AAllgemein

Auftragsverarbeitung (AV) nach Art. 28 DSGVO

Vertragliche Regelung, wenn Dienstleister personenbezogene Daten verarbeiten.
4 Aufrufe

Auftragsverarbeitung (AV) nach Art. 28 DSGVO bedeutet, dass ein externer Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag eines Unternehmens (Verantwortlicher) verarbeitet – z. B. Hosting, Lohnabrechnung oder IT-Support. Dafür ist ein Vertrag zur Auftragsverarbeitung (AVV/DPA) Pflicht, der Zweck, Weisungen, Schutzmaßnahmen und Kontrollrechte regelt.

Was bedeutet „Auftragsverarbeitung“ konkret?

In der Praxis liegt AV vor, wenn Ihr Unternehmen die Zwecke und Mittel der Verarbeitung bestimmt, aber ein Dienstleister die Daten technisch oder organisatorisch verarbeitet. Typische Beispiele für KMU:

  • Cloud-Hosting & E-Mail (z. B. Serverbetrieb, Backup, Managed Hosting)
  • IT-Wartung/Remote-Support, wenn dabei Zugriff auf Systeme mit Kundendaten möglich ist
  • Lohn- und Gehaltsabrechnung über ein externes Payroll-Büro
  • CRM-/Ticketsysteme als SaaS, wenn dort Kunden- oder Mitarbeiterdaten liegen

Wichtig: Nicht jede Zusammenarbeit ist AV. Wird ein Dienstleister selbst „Herr der Zwecke“ (z. B. eigener Entscheidungsspielraum), kann es sich um gemeinsame Verantwortlichkeit oder eine eigene Verantwortlichkeit handeln. Das muss sauber eingeordnet werden.

Wie funktioniert AV nach Art. 28 DSGVO? (Ablauf für KMU)

  • 1) Prüfen, ob AV vorliegt: Verarbeitet der Anbieter Daten nur nach Ihren Weisungen?
  • 2) Dienstleister auswählen: Art. 28 verlangt „hinreichende Garantien“ (z. B. TOMs, Zertifizierungen, Sicherheitskonzept).
  • 3) AV-Vertrag abschließen: Vor Start der Verarbeitung – meist als AVV/DPA des Anbieters.
  • 4) TOMs bewerten & dokumentieren: Zugriffsschutz, Verschlüsselung, Backup, Berechtigungen, Protokollierung etc.
  • 5) Unterauftragsverarbeiter steuern: Subdienstleister (z. B. Rechenzentrum) nur mit Genehmigung/Transparenz.
  • 6) Kontrolle & laufende Pflege: Regelmäßig prüfen (z. B. jährlicher Check, bei Tool-Wechseln, bei Sicherheitsvorfällen).

Was muss im AV-Vertrag stehen (Kernpflichten nach Art. 28 DSGVO)?

Ein AVV muss u. a. regeln: Gegenstand und Dauer, Art und Zweck, Datenarten und Betroffenengruppen, Weisungsrecht, Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Unterstützung bei Betroffenenrechten (Auskunft/Löschung), Unterstützung bei Datenschutzvorfällen, Löschung/Rückgabe nach Vertragsende sowie Nachweise/Audits. Für viele KMU ist der Knackpunkt, dass diese Punkte zwar „im Template“ stehen, aber inhaltlich zu Ihrem Einsatz passen müssen (z. B. welche Systeme, welche Daten, welche Löschfristen).

Warum ist Auftragsverarbeitung wichtig?

Ohne AVV ist die Nutzung vieler IT-Dienstleister datenschutzrechtlich riskant: Es drohen Beanstandungen durch Aufsichtsbehörden, Bußgelder und vor allem operative Probleme (z. B. fehlende Regelungen zur Löschung oder zum Incident-Handling). Ein sauberer AVV schafft zudem Klarheit, wer bei einem Sicherheitsvorfall was wann liefern muss (Logs, Meldungen, Ansprechpartner).

Praxis-Tipps für KMU (häufige Stolperfallen)

  • IT-Support-Verträge: Wenn Admins Zugriff auf produktive Systeme haben, ist fast immer ein AVV nötig.
  • Cloud & internationale Anbieter: AVV allein reicht nicht, wenn Datenübermittlungen in Drittländer stattfinden (zusätzliche Transferprüfung/Standardvertragsklauseln).
  • KI-Tools im Unternehmen: Bei Nutzung von ChatGPT oder Generative KI (Generative AI) kann AV relevant sein, wenn personenbezogene Daten eingegeben werden und der Anbieter als Auftragsverarbeiter agiert. Prüfen Sie zusätzlich Datenaufbewahrung und Optionen wie Zero Data Retention (ZDR).
  • Dokumentation: Halten Sie fest, welche Tools AV sind, welche Unterauftragsverarbeiter eingesetzt werden und wo die TOMs liegen.

Was kostet ein AV-Vertrag?

Der AVV selbst ist bei SaaS-Anbietern oft kostenlos Bestandteil der Vertragsunterlagen. Kosten entstehen typischerweise indirekt durch Prüfung, Anpassungen, Rechtsberatung (bei Sonderfällen) und den internen Aufwand für Vendor-Checks und Dokumentation. Je stärker reguliert oder je sensibler die Daten, desto höher der Prüfaufwand.

Zahlen & Fakten

0 von 4
AV bei DienstleisternFür die meisten KMU ist eine Auftragsverarbeitung relevant, sobald externe Anbieter wie Hosting-, CRM- oder Lohnabrechnungsdienste personenbezogene Daten im Auftrag verarbeiten.
0 Mio. €
maximales BußgeldFehlende oder unzureichende AV-Verträge können als DSGVO-Verstoß gewertet werden und theoretisch Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes auslösen.
0%
weniger PrüfaufwandStandardisierte AV-Vorlagen und klare TOM-Dokumentation senken in KMU oft den internen Abstimmungs- und Prüfaufwand bei neuen Dienstleistern spürbar.

Anwendungsfälle in der Praxis

HR
Lohnabrechnung mit externem Payroll-Dienstleister DSGVO-konform absichern
Ein KMU übermittelt Mitarbeiterdaten wie Gehalt, Steuermerkmale und Krankenkassendaten an einen externen Anbieter für die monatliche Lohnabrechnung. Mit einer Auftragsverarbeitung nach Art. 28 DSGVO werden Verantwortlichkeiten, Sicherheitsmaßnahmen und Löschfristen klar geregelt, damit die HR-Abteilung den Dienstleister rechtssicher einsetzen kann.

Bist du bereit für Auftragsverarbeitung (AV) nach Art. 28 DSGVO?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Weißt du, bei welchen Dienstleistern in deinem Unternehmen personenbezogene Daten im Auftrag verarbeitet werden?
Hast du mit diesen Dienstleistern bereits Auftragsverarbeitungsverträge abgeschlossen?
Prüfst du vor der Beauftragung, ob ein Dienstleister ausreichende Datenschutz- und Sicherheitsmaßnahmen nachweisen kann?
Sind Inhalte wie Zweck, Dauer, Datenarten, Betroffenenkategorien und technische Maßnahmen in deinen AV-Verträgen sauber dokumentiert?
Überprüfst du regelmäßig, ob bestehende AV-Verträge, Subdienstleister und Prozesse noch aktuell und DSGVO-konform sind?

Ist deine Auftragsverarbeitung nach Art. 28 DSGVO bei allen Tools und Dienstleistern sauber geregelt?

Sobald externe Anbieter personenbezogene Daten für dich verarbeiten, brauchst du nicht nur AV-Verträge, sondern vor allem einen klaren Überblick über deine gesamte Tool-Landschaft. Im Tech-Gutachten prüfe ich mit dir, welche Systeme im Einsatz sind, wo personenbezogene Daten verarbeitet werden und bei welchen Anbietern Handlungsbedarf besteht. So erkennst du schneller, welche Verträge, Prozesse und Zuständigkeiten dir noch fehlen. Das schafft eine belastbare Grundlage, um Datenschutz nicht nur formal, sondern auch praktisch sauber umzusetzen.

Häufig gestellte Fragen

Was ist Auftragsverarbeitung (AV) nach Art. 28 DSGVO?
AV liegt vor, wenn ein Dienstleister personenbezogene Daten nur nach Weisung Ihres Unternehmens verarbeitet (z. B. Hosting, IT-Support, Payroll). Dafür ist ein Vertrag zur Auftragsverarbeitung (AVV/DPA) nach Art. 28 DSGVO verpflichtend.