AAllgemein

Auftragsverarbeitung (AV) nach Art. 28 DSGVO

Vertragliche Regelung, wenn Dienstleister personenbezogene Daten verarbeiten.

Auftragsverarbeitung (AV) nach Art. 28 DSGVO bedeutet, dass ein externer Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag eines Unternehmens (Verantwortlicher) verarbeitet – z. B. Hosting, Lohnabrechnung oder IT-Support. Dafür ist ein Vertrag zur Auftragsverarbeitung (AVV/DPA) Pflicht, der Zweck, Weisungen, Schutzmaßnahmen und Kontrollrechte regelt.

Was bedeutet „Auftragsverarbeitung“ konkret?

In der Praxis liegt AV vor, wenn Ihr Unternehmen die Zwecke und Mittel der Verarbeitung bestimmt, aber ein Dienstleister die Daten technisch oder organisatorisch verarbeitet. Typische Beispiele für KMU:

  • Cloud-Hosting & E-Mail (z. B. Serverbetrieb, Backup, Managed Hosting)
  • IT-Wartung/Remote-Support, wenn dabei Zugriff auf Systeme mit Kundendaten möglich ist
  • Lohn- und Gehaltsabrechnung über ein externes Payroll-Büro
  • CRM-/Ticketsysteme als SaaS, wenn dort Kunden- oder Mitarbeiterdaten liegen

Wichtig: Nicht jede Zusammenarbeit ist AV. Wird ein Dienstleister selbst „Herr der Zwecke“ (z. B. eigener Entscheidungsspielraum), kann es sich um gemeinsame Verantwortlichkeit oder eine eigene Verantwortlichkeit handeln. Das muss sauber eingeordnet werden.

Wie funktioniert AV nach Art. 28 DSGVO? (Ablauf für KMU)

  • 1) Prüfen, ob AV vorliegt: Verarbeitet der Anbieter Daten nur nach Ihren Weisungen?
  • 2) Dienstleister auswählen: Art. 28 verlangt „hinreichende Garantien“ (z. B. TOMs, Zertifizierungen, Sicherheitskonzept).
  • 3) AV-Vertrag abschließen: Vor Start der Verarbeitung – meist als AVV/DPA des Anbieters.
  • 4) TOMs bewerten & dokumentieren: Zugriffsschutz, Verschlüsselung, Backup, Berechtigungen, Protokollierung etc.
  • 5) Unterauftragsverarbeiter steuern: Subdienstleister (z. B. Rechenzentrum) nur mit Genehmigung/Transparenz.
  • 6) Kontrolle & laufende Pflege: Regelmäßig prüfen (z. B. jährlicher Check, bei Tool-Wechseln, bei Sicherheitsvorfällen).

Was muss im AV-Vertrag stehen (Kernpflichten nach Art. 28 DSGVO)?

Ein AVV muss u. a. regeln: Gegenstand und Dauer, Art und Zweck, Datenarten und Betroffenengruppen, Weisungsrecht, Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Unterstützung bei Betroffenenrechten (Auskunft/Löschung), Unterstützung bei Datenschutzvorfällen, Löschung/Rückgabe nach Vertragsende sowie Nachweise/Audits. Für viele KMU ist der Knackpunkt, dass diese Punkte zwar „im Template“ stehen, aber inhaltlich zu Ihrem Einsatz passen müssen (z. B. welche Systeme, welche Daten, welche Löschfristen).

Warum ist Auftragsverarbeitung wichtig?

Ohne AVV ist die Nutzung vieler IT-Dienstleister datenschutzrechtlich riskant: Es drohen Beanstandungen durch Aufsichtsbehörden, Bußgelder und vor allem operative Probleme (z. B. fehlende Regelungen zur Löschung oder zum Incident-Handling). Ein sauberer AVV schafft zudem Klarheit, wer bei einem Sicherheitsvorfall was wann liefern muss (Logs, Meldungen, Ansprechpartner).

Praxis-Tipps für KMU (häufige Stolperfallen)

  • IT-Support-Verträge: Wenn Admins Zugriff auf produktive Systeme haben, ist fast immer ein AVV nötig.
  • Cloud & internationale Anbieter: AVV allein reicht nicht, wenn Datenübermittlungen in Drittländer stattfinden (zusätzliche Transferprüfung/Standardvertragsklauseln).
  • KI-Tools im Unternehmen: Bei Nutzung von ChatGPT oder Generative KI (Generative AI) kann AV relevant sein, wenn personenbezogene Daten eingegeben werden und der Anbieter als Auftragsverarbeiter agiert. Prüfen Sie zusätzlich Datenaufbewahrung und Optionen wie Zero Data Retention (ZDR).
  • Dokumentation: Halten Sie fest, welche Tools AV sind, welche Unterauftragsverarbeiter eingesetzt werden und wo die TOMs liegen.

Was kostet ein AV-Vertrag?

Der AVV selbst ist bei SaaS-Anbietern oft kostenlos Bestandteil der Vertragsunterlagen. Kosten entstehen typischerweise indirekt durch Prüfung, Anpassungen, Rechtsberatung (bei Sonderfällen) und den internen Aufwand für Vendor-Checks und Dokumentation. Je stärker reguliert oder je sensibler die Daten, desto höher der Prüfaufwand.