Zurück zum Journal
Datenschutz April 2026

Auftragsverarbeitung nach Art. 28 DSGVO richtig gestalten

Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, sobald ein Dienstleister personenbezogene Daten weisungsgebunden verarbeitet. Wir erklären, wann die Pflicht greift, was der Vertrag enthalten muss und wie Sie Drittlandtransfers absichern.

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist ein zwingender Vertrag, der die weisungsgebundene Verarbeitung personenbezogener Daten durch externe Dienstleister regelt und acht gesetzliche Pflichtinhalte abdeckt.

Stellen Sie sich vor, Ihr Unternehmen nutzt einen Cloud-Dienst für die Kundenverwaltung oder ein Newsletter-Tool für das Marketing. Der Anbieter speichert und verarbeitet dabei Namen, E-Mail-Adressen und andere personenbezogene Daten. In diesem Fall sind Sie der Verantwortliche, der Dienstleister ist Ihr Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO) legt die Rechte und Pflichten beider Seiten verbindlich fest. Er ist kein lästiges Formular, sondern ein zentrales Instrument, um die Kontrolle über Ihre Daten zu behalten und Haftungsrisiken zu vermeiden.

Unsere Position: Ein AVV ist keine Formalie zum Abhaken. Er schafft Klarheit über Weisungsbindung, technische Sicherheit und den Umgang mit Unterauftragnehmern. Wer ihn ernst nimmt, schützt sich vor Bußgeldern und Vertrauensverlust.

Wann ist ein AVV Pflicht?

Ein AVV ist immer dann gesetzlich Pflicht, sobald ein externer Dienstleister wie ein Cloud-Anbieter oder Callcenter personenbezogene Daten für Sie weisungsgebunden verarbeitet. Die DSGVO unterscheidet zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Der Verantwortliche (das ist in der Regel Ihr Unternehmen) entscheidet über Zweck und Mittel der Datenverarbeitung. Der Auftragsverarbeiter handelt auf Ihre Weisung hin. Sobald ein externer Dienstleister personenbezogene Daten für Sie speichert, übermittelt oder auf andere Weise nutzt, liegt eine Auftragsverarbeitung vor. Typische Beispiele sind IT-Dienstleister, Cloud-Anbieter, Lohnabrechnungsfirmen oder Callcenter.

Die Abgrenzung ist wichtig: Wenn der Dienstleister eigene Zwecke verfolgt, etwa die Daten für eigene Marktforschung nutzt, ist er kein Auftragsverarbeiter, sondern eigenständig Verantwortlicher. Dann brauchen Sie eine andere Rechtsgrundlage, etwa eine Einwilligung. Im Zweifel hilft die Orientierungshilfe der europäischen Aufsichtsbehörden (EDPB Guidelines 07/2020), die den Begriff der Auftragsverarbeitung konkretisiert.

Diese Inhalte muss der AVV haben

Ein AVV nach Art. 28 Abs. 3 DSGVO muss folgende acht Pflichtinhalte abdecken:

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Daten
  3. Kategorien betroffener Personen und Daten
  4. Weisungsbefugnis des Verantwortlichen
  5. Vertraulichkeitsverpflichtung des Auftragsverarbeiters
  6. Technische und organisatorische Maßnahmen (TOM) nach Artikel 32 DSGVO, also praktische Vorkehrungen wie Verschlüsselung, Zugriffssteuerung oder Backup-Konzepte, die die Daten schützen
  7. Regelung von Unterauftragnehmern
  8. Unterstützung bei Betroffenenrechten (Auskunft, Löschung, Berichtigung) und Pflicht zur Löschung oder Rückgabe der Daten nach Vertragsende

Der Auftragsverarbeiter muss Ihnen zudem Nachweise über die Einhaltung der TOM vorlegen, etwa durch Zertifikate oder Prüfberichte. Fehlt einer dieser Punkte, ist der Vertrag nicht DSGVO-konform.

Datenübermittlung in Drittländer absichern

Drittlandtransfers nach Art. 44-49 DSGVO erfordern zusätzlich zum AVV Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 und eine Transfer-Risikoabschätzung (TRA). Mit dem Urteil Schrems II (2020) kippte der EuGH das simple Datenschutzabkommen mit den USA (Privacy Shield), da US-Überwachungsgesetze den EU-Datenschutz untergraben. Ein bloßer Angemessenheitsbeschluss reicht daher nicht immer aus. Gehen Sie wie folgt vor:

  1. Prüfen Sie, ob ein Angemessenheitsbeschluss der EU-Kommission für das Drittland vorliegt, z. B. der EU-US Data Privacy Framework (2023).
  2. Schließen Sie Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 ab, das sind vorgefertigte Vertragsbausteine der EU-Kommission, die den Datenschutz beim Datentransfer vertraglich festschreiben.
  3. Führen Sie eine Transfer-Risikoabschätzung (TRA) durch. Darin bewerten Sie, ob die Gesetze des Drittlands den Schutz der Klauseln aushöhlen könnten, etwa durch Überwachungsbefugnisse.
  4. Ergreifen Sie bei hohem Risiko ergänzende Maßnahmen gemäß den EDPB-Empfehlungen 01/2020, wie Verschlüsselung oder vertragliche Zusicherungen.

Unsere Haltung: Viele Unternehmen unterschätzen den Aufwand für den Drittlandtransfer. Eine TRA ist kein einmaliges Dokument, sondern muss regelmäßig aktualisiert werden. Wir halten es für fahrlässig, sich allein auf Standardvertragsklauseln zu verlassen, ohne die konkrete Rechtslage im Zielland zu prüfen.

Unterauftragnehmer regeln

Nach Art. 28 Abs. 2 DSGVO dürfen Unterauftragnehmer nur mit Ihrer vorherigen Zustimmung als Verantwortlicher eingesetzt werden; Sie tragen die Letztverantwortung auch für Sub-Dienstleister. Viele Auftragsverarbeiter arbeiten selbst mit Sub-Dienstleistern, etwa einem Rechenzentrumsbetreiber. Der AVV muss regeln, ob und unter welchen Bedingungen der Auftragsverarbeiter Unterauftragnehmer einschalten darf. Das kann eine generelle Zustimmung für bestimmte Kategorien sein, verbunden mit der Pflicht des Auftragsverarbeiters, Sie über Änderungen zu informieren. Oder Sie verlangen eine Einzelfallzustimmung.

Der Auftragsverarbeiter muss sicherstellen, dass der Unterauftragnehmer dieselben Datenschutzpflichten einhält. Das geschieht durch einen weiteren AVV zwischen Auftragsverarbeiter und Sub-Dienstleister. Sie als Verantwortlicher tragen die Letztverantwortung: Wenn der Sub-Dienstleister gegen die DSGVO verstößt, kann die Aufsichtsbehörde auch Sie haftbar machen. Deshalb empfehlen wir, die Liste der Unterauftragnehmer regelmäßig zu prüfen und bei Bedarf nachzufordern.

AVV regelmäßig überprüfen

Ein bestehender AVV sollte mindestens einmal jährlich überprüft werden, insbesondere bei Änderungen der TOM, beim Wechsel von Unterauftragnehmern oder neuen Drittlandbezügen. Die Geschäftsbeziehungen ändern sich, neue Technologien kommen hinzu, die Rechtslage entwickelt sich weiter. Ein AVV, der vor Jahren unterschrieben wurde, kann heute lückenhaft sein. Die Aufsichtsbehörden erwarten von Ihnen als Verantwortlichem, dass Sie die Einhaltung des AVV aktiv überwachen. Das bedeutet: Fordern Sie Nachweise an, etwa TOM-Dokumentationen oder Auditberichte, und dokumentieren Sie Ihre Prüfung.

Unsere Position: Ein AVV ist ein lebendiges Dokument. Wer ihn nur ablegt und vergisst, verschenkt Sicherheit. Wir halten eine regelmäßige Überprüfung für den entscheidenden Faktor, um Haftungsrisiken zu minimieren. Dieser Beitrag gibt eine allgemeine Einordnung, ersetzt aber keine Rechtsberatung im Einzelfall. Bei konkreten Fragen sollten Sie einen Datenschutzbeauftragten oder eine Fachkanzlei hinzuziehen.

Häufige Fragen

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AVV ist ein Vertrag nach Artikel 28 DSGVO, der die Rechte und Pflichten zwischen einem Verantwortlichen und einem Auftragsverarbeiter regelt, wenn dieser personenbezogene Daten weisungsgebunden verarbeitet.

Wann braucht man einen AVV nach Art. 28 DSGVO?

Sobald ein externer Dienstleister personenbezogene Daten für Sie speichert, übermittelt oder auf andere Weise nutzt und dabei Ihren Weisungen folgt, ist ein AVV Pflicht. Beispiele sind Cloud-Dienste, Newsletter-Tools oder Lohnabrechnungsfirmen.

Was muss ein AVV enthalten?

Der Vertrag muss unter anderem Gegenstand und Dauer der Verarbeitung, die technischen und organisatorischen Maßnahmen (TOM), Regelungen zu Unterauftragnehmern, Unterstützung bei Betroffenenrechten und die Löschung der Daten nach Vertragsende festlegen.