Auftragsverarbeitungsvertrag DSGVO: Alles Wichtige für rechtssichere Zusammenarbeit mit Dienstleistern

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Element im Datenschutz nach der DSGVO. Viele Unternehmen arbeiten mit Dienstleistern zusammen, die personenbezogene Daten im Auftrag verarbeiten – sei es beim Hosting, bei der Lohnabrechnung oder bei der Nutzung von Cloud-Diensten. Doch wann liegt tatsächlich eine Auftragsverarbeitung vor? Was muss im AV-Vertrag geregelt sein? Und welche Risiken bestehen bei Verstößen? Dieser Beitrag klärt auf.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zivilrechtlicher Vertrag zwischen einem Unternehmen (sog. „Verantwortlicher“ und einem externen Dienstleister (sog. „Auftragsverarbeiter“) der im Auftrag des Unternehmens personenbezogene Daten verarbeitet.

Der Vertrag regelt, wie und unter welchen Bedingungen personenbezogene Daten durch den Auftragsverarbeiter verarbeitet werden dürfen. Dabei geht es vor allem darum, den Schutz der Daten zu gewährleisten und sicherzustellen, dass die Verarbeitung nur im Rahmen des vereinbarten Zwecks erfolgt.

Verantwortlicher vs. Auftragsverarbeiter

• Verantwortlicher: Das Unternehmen, das über Zweck und Mittel der Verarbeitung von Daten entscheidet.
• Auftragsverarbeiter: Ein externer Dienstleister, der Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

Wann benötigt man einen Auftragsverarbeitungsvertrag?

Ein AV-Vertrag ist immer dann erforderlich, wenn ein externer Dienstleister im Auftrag eines Unternehmens personenbezogene Daten verarbeitet, ohne selbst über den Zweck und die Mittel der Verarbeitung zu entscheiden.

Das ist beispielsweise der Fall, wenn:

• der Dienstleister die personenbezogenen Daten weisungsgebunden verarbeitet
• dem auftraggebenden Unternehmen eine Überwachungs- und Kontrollbefugnis gegenüber dem Dienstleister obliegt 
•  Der Eindruck der Verarbeitung von personenbezogenen Daten gegenüber der betroffenen Person und die daraus resultierenden Erwartungen. 

Was fällt unter „Verarbeitung personenbezogener Daten“?

Um zu verstehen, wann ein AV-Vertrag notwendig ist, muss klar sein, was die DSGVO unter „Verarbeitung personenbezogener Daten“ versteht. Laut Art. 4 Nr. 2 DSGVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang, der sich auf personenbezogene Daten bezieht. Dazu zählen insbesondere:

• das Erheben
•  das Erfassen
• die Organisation
• das Ordnen
• die Speicherung
• die Anpassung oder Veränderung
• das Auslesen
• das Abfragen
• die Verwendung
• die Offenlegung durch Übermittlung
• Verbreitung
•  den Abgleich oder die Verknüpfung
• die Einschränkung
• das Löschen oder die Vernichtung

Was wird typischerweise in einem Auftragsverarbeitungsvertrag geregelt?

Der AV-Vertrag regelt typischerweise die Rechte und Pflichten beider Parteien im Hinblick auf den Datenschutz und den europäischen Vorschriften. Ziel ist es, sicherzustellen, dass die Verarbeitung der Daten rechtmäßig, sicher und transparent erfolgt.

Auftragsverarbeitungsvertrag Pflichtinhalte gemäß Art. 28 Abs. 3 DSGVO

Die DSGVO gibt in Art. 28 Abs. 3 klar vor, welche Mindestinhalte ein AV-Vertrag haben muss. Diese Pflichtklauseln müssen immer enthalten sein, andernfalls drohen Bußgelder. Pflichtklauseln gemäß Art. 28 Abs. 3 DSGVO

1. Gegenstand und Dauer der Verarbeitung:
   Der Vertrag muss klar benennen, welche Art von Datenverarbeitung durchgeführt wird und über welchen Zeitraum.
   
2. Art und Zweck der Verarbeitung:
   Beispiel: Verarbeitung von E-Mail-Adressen zum Versand von Newslettern.
   
3. Art der personenbezogenen Daten:
   Z. B. Name, E-Mail, Telefonnummer – je nachdem, was konkret verarbeitet wird.
   
4. Kategorien betroffener Personen:
   Etwa: Kunden, Patienten, Mitarbeiter, Geschäftspartner.
   
5. Pflichten und Rechte des Verantwortlichen:
   Dazu zählt insbesondere das Weisungsrecht gegenüber dem Auftragsverarbeiter.
   
6. Pflichten des Auftragsverarbeiters:

• Vertraulichkeitspflicht der mit der Verarbeitung betrauten Personen
• Technisch-organisatorische Maßnahmen (TOM)
• Unterstützung bei der Wahrnehmung von Betroffenenrechten
• Meldepflicht bei Datenschutzverstößen
• Unterstützung bei Datenschutz-Folgenabschätzungen
• Verpflichtung zur Datenlöschung nach Vertragsende
• Nennung des Datenschutzbeauftragten

8. Unterauftragsarbeiter:
   Der Auftragsverarbeiter darf Subunternehmer nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen einsetzen.

9. Kontrollrechte des Verantwortlichen:
   Der Verantwortliche muss den Auftragsverarbeiter kontrollieren dürfen – etwa durch Audits oder Prüfberichte.

10. Rückgabe oder Löschung der Daten:
    Nach Ende der Verarbeitung müssen alle personenbezogenen Daten entweder gelöscht oder an den Verantwortlichen zurückgegeben werden.

Wer ist Auftragsverarbeiter – und wer nicht?

Ein Auftragsverarbeiter ist laut Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Wichtig ist dabei:

• Der Auftragsverarbeiter handelt nicht aus eigenem Interesse mit den Daten.
• Er ist weisungsgebunden gegenüber dem Verantwortlichen.
• Er darf die Daten nicht für eigene Zwecke nutzen

Beispiel: Ein IT-Dienstleister, der Ihre Systeme hostet und dabei Zugriff auf personenbezogene Daten hat, ist typischerweise ein Auftragsverarbeiter. Bei einer ausgelagerten Kundenbetreuung mit Zugriff zu den Kundendatenbanken des Auftraggebers durch die externen Call-Center Mitarbeiter handelt es sich ebenfalls um Auftragsverarbeiter

Kein Auftragsverarbeiter ist ein Dienstleister, der selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet und die Ausübung der Fachleistung weisungsfrei und eigenverantwortlich ausführt. Dazu gehören beispielsweise ein Arzt, der Patientendaten verarbeitet, ein Anwalt oder Wirtschaftsprüfer, der Mandantendaten verarbeitet. Auch ein Steuerberater ist kein Auftragsverarbeiter gemäß § 11 Absatz 2StBerG, sondern muss den Datenschutz in der Steuerkanzlei eigenständig beachten. 

Typische Fälle von Auftragsverarbeitung

Viele Geschäftsprozesse werden heute an externe Dienstleister ausgelagert. Dabei handelt es sich oft um klassische Auftragsverarbeitungen. Im Folgenden eine Übersicht über häufige Anwendungsfälle:

Hosting

Webseiten- und Server-Hosting durch externe Anbieter ist ein klassischer Fall der Auftragsverarbeitung. Wenn Ihre Unternehmenswebsite oder ein Kundenportal bei einem externen Hosting-Anbieter betrieben wird, verarbeitet dieser Dienstleister Daten wie:

• IP-Adressen von Websitebesuchern
• Kontaktformular-Daten (Name, E-Mail-Adresse, Nachricht)
• Login-Daten von Kunden- oder Mitarbeiterkonten
• Bestelldaten in Webshops (Name, Anschrift, Zahlungsinformationen)

Cloud Computing

Cloud-Dienste wie Microsoft 365, Google Workspace oder Dropbox verarbeiten Daten im Auftrag des Unternehmens. Beispiele für verarbeitete Daten:

• E-Mails mit personenbezogenem Inhalt (z. B. Bewerbungen, Kundennachrichten)
• Dokumente mit Kunden- oder Mitarbeiterdaten (z. B. Verträge, Lebensläufe)
• Kalendertermine mit Namen und Kontaktdaten von Geschäftspartnern

Tracking- und Analyse-Dienste

Webanalyse-Tools wie Google Analytics oder Matomo gelten in der Regel als Auftragsverarbeiter. Sie erfassen bspw.:

• Gekürzte oder vollständige IP-Adressen
• Geräte- und Browserinformationen
• Standortdaten (ungefähr)
• Nutzungsverhalten auf Ihrer Website (z. B. welche Seiten wie lange besucht wurden)

Diese Daten lassen Rückschlüsse auf einzelne Besucher zu und gelten daher als personenbezogen.

Firewall

Managed Firewall-Dienste, bei denen ein externer Anbieter Zugriff auf Netzwerkdaten oder Protokolle hat, können unter die Auftragsverarbeitung fallen. Betreibt ein Dienstleister Ihre Firewall oder ein Intrusion Detection System, verarbeitet er typischerweise:

• Verbindungsprotokolle (Logfiles)
• IP-Adressen von Nutzern oder Angreifern
• Nutzungsdaten aus Ihrem Netzwerkverkehr

Diese Informationen sind besonders kritisch, da sie zur Nachverfolgung von Sicherheitsvorfällen genutzt werden.

Datenträgervernichtung

Auch die Vernichtung ist eine Form der Datenverarbeitung. Deshalb ist auch die Entsorgung alter Festplatten, USB-Sticks oder Papierakten durch spezialisierte Dienstleister eine Form der Auftragsverarbeitung. Schließlich befinden sich auf diesen Datenträgern personenbezogene Daten: 

• Mitarbeiterdaten auf Personalakten
• Kundendaten auf Vertragskopien oder Rechnungen
• E-Mails auf alten Datenträgern

Scanning / Lettershops

Dienstleister, die Ihre Geschäftspost digitalisieren oder Massenbriefe verschicken, erhalten Zugriff auf:

• Namen und Adressen von Kunden oder Geschäftspartnern
• Rechnungsdaten, Mahnungen oder Kontoauszüge
• ggf. vertrauliche Informationen in der Korrespondenz

Auch hier erfolgt die Verarbeitung ausschließlich nach Ihren Vorgaben – ein AV-Vertrag ist Pflicht.

Externe Lohnabrechnung 

Wenn ein Dienstleister Ihre Gehaltsabrechnungen erstellt oder das Personalwesen verwaltet, verarbeitet er besonders sensible Daten:

• Name, Anschrift und Sozialversicherungsnummer der Mitarbeiter
• Steuer- und Bankdaten
• Gehaltshöhen, Krankmeldungen, Arbeitszeiten

Drittanbieter und Toolanbieter, die typischerweise als Auftragsverarbeiter agieren

In der Praxis zählen unter anderem folgende Anbieter zu typischen Auftragsverarbeitern:

• E-Mail-Dienstleister wie Mailchimp, Sendinblue oder CleverReach
• Videokonferenzanbieter wie Zoom, Microsoft Teams oder Webex
• CRM-Systeme wie Salesforce oder HubSpot
• Helpdesk-Systeme wie Zendesk oder Freshdesk
• ERP-Software mit Personal-, Kunden- oder Lieferantendaten
• Buchhaltungs- und Zeiterfassungstools, sofern sie personenbezogene Daten verarbeiten

Aber Achtung: Nicht jeder Toolanbieter ist automatisch Auftragsverarbeiter. Es sind immer die Gesamtumstände der Zusammenarbeit und die Zugriffsmöglichkeiten seitens des Dienstleisters beispielsweise Cloud-Hosting vs. Self-hosting) zu berücksichtigen. Entscheidend sind immer die tatsächlichen Gesamtumstände im Einzelfall!

Wovon ist die Auftragsverarbeitung abzugrenzen?

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (sog. Joint Control)

Bei einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO entscheiden zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Datenverarbeitung. Anders als bei der Auftragsverarbeitung handeln die Beteiligten hier also nicht im Auftrag des jeweils anderen, sondern treffen eigenverantwortlich und in enger Abstimmung Entscheidungen über die Datenverarbeitung. Ein typisches Beispiel ist eine Kooperation zwischen zwei Unternehmen, die eine gemeinsame Plattform betreiben und gemeinsam über die Verarbeitung der Nutzerdaten entscheiden. In solchen Fällen ist es erforderlich, eine Vereinbarung zur gemeinsamen Verantwortlichkeit zu schließen, die die jeweiligen Verantwortlichkeiten transparent regelt – auch gegenüber den betroffenen Personen.

Getrennte Verantwortlichkeit

Von der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit abzugrenzen ist schließlich die getrennte Verantwortlichkeit. Hier verarbeiten zwei Stellen zwar dieselben oder miteinander verknüpfte, personenbezogene Daten, tun dies jedoch unabhängig voneinander und auf Grundlage jeweils eigener Zwecke und Mittel. Es besteht keine Weisungsbefugnis zwischen den Parteien, und jede Stelle trägt die volle datenschutzrechtliche Verantwortung für ihre Datenverarbeitung. Ein Beispiel dafür wäre ein Versicherungsmakler, der Kundendaten an eine Versicherung weitergibt: Beide verarbeiten die Daten jeweils eigenständig – der Makler zur Beratung, die Versicherung zur Vertragsabwicklung. In solchen Fällen ist keine Vereinbarung nach Art. 28 oder Art. 26 DSGVO erforderlich, wohl aber eine sorgfältige datenschutzrechtliche Prüfung der jeweiligen Verarbeitungsvorgänge.

Die klare Unterscheidung dieser Konstellationen ist essenziell für eine rechtssichere Gestaltung von Datenverarbeitungsprozessen und vermeidet nicht nur Bußgelder, sondern auch Vertrauensverluste bei Kunden und Geschäftspartnern.

Auftragsverarbeitungsvertrag bei Dienstleistern im Ausland

Ein sogenannter Auftragsverarbeitungsvertrag (AV-Vertrag) ist auch dann zwingend erforderlich, wenn der Dienstleister seinen Sitz außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) hat. Die bloße räumliche Entfernung oder der Sitz im Ausland entbindet Verantwortliche keineswegs von ihrer datenschutzrechtlichen Verantwortung. Vielmehr gelten bei grenzüberschreitender Datenverarbeitung sogar erhöhte Anforderungen, insbesondere hinsichtlich des Datenschutzniveaus im Drittland.

Angemessenheitsbeschluss der EU-Kommission:
Liegt für ein Drittland ein Angemessenheitsbeschluss der EU-Kommission vor, bedeutet das: Die EU hat offiziell festgestellt, dass dort ein mit der DSGVO vergleichbares Datenschutzniveau herrscht. In solchen Fällen dürfen personenbezogene Daten ohne weitere Genehmigungen oder zusätzliche Maßnahmen an den Dienstleister übermittelt werden. Beispiele für solche Länder sind derzeit etwa Japan, die Schweiz oder seit Juli 2023 auch bestimmte Unternehmen in den USA, die unter dem EU-U.S. Data Privacy Framework zertifiziert sind. Dennoch sollten Unternehmen immer genau prüfen, ob der jeweilige Dienstleister tatsächlich unter den Geltungsbereich eines solchen Beschlusses fällt.

Standardvertragsklauseln (SCCs) der EU:
Fehlt ein Angemessenheitsbeschluss, müssen sogenannte Standardvertragsklauseln (SCCs) verwendet werden. Diese von der EU-Kommission vorgegebenen Vertragsmuster verpflichten den ausländischen Dienstleister zur Einhaltung europäischer Datenschutzstandards. Die SCCs müssen unverändert übernommen und korrekt in den Vertrag integriert werden. Seit 2021 gelten neue, modulare SCCs, die je nach Art der Datenübermittlung angepasst werden können. Zusätzlich zur vertraglichen Regelung kann es erforderlich sein, ergänzende technische und organisatorische Maßnahmen zu ergreifen – etwa Verschlüsselung oder Zugriffsbeschränkungen –, um das Datenschutzniveau effektiv abzusichern.

Binding Corporate Rules (BCRs) bei konzerninternen Verarbeitungen:
Für konzerninterne Datenübermittlungen in Drittländer bieten sogenannte Binding Corporate Rules (BCRs) eine weitere Möglichkeit zur rechtssicheren Übertragung. Dabei handelt es sich um verbindliche Datenschutzregeln, die konzernweit gelten und durch eine europäische Datenschutzaufsichtsbehörde genehmigt werden müssen. BCRs eignen sich insbesondere für internationale Unternehmensgruppen, die personenbezogene Daten regelmäßig konzernintern austauschen – etwa zwischen der Zentrale in Europa und einer Tochtergesellschaft in den USA oder Asien. Die Implementierung von BCRs ist aufwendig, bietet dafür aber langfristige Rechtssicherheit für interne Datenflüsse.

Sonderfall: Auftragsverarbeiter in den USA

Seit Juli 2023 gibt es mit dem EU-U.S. Data Privacy Framework (DPF) wieder einen Angemessenheitsbeschluss der EU-Kommission für zertifizierte US-Unternehmen. Das bedeutet: Nutzt ein europäisches Unternehmen einen US-Dienstleister, der sich dem DPF angeschlossen und sich zertifiziert hat, kann dies den Transfer personenbezogener Daten rechtlich absichern – ganz ohne zusätzliche Standardvertragsklauseln. Dennoch sollten Unternehmen stets überprüfen, ob der konkrete Dienstleister tatsächlich DPF-zertifiziert ist, und welche Art von Datenverarbeitung stattfindet. Auch wenn das DPF eine Erleichterung darstellt, ist der Datentransfer in die USA weiterhin rechtlich sensibel und wackelig, weshalb eine laufende Prüfung der Rechtsprechung und Empfehlungen der Datenschutzaufsichtsbehörden dringend angeraten ist.

Insgesamt gilt: Der Einsatz ausländischer Auftragsverarbeiter – insbesondere in Drittländern wie den USA – ist mit zusätzlichen Anforderungen verbunden. Ein Auftragsverarbeitungsvertrag allein reicht nicht aus. Nur wer sämtliche rechtlichen und technischen Aspekte berücksichtigt, kann personenbezogene Daten rechtskonform und sicher ins Ausland übermitteln.

Wann müssen vorhandene Auftragsverarbeitungsverträge aktualisiert werden?

Ein einmal geschlossener Auftragsverarbeitungsvertrag (AV-Vertrag) ist nicht für die Ewigkeit gültig. Aktualisierungen sind notwendig, wenn:

• sich die Art der Verarbeitung ändert (z. B. Ausweitung der Zusammenarbeit, neue Dienstleistung, neue Kategorien von Daten),
• sich der Rechtsrahmen ändert (z. B. neue EU-Vorgaben),
• sich die Unternehmensstruktur ändert (Fusionen, Umfirmierungen, M& A-Transaktionen),
• es technologische Veränderungen gibt, die andere TOMs erforderlich machen.

Unternehmen sollten daher regelmäßig (mindestens jährlich) prüfen, ob ihre AV-Verträge noch aktuell bzw. vollständig sind und die eingesetzten Dienstleister im Hinblick auf einen datenschutzkonformen Umgang mit eigenen Daten überprüfen. 

Folgen von fehlenden oder mangelhaften Auftragsverarbeitungsverträgen

Wer Datenverarbeitung an Dienstleister ohne wirksamen Auftragsverarbeitungsvertrag (AV-Vertrag) überträgt, riskiert erhebliche Konsequenzen:

• Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
• Gemeinsame Haftung von Verantwortlichen und Auftragsverarbeiter bei Datenschutzverstößen
• Reputationsschäden durch Medienberichte, Kundenverlust oder Vertrauensverlust

Ein fehlender AV-Vertrag kann bereits als DSGVO-Verstoß gewertet werden – unabhängig davon, ob es tatsächlich zu einem Datenleck kam

Fazit – Auftragsverarbeitungsvertrag

Der Auftragsverarbeitungsvertrag ist kein formaler Papiertiger – sondern ein zentrales Werkzeug zur rechtssicheren Zusammenarbeit mit Dienstleistern. Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen, kommen um den AV-Vertrag nicht herum. Eine saubere Dokumentation, regelmäßige Aktualisierungen und die Auswahl verlässlicher Partner sind wesentliche Bestandteile eines funktionierenden Datenschutzmanagements.

Wenn Sie unsicher sind, ob Sie einen AV-Vertrag benötigen oder wie Sie Ihre bestehenden Verträge auf den neuesten Stand bringen, sprechen Sie uns gerne an. Als spezialisierte Datenschutzberatung unterstützen wir Sie bei der sicheren Gestaltung Ihrer Dienstleisterbeziehungen.

FAQ Auftragsverarbeitungsvertrag