Auftragsverarbeiter prüfen: Was Art. 28 DSGVO verlangt.

Wer personenbezogene Daten durch externe Dienstleister verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag. Was er enthalten muss, welche Konsequenzen ein fehlender Vertrag hat und wie die Kontrolle der Auftragsverarbeiter systematisch funktioniert.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Was ist der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO?

Eine Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO liegt vor, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der Auftragsverarbeiter handelt nicht eigenständig, sondern führt die Verarbeitung technisch aus. Art. 28 DSGVO verpflichtet den Verantwortlichen, mit jedem solchen Dienstleister einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zu schließen. Der Vertrag muss vor Beginn der Verarbeitung vorliegen.

Ein fehlender AVV ist kein formaler Fehler, sondern ein eigenständiger Datenschutzverstoß, der von Aufsichtsbehörden direkt bußgeldbewehrt werden kann. Die Praxis zeigt: Viele Unternehmen haben deutlich mehr Auftragsverarbeiter als bekannt. Wer Cloud-Dienste nutzt, SaaS-Lösungen einsetzt oder externen IT-Support beschäftigt, der Zugang zu personenbezogenen Daten hat, ist in der Regel Auftraggeber im Sinne des Art. 28 DSGVO.

Die Abgrenzung zur eigenverantwortlichen Verarbeitung oder zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist im Einzelfall zu prüfen. Sie hat erhebliche Auswirkungen auf die vertragliche Gestaltung und die Haftungsverteilung.

Praxistipp

Nicht jede Datenübermittlung an Dritte ist Auftragsverarbeitung. Verarbeitet der Dritte die Daten für eigene Zwecke (z.B. ein Steuerberater, der eine eigenständige Mandantenbeziehung eingeht), liegt keine Auftragsverarbeitung vor. Die Abgrenzung ist entscheidend für den richtigen Vertragstyp.

Typische Auftragsverarbeiter: Cloud-Hosting-Anbieter, SaaS-Plattformen (CRM, ERP, HR), externe Lohnabrechnung, IT-Wartung und -Support mit Datenzugang, E-Mail-Marketing-Dienste, externe Callcenter, Aktenvernichtung.

Kernanforderungen

Was ein AVV nach Art. 28 Abs. 3 DSGVO enthalten muss.

Pflichtinhalt des Vertrags

Art. 28 Abs. 3 DSGVO gibt den Mindestinhalt vor. Ohne diese Punkte ist der AVV unvollständig und damit unwirksam als Compliance-Nachweis.

Gegenstand, Dauer, Art und Zweck der Verarbeitung
Kategorien personenbezogener Daten
Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen

Weisungsbindung und Vertraulichkeit

Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Eigenständige Entscheidungen über Zweck oder Mittel sind unzulässig.

Verarbeitung nur auf nachweisbare Weisung hin
Alle Personen mit Datenzugang auf Vertraulichkeit verpflichtet
Meldepflicht bei Weisungen, die gegen Datenschutzrecht verstoßen
Unterstützungspflichten bei Betroffenenanfragen und Behördenanfragen

Technische Schutzmaßnahmen

Der Auftragsverarbeiter muss geeignete TOMs nach Art. 32 DSGVO vorweisen. Der Verantwortliche ist verpflichtet, diese zu bewerten und zu dokumentieren.

Beschreibung der Sicherheitsmaßnahmen im AVV oder als Anlage
Unterstützung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
Datenlöschung oder -rückgabe nach Vertragsende
Unterstützung bei Nachweispflichten gegenüber Aufsichtsbehörden

Unterauftragsverarbeiter

Der Auftragsverarbeiter darf weitere Dienstleister nur mit Genehmigung hinzuziehen. Die Haftung des Verantwortlichen bleibt unberührt.

Spezifische oder allgemeine Vorabgenehmigung erforderlich
Bei allgemeiner Genehmigung: Informationspflicht vor Änderungen
Unterauftragsverarbeiter muss gleiche Pflichten übernehmen
Vollständige Liste der Unterauftragsverarbeiter regelmäßig prüfen

Checkliste

Auftragsverarbeiter systematisch prüfen: vier Schritte.

Auftragsverarbeiter erfassen

Alle externen Dienstleister erfassen, die Zugang zu personenbezogenen Daten haben. Cloud, SaaS, IT-Support, Lohnabrechnung: Die Liste ist meist länger als erwartet.

AVVs prüfen und schließen

Für jeden Auftragsverarbeiter klären, ob ein AVV vorhanden und vollständig ist. Fehlende Verträge schließen, unvollständige nachverhandeln.

Unterauftragsverarbeiter bewerten

Die technischen und organisatorischen Maßnahmen der Dienstleister prüfen und dokumentieren. Bei Drittlandsübermittlungen eine geeignete Übermittlungsgrundlage sicherstellen.

Kontrollen dokumentieren

Mindestens jährliche Überprüfung der Auftragsverarbeiterliste, der AVVs und der Nachweise. Bei wesentlichen Änderungen beim Dienstleister unverzüglich reagieren.

FAQ

Häufige Fragen zum AVV nach Art. 28 DSGVO.

Verwandte Themen

Wann ist ein AVV nach Art. 28 DSGVO zwingend?+

Ein AVV ist immer erforderlich, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Das Kriterium ist nicht die Art des Dienstleisters, sondern die Rolle bei der Verarbeitung. Cloud-Hosting, SaaS-Lösungen, externe Lohnabrechnung und IT-Services mit Datenzugang begründen in der Regel eine Auftragsverarbeitung.

Was passiert, wenn kein AVV abgeschlossen wurde?+

Ein fehlender AVV ist ein eigenständiger Datenschutzverstoß nach Art. 28 DSGVO. Aufsichtsbehörden können unabhängig von einer konkreten Datenpanne Bußgelder verhängen. Nach Art. 83 Abs. 4 DSGVO sind Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich. Mehrere europäische Behörden haben zuletzt fehlende AVVs gezielt als eigenständigen Verstoß verfolgt.

Darf ich einfach den AVV des Dienstleisters unterschreiben?+

Grundsätzlich ja, aber die Inhalte müssen geprüft werden. Viele Standardverträge erfüllen die Mindestanforderungen des Art. 28 Abs. 3 DSGVO formell, sind aber im Detail nachteilig gestaltet. Besonders zu prüfen sind die aufgeführten Unterauftragsverarbeiter, Regelungen zu Drittlandsübermittlungen und die Beschreibung der TOMs. Ein Standardvertrag ohne Prüfung zu unterzeichnen, schützt nicht vor Bußgeldern.

Wie oft müssen Auftragsverarbeiter kontrolliert werden?+

Art. 28 DSGVO schreibt keine feste Frequenz vor. Die Aufsichtsbehörden empfehlen eine mindestens jährliche Überprüfung sowie anlassbezogene Kontrollen bei wesentlichen Änderungen beim Dienstleister. Zertifizierungen wie ISO 27001 oder SOC 2 können dabei als vereinfachter Nachweis anerkannt werden und reduzieren den Prüfaufwand erheblich.

Gilt Art. 28 DSGVO auch bei Dienstleistern in Drittstaaten?+

Ja. Bei Dienstleistern außerhalb der EU und des EWR gelten zusätzlich die Anforderungen der Art. 44 ff. DSGVO für internationale Datenübermittlungen. Neben dem AVV ist eine geeignete Übermittlungsgrundlage erforderlich, etwa EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss der Europäischen Kommission. Beides muss vorhanden und dokumentiert sein.

Datenschutz DSGVO-Beratung Zur Leistung Grundlagen DSGVO im Überblick Zur Seite Leistung Datenschutz-Audits Zur Leistung Tool AVV-Prüfung Zur Prüfung

Alle Auftragsverarbeiter im Blick? Wir prüfen das für Sie.

Viele Unternehmen unterschätzen, wie viele Dienstleister als Auftragsverarbeiter einzustufen sind. Wir erfassen, prüfen und dokumentieren.

Kostenloses Erstgespräch buchen