TOMs
  • Zertifizierungen (z. B. ISO 27001) oder Gütesiegel
  • Referenzen und Erfahrungen im Umgang mit sensiblen Daten
  • Reaktionsfähigkeit bei Sicherheitsvorfällen
  • Rechtlicher Rahmen (Sitz in der EU oder Standardvertragsklauseln bei Drittlandübermittlungen)
6Wie kontrolliere ich, ob mein Auftragsverarbeiter datenschutzkonform arbeitet?

Durch regelmäßige Audits oder Stichproben. Zudem sollten Nachweise wie Zertifikate oder Audit-Berichte eingefordert werden. Alle Kontrollen sind zu dokumentieren, um gegenüber Aufsichtsbehörden Nachweise zu haben.

7Muss ich mit jedem Dienstleister einen AV-Vertrag abschließen?

Nur, wenn personenbezogene Daten verarbeitet werden. Bei vielen Online-Services stellen Anbieter Standard-AV-Verträge bereit. Bei gemeinsamer Verantwortung (Joint Controllership) oder reinen Hilfsdiensten ohne Datenzugriff ist kein AV-Vertrag nötig.

8Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung?

Auftragsverarbeitung: Der Dienstleister verarbeitet Daten nur im Auftrag und nach Weisung des Verantwortlichen.
Gemeinsame Verantwortung: Mehrere Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung und müssen die Zuständigkeiten vertraglich regeln.

9Brauche ich Standardvertragsklauseln (SCC) bei einer Auftragsverarbeitung im Ausland?

Ja, wenn der Auftragsverarbeiter außerhalb der EU/EWR sitzt und kein Angemessenheitsbeschluss vorliegt. In diesem Fall sind SCC oder gleichwertige Mechanismen (z. B. Binding Corporate Rules) notwendig, um ein angemessenes Datenschutzniveau sicherzustellen.

10Warum ist die Auftragsverarbeitung so wichtig?

Sie stellt sicher, dass externe Dienstleister DSGVO-konform mit Daten umgehen. Ein ordnungsgemäßer AV-Vertrag schützt Unternehmen vor Bußgeldern und Imageschäden, indem er Pflichten klar regelt und Verantwortlichkeiten transparent macht.

Kostenloses Erstgespräch zur Auftragsverarbeitung (AVV)

Sie sind unsicher, ob Ihre Verträge zur Auftragsverarbeitung DSGVO-konform sind? Oder möchten prüfen, ob Ihre Dienstleister die erforderlichen Sicherheitsmaßnahmen umsetzen? In einem unverbindlichen Erstgespräch analysieren wir Ihre Situation und zeigen Ihnen konkrete Handlungsschritte auf.

➡ Zu unseren Datenschutz-Leistungen

Weitere Themen rund um Datenschutz

Vertiefende Informationen finden Sie in unseren Fachartikeln und Leistungsseiten. Hier eine Auswahl der wichtigsten Themen:

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel