Auftragsverarbeitung nach DSGVO

Was ist Auftragsverarbeitung nach DSGVO?

Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. Artikel 28 DSGVO regelt die Anforderungen an die Auftragsverarbeitung und verpflichtet beide Parteien zum Abschluss eines Auftragsverarbeitungsvertrags (AVV). Typische Beispiele sind Cloud-Hosting, E-Mail-Marketing, Lohn- und Gehaltsabrechnung, IT-Support mit Fernzugriff oder der Einsatz von SaaS-Plattformen.

Die Auftragsverarbeitung ist in der Praxis allgegenwärtig: Nahezu jedes Unternehmen nutzt externe Dienstleister, die in irgendeiner Form mit personenbezogenen Daten in Berührung kommen. Ohne ordnungsgemäßen AVV liegt ein DSGVO-Verstoß vor, der zu empfindlichen Bußgeldern führen kann.

Abgrenzung der Rollen

Verantwortlicher (Controller)

Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung personenbezogener Daten (Art. 4 Nr. 7 DSGVO). Er trägt die Hauptverantwortung für die DSGVO-Compliance und muss sicherstellen, dass seine Auftragsverarbeiter die Anforderungen der Verordnung einhalten.

Auftragsverarbeiter (Processor)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Art. 4 Nr. 8 DSGVO). Er handelt ausschließlich nach Weisung des Verantwortlichen und darf die Daten nicht für eigene Zwecke verwenden. Verarbeitet ein Auftragsverarbeiter Daten entgegen der Weisung, wird er selbst zum Verantwortlichen für diese Verarbeitung.

Gemeinsam Verantwortliche (Joint Controllers)

Wenn zwei oder mehr Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, sind sie gemeinsam Verantwortliche nach Art. 26 DSGVO. Sie müssen in einer Vereinbarung festlegen, wer welche Pflichten übernimmt — insbesondere hinsichtlich der Betroffenenrechte und der Informationspflichten. Ein typisches Beispiel ist der gemeinsame Betrieb einer Plattform durch mehrere Unternehmen.

Abgrenzung zur eigenständigen Verantwortlichkeit

Nicht jede Weitergabe von Daten an Dritte stellt eine Auftragsverarbeitung dar. Wenn der Empfänger die Daten für eigene Zwecke und nach eigenen Entscheidungen verarbeitet, liegt eine eigenständige Verantwortlichkeit vor. Beispiele: Steuerberater, Rechtsanwälte, Banken. Hier bedarf es keines AVV, sondern einer Rechtsgrundlage für die Datenübermittlung.

Pflichtinhalte des AVV (Art. 28 Abs. 3 DSGVO)

Der Auftragsverarbeitungsvertrag muss schriftlich oder in elektronischer Form vorliegen und folgende Mindestinhalte umfassen:

• Gegenstand und Dauer der Verarbeitung — Was wird verarbeitet und für welchen Zeitraum?
• Art und Zweck der Verarbeitung — Welche Verarbeitungstätigkeiten werden durchgeführt und zu welchem Zweck?
• Art der personenbezogenen Daten — Welche Datenkategorien sind betroffen (Name, E-Mail, Gesundheit etc.)?
• Kategorien betroffener Personen — Kunden, Beschäftigte, Bewerber, Websitebesucher etc.
• Weisungsbindung — Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen.
• Vertraulichkeit — Alle zur Verarbeitung befugten Personen müssen zur Vertraulichkeit verpflichtet werden.
• Technische und organisatorische Maßnahmen — Der Auftragsverarbeiter muss angemessene TOMs umsetzen (Art. 32).
• Unterstützung bei Betroffenenrechten — Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte.
• Unterstützung bei Meldepflichten — Benachrichtigung des Verantwortlichen bei Datenpannen ohne unangemessene Verzögerung.
• Löschung und Rückgabe nach Vertragsende — Nach Beendigung der Verarbeitung alle Daten löschen oder zurückgeben.
• Nachweispflichten — Alle erforderlichen Informationen zum Nachweis der Pflichterfüllung bereitstellen und Überprüfungen (Audits) ermöglichen.

Sub-Auftragsverarbeiter (Art. 28 Abs. 2 und 4)

Ein Auftragsverarbeiter darf einen weiteren Auftragsverarbeiter (Sub-Auftragsverarbeiter) nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen einschalten. Bei allgemeiner Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über geplante Änderungen informieren, sodass dieser Einspruch erheben kann.

Dem Sub-Auftragsverarbeiter müssen dieselben Datenschutzpflichten auferlegt werden wie dem Hauptauftragsverarbeiter. Kommt der Sub-Auftragsverarbeiter seinen Pflichten nicht nach, haftet der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten.

Praxistipp: Sub-Auftragsverarbeiter verwalten

• Führen Sie eine aktuelle Liste aller Sub-Auftragsverarbeiter mit Kontaktdaten und Verarbeitungszweck.
• Definieren Sie einen Genehmigungsprozess für neue Sub-Auftragsverarbeiter.
• Legen Sie ein Widerspruchsverfahren und Eskalationsregeln fest.
• Prüfen Sie die TOMs der Sub-Auftragsverarbeiter regelmäßig.

Checkliste: AVV richtig aufsetzen

Nutzen Sie diese Checkliste, um sicherzustellen, dass Ihr Auftragsverarbeitungsvertrag alle Anforderungen erfüllt:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung definiert
• Datenkategorien und Kategorien betroffener Personen aufgelistet
• Weisungsbindung und Dokumentation der Weisungen geregelt
• Vertraulichkeitsverpflichtung für alle befugten Personen
• TOMs konkret beschrieben oder als Anlage beigefügt
• Regelung zu Sub-Auftragsverarbeitern (gesonderte oder allgemeine Genehmigung)
• Unterstützung bei Betroffenenrechten vereinbart
• Meldepflichten bei Datenpannen geregelt
• Löschung oder Rückgabe nach Vertragsende festgelegt
• Kontrollrechte und Auditregelungen vereinbart
• Regelungen bei Drittlandtransfer (Standardvertragsklauseln, etc.)

Auswahl und Kontrolle von Auftragsverarbeitern

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Dies umfasst:

• Prüfung der TOMs vor Vertragsschluss — idealerweise anhand eines Fragebogens oder Audits.
• Berücksichtigung von Zertifizierungen (z. B. ISO 27001, SOC 2) als Indikator für Datenschutzreife.
• Regelmäßige Überprüfung — mindestens jährlich oder bei wesentlichen Änderungen.
• Dokumentation der Auswahlentscheidung als Teil der Rechenschaftspflicht.

Haftung bei Verstößen

Der Verantwortliche haftet für die gesamte Verarbeitung — auch wenn ein Auftragsverarbeiter den Verstoß verursacht hat. Der Auftragsverarbeiter haftet nur dann, wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder Weisungen des Verantwortlichen missachtet hat (Art. 82 Abs. 2 DSGVO).

In der Praxis bedeutet dies: Ein mangelhafter AVV oder fehlende Kontrolle über den Auftragsverarbeiter kann dem Verantwortlichen als eigener Pflichtverstoß angelastet werden. Der Datenschutzbeauftragte sollte daher in die Auswahl und Kontrolle von Auftragsverarbeitern einbezogen werden.

Häufige Fehler bei der Auftragsverarbeitung

• Kein AVV abgeschlossen — Der häufigste Fehler, insbesondere bei Cloud-Diensten und SaaS-Tools.
• Veraltete AVVs — AVVs, die noch auf die alte BDSG-Regelung verweisen oder wichtige DSGVO-Klauseln vermissen lassen.
• Fehlende TOM-Dokumentation — TOMs sind nur abstrakt beschrieben oder fehlen ganz.
• Sub-Auftragsverarbeiter nicht genehmigt — Auftragsverarbeiter setzen weitere Dienstleister ein, ohne den Verantwortlichen zu informieren.
• Keine regelmäßige Überprüfung — AVVs werden einmal abgeschlossen und nie wieder geprüft.