Kaum ein Unternehmen verarbeitet seine Daten heute noch allein in den eigenen vier Wänden. Der Newsletter läuft über ein Tool aus der Cloud, die Lohnabrechnung macht der Steuerberater, die Server betreut ein IT-Dienstleister, und die E-Mails liegen bei einem Hosting-Anbieter. Jedes Mal, wenn ein externer Dienstleister dabei personenbezogene Daten in Ihrem Auftrag verarbeitet, verlangt die DSGVO einen Vertrag. Fehlt er, ist das einer der häufigsten und zugleich vermeidbarsten Verstöße überhaupt.
In diesem Ratgeber erkläre ich, was Auftragsverarbeitung genau ist, wer dabei welche Rolle einnimmt, wann Sie einen AV-Vertrag brauchen, was darin stehen muss und wo die Grenzen zu anderen Konstellationen wie der gemeinsamen Verantwortlichkeit verlaufen. Das Thema klingt sperrig, ist aber gut handhabbar, wenn man die Logik einmal verstanden hat.
Was Auftragsverarbeitung bedeutet
Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten ausschließlich nach Weisung und im Interesse seines Auftraggebers verarbeitet. Der Dienstleister verfolgt mit den Daten keine eigenen Zwecke. Er ist verlängerter Arm des Auftraggebers, nicht eigenständiger Akteur.
Das klassische Bild: Sie nutzen ein Cloud-Tool für Ihren E-Mail-Versand. Die Empfängeradressen gehören Ihnen, der Zweck ist Ihrer, der Anbieter stellt nur die technische Infrastruktur. Er darf mit den Adressen nichts Eigenes anstellen. Genau dieses Verhältnis – Weisungsgebundenheit und Zweckbindung – ist der Kern der Auftragsverarbeitung nach Artikel 28 DSGVO.
Der entscheidende Test ist immer die Frage nach dem Zweck: Wer entscheidet, warum und wie die Daten verarbeitet werden? Bleibt diese Entscheidung bei Ihnen und führt der Dienstleister nur aus, handelt es sich um Auftragsverarbeitung. Verfolgt der Dienstleister dagegen eigene Zwecke mit den Daten, verlässt man den Bereich des Artikel 28 – mit ganz anderen rechtlichen Folgen, auf die ich weiter unten eingehe. Diese eine Frage trennt in den meisten Fällen die Spreu vom Weizen.
Verantwortlicher und Auftragsverarbeiter: die zwei Rollen
Um Auftragsverarbeitung sauber einzuordnen, müssen Sie zwei Rollen unterscheiden. Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung – das sind in aller Regel Sie als auftraggebendes Unternehmen. Der Auftragsverarbeiter führt die Verarbeitung nach Ihren Weisungen aus.
Die DSGVO weist beiden unterschiedliche Pflichten zu, aber der Verantwortliche bleibt nach außen die zentrale Anlaufstelle. Gegenüber den betroffenen Personen und der Aufsichtsbehörde tragen Sie die Hauptverantwortung – auch für die Auswahl eines geeigneten Dienstleisters. Artikel 28 verpflichtet Sie ausdrücklich, nur mit Auftragsverarbeitern zu arbeiten, die hinreichende Garantien für die Einhaltung der DSGVO bieten. Sie können Verantwortung also nicht einfach „auslagern“.
Wann Sie einen AV-Vertrag brauchen
Die Faustregel ist einfach: Sobald ein externer Dienstleister in Ihrem Auftrag mit personenbezogenen Daten in Berührung kommt, brauchen Sie einen AV-Vertrag – auch dann, wenn er die Daten gar nicht aktiv nutzt, sondern nur darauf zugreifen könnte. Schon die Zugriffsmöglichkeit reicht aus.
Die folgende Übersicht zeigt typische Dienstleister und ob in der Regel ein AV-Vertrag nötig ist. Sie ersetzt keine Einzelfallprüfung, gibt aber eine verlässliche Orientierung.
| Dienstleister / Konstellation | AV-Vertrag nötig? | Anmerkung |
|---|---|---|
| Cloud-Hosting, Webhosting | Ja | Daten liegen auf fremden Servern |
| Newsletter- und E-Mail-Marketing-Tools | Ja | Empfängerdaten werden im Auftrag verarbeitet |
| IT-Dienstleister mit Systemzugriff (Wartung, Support) | Ja | Zugriffsmöglichkeit reicht aus |
| Externe Lohn- und Gehaltsbuchhaltung | Ja | Mitarbeiterdaten werden verarbeitet |
| Steuerberater (originäre Steuerberatung) | Nein | Eigenverantwortliche Tätigkeit, keine Weisungsgebundenheit |
| Berufsgeheimnisträger (Rechtsanwalt, Arzt) | Nein | Handeln in eigener Verantwortung |
| Bank, Versand per Post | Nein | Eigenständige Verantwortliche, keine Auftragsverarbeitung |
Besonders die Zeile zum Steuerberater sorgt regelmäßig für Diskussionen, weil sie zwischen Tätigkeiten unterscheidet. Die originäre Steuerberatung ist keine Auftragsverarbeitung – hier handelt der Berater eigenverantwortlich. Übernimmt derselbe Berater jedoch die reine Lohnbuchhaltung als technische Dienstleistung, kann das wieder anders liegen. Diese feinen Unterschiede arbeite ich gerne im Detail durch; mehr dazu auch auf meiner Seite für Steuerberater.
Was im AV-Vertrag stehen muss
Artikel 28 Abs. 3 schreibt vor, welche Punkte ein AV-Vertrag zwingend regeln muss. Ein Vertrag, der diese Mindestinhalte nicht abdeckt, erfüllt seinen Zweck nicht. Die wesentlichen Pflichtbestandteile sind:
- Gegenstand und Dauer der Verarbeitung sowie Art und Zweck.
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen.
- Weisungsgebundenheit: Der Auftragsverarbeiter handelt nur auf dokumentierte Weisung.
- Vertraulichkeit: Verpflichtung der eingesetzten Personen zur Verschwiegenheit.
- Technisch-organisatorische Maßnahmen: Der Dienstleister muss geeignete TOMs umsetzen.
- Regeln für Unterauftragnehmer (dazu gleich mehr).
- Unterstützungspflichten bei Betroffenenrechten, Datenpannen und der DSFA.
- Löschung oder Rückgabe der Daten nach Auftragsende.
- Nachweis- und Kontrollrechte des Verantwortlichen.
In der Praxis legen die meisten seriösen Dienstleister einen vorformulierten AV-Vertrag vor. Sie als Verantwortlicher sollten ihn aber nicht ungeprüft unterschreiben – schließlich tragen Sie die Verantwortung für die Auswahl. Welche Verarbeitungen über welche Dienstleister laufen, gehört übrigens auch in Ihr Verarbeitungsverzeichnis, das ich für meine Mandanten als zentrales Steuerungsinstrument pflege.
Abgrenzung: gemeinsame Verantwortlichkeit und Funktionsübertragung
Nicht jede Zusammenarbeit ist Auftragsverarbeitung – und genau hier passieren die meisten Fehler. Zwei Konstellationen müssen Sie davon abgrenzen.
Bei der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) entscheiden zwei oder mehr Stellen gemeinsam über Zwecke und Mittel der Verarbeitung. Keiner ist hier weisungsgebunden, beide sind Verantwortliche. Ein typisches Beispiel ist der Betrieb einer Facebook-Fanpage. In diesem Fall braucht es keinen AV-Vertrag, sondern eine Vereinbarung über die gemeinsame Verantwortlichkeit – ein anderes Dokument mit anderem Inhalt.
Bei der Funktionsübertragung übernimmt ein Dritter eine Aufgabe in eigener rechtlicher Verantwortung und verarbeitet die Daten zu eigenen Zwecken. Die klassischen Beispiele sind Banken, Inkassobüros oder die Post. Auch hier liegt keine Auftragsverarbeitung vor; der Dritte ist eigenständig Verantwortlicher. Die korrekte Einordnung dieser drei Konstellationen ist eine der häufigsten Aufgaben in meiner Beratung – und der Punkt, an dem standardisierte Vorlagen aus dem Internet oft scheitern.
Unterauftragnehmer und Drittlandtransfer
Zwei Themen verdienen besondere Aufmerksamkeit, weil sie schnell übersehen werden.
Unterauftragnehmer sind Dienstleister, die Ihr Auftragsverarbeiter seinerseits einsetzt – etwa wenn Ihr Newsletter-Anbieter seine Server bei einem dritten Cloud-Provider betreibt. Der Einsatz solcher Sub-Auftragsverarbeiter ist nur mit Ihrer Genehmigung zulässig, und die Datenschutzpflichten müssen durchgereicht werden. Ein guter AV-Vertrag regelt genau, wie Sie über neue Unterauftragnehmer informiert werden und wie Sie widersprechen können.
Der Drittlandtransfer wird brisant, sobald Daten Anbietern außerhalb der EU oder des EWR zugänglich werden – was bei vielen US-Cloud-Diensten faktisch der Fall ist. Dann reicht der AV-Vertrag allein nicht aus; es braucht zusätzlich eine geeignete Garantie für den Drittlandtransfer, etwa Standardvertragsklauseln oder die Teilnahme am EU-US Data Privacy Framework. Gerade bei verbreiteten Tools lohnt sich hier ein genauer Blick, den ich im Rahmen meiner Datenschutzberatung übernehme.
Was bei der Auswahl eines Dienstleisters zählt
Artikel 28 verlangt, dass Sie nur Auftragsverarbeiter einsetzen, die „hinreichende Garantien“ bieten. Das ist mehr als eine Floskel – es ist eine echte Auswahlpflicht, deren Verletzung Ihnen als Verantwortlichem zugerechnet wird. Aber wie prüft man das in der Praxis, ohne ein eigenes Audit-Team zu betreiben?
Ich rate meinen Mandanten zu einer pragmatischen Prüfung anhand weniger Fragen: Legt der Anbieter von sich aus einen AV-Vertrag vor? Beschreibt er seine technisch-organisatorischen Maßnahmen nachvollziehbar? Benennt er einen Datenschutzbeauftragten und einen Standort der Datenverarbeitung? Verfügt er über anerkannte Zertifizierungen oder Testate? Ein Anbieter, der auf diese Fragen klare Antworten liefert, ist in aller Regel die sicherere Wahl als das namenlose Schnäppchen-Tool ohne Impressum. Diese Dokumente sollten Sie aufbewahren – sie sind Ihr Nachweis, dass Sie Ihrer Auswahlpflicht nachgekommen sind.
Gerade bei der wachsenden Zahl von KI-gestützten Diensten lohnt der genaue Blick doppelt, weil hier oft unklar ist, was mit den eingegebenen Daten geschieht. Wie man solche Werkzeuge datenschutzkonform einsetzt, ist ein eigenes Thema, mit dem ich mich im Bereich KI und Datenschutz intensiv beschäftige.
Fazit: AV-Verträge sind Pflicht, aber kein Hexenwerk
Auftragsverarbeitung ist eines der Themen, bei denen Unternehmen oft ein diffuses Gefühl haben, „da müsste mal was sein“ – ohne genau zu wissen, was. Die Logik ist aber klar: Wer in Ihrem Auftrag mit Daten arbeitet, braucht einen AV-Vertrag mit den Pflichtinhalten aus Art. 28. Wer eigenverantwortlich oder gemeinsam mit Ihnen entscheidet, braucht etwas anderes. Diese Einordnung sauber zu treffen, ist der entscheidende Schritt.
Wenn Sie nicht sicher sind, welche Ihrer Dienstleister einen AV-Vertrag brauchen und ob die vorhandenen Verträge die Anforderungen erfüllen, sehe ich mir das gerne an. Im Rahmen eines Verarbeitungsverzeichnisses erfasse ich Ihre Dienstleister systematisch und schließe die Lücken. Nehmen Sie Kontakt auf – damit aus dem diffusen Gefühl ein klarer Überblick wird.