Auftragsverarbeitung (Art. 28 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor zahlreiche Herausforderungen, wenn es um den Umgang mit personenbezogenen Daten geht. Ein besonders wichtiges Thema ist dabei die Auftragsverarbeitung, also die Verarbeitung personenbezogener Daten durch externe Dienstleister im Auftrag eines Unternehmens.

Ob Cloud-Dienstleister, Lohnbuchhalter oder IT-Support: Viele Unternehmen arbeiten mit Partnern zusammen, die Zugriff auf personenbezogene Daten haben. Genau hier greift Art. 28 DSGVO, der klare Regeln für diese Zusammenarbeit aufstellt. Wer hier nicht korrekt vorgeht, riskiert hohe Bußgelder und Vertrauensverlust.


Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag deines Unternehmens verarbeitet. Der Dienstleister handelt dabei nicht eigenverantwortlich, sondern nach deinen Weisungen. Typische Beispiele sind:

  • Cloud- und Hosting-Anbieter (z. B. Microsoft 365, Google Workspace)
  • IT-Wartung und Fernwartungssysteme
  • Lohn- und Gehaltsabrechnung durch externe Steuerberater
  • Newsletter-Tools wie Mailchimp oder CleverReach
  • Externe Callcenter oder Kundensupport-Dienstleister

Hinweis: Nicht jede Zusammenarbeit mit Geschäftspartnern und Dienstleistern ist eine Auftragsverarbeitung. Wenn ein Dienstleister eigenständig über die Zwecke der Datenverarbeitung entscheidet, handelt es sich nicht um Auftragsverarbeitung, sondern z. B. um eine gemeinsame Verantwortlichkeit, Art. 26 DSGVO.


Rechtliche Grundlage: Art. 28 DSGVO

Die DSGVO schreibt in Art. 28 vor, dass Unternehmen mit jedem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag (AVV) abschließen müssen. Dieser Vertrag regelt genau:

  • Art und Zweck der Verarbeitung
  • Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen)
  • Rechte und Pflichten des Auftraggebers und Auftragnehmers
  • Unterstützung bei Betroffenenanfragen
  • Meldepflichten im Falle einer Datenschutzverletzung

Ohne einen solchen Vertrag handelt es sich um einen DSGVO-Verstoß, selbst wenn der Dienstleister vertrauenswürdig arbeitet.

Ein falscher Umgang mit Auftragsverarbeitern kann gravierende Folgen haben. Mögliche Risiken sind u. a.:

  • Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes
  • Haftung für Datenschutzverletzungen durch den Dienstleister
  • Verlust des Kundenvertrauens und Imageschäden
  • Probleme bei Audits oder Zertifizierungen

Unsere Leistungen: Auftragsverarbeitung rechtssicher gestalten

Als erfahrene externe Datenschutzbeauftragte bzw. Datenschutzberater unterstützen wir Ihr Unternehmen dabei, die Anforderungen der DSGVO effizient umzusetzen.

  1. Analyse & Prüfung bestehender Dienstleister
    Wir prüfen, mit welchen externen Partnern Ihr Unternehmen personenbezogene Daten teilt, und ob eine Auftragsverarbeitung vorliegt.
  2. Erstellung und Prüfung von AV-Verträgen
    Wir stellen sicher, dass Ihre Auftragsverarbeitungsverträge rechtssicher und DSGVO-konform sind oder erstellen neue Verträge, die zu Ihrem Unternehmen passen.
  3. Schulung deiner Mitarbeiter
    Wir sensibilisieren Ihr Team für den korrekten Umgang mit Auftragsverarbeitern und erklären typische Stolperfallen aus der Praxis.
  4. Laufende Betreuung
    Da sich rechtliche Vorgaben und technische Anforderungen ständig ändern, begleiten wir Sie auch langfristig bei der sicheren Gestaltung Ihrer Datenprozesse.
Klicke Sie hier, um eine ausführliche Liste der angebotenen Leistungen abzurufen.
  • Beurteilung, ob der Fall einer Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt
  • Überprüfung der Kreditorenliste des Unternehmens, um aktive Auftragsverarbeiter zu identifizieren
  • Abgrenzung, ob ein Vertrag gemeinsam Verantwortlicher gem. Art. 26 DSGVO erforderlich ist
  • Unterstützung bei der Erfassung des Data Workflows in verschiedenen IT-Applikationen in Konzernstrukturen
  • In Abhängigkeit vom Data Workflow Strukturierung der erforderlichen datenschutzrechtlichen Verträge (Art. 28, Art. 26 DSGVO, Rahmenverträge)
  • Gestaltung von datenschutzkonformen Vereinbarungen zur Auftragsverarbeitung
  • Gestaltung von Verträgen gemeinsamer Verarbeitung
  • Prüfung der erforderlichen Angaben zum technisch-organisatorischen Datenschutz
  • Durchführung der Zuverlässigkeitsprüfung externer Dienstleister z. B. durch ein Datenschutz-Audit
  • Vor-Ort-Besuche, Begehung der IT- und TK-Infrastruktur zur Prüfung der datenschutzrechtlichen Zuverlässigkeit des externen Dienstleisters
  • Bei externen Dienstleistern in einem Drittstaat außerhalb der EU, datenschutzrechtliche Beurteilung der vorliegenden Fallgruppen zum Abschluss der erforderlichen Vereinbarungen zur Auftragsverarbeitung/gemeinsamer Verantwortlichkeit und/oder EU-Standarddatenschutzklauseln (Auswahl der Module)

Auftragsverarbeitung ist ein zentrales Element der DSGVO und betrifft fast jedes Unternehmen, unabhängig von Branche oder Größe. Mit einem professionellen Partner an Ihrer Seite können Sie Risiken minimieren und gleichzeitig das Vertrauen Ihrer Kunden stärken. Wir unterstützen Sie dabei, Ihre Auftragsverarbeitung rechtssicher und effizient zu gestalten.


Checkliste: Brauchen Sie einen AV-Vertrag mit dem Dienstleister?

  • Hat der externe Dienstleister Zugriff auf personenbezogene Daten?
  • Handelt der Dienstleister nach Ihren Weisungen und nicht eigenständig?
  • Werden Daten im Rahmen Ihrer Geschäftsprozesse verarbeitet?

Wenn du mindestens einmal „Ja“ antwortest, ist ein AV-Vertrag erforderlich.

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung