Die Zusammenarbeit mit Drittanbietern bringt viele Vorteile – gerade wenn diese personenbezogene Daten im Auftrag verarbeiten. In solchen Fällen ist es wichtig, klare und rechtlich abgesicherte Vereinbarungen zu treffen: Der Auftragsverarbeitungsvertrag (AVV) ist hierbei entscheidend.

Aber keine Sorge: Um Compliance sicherzustellen, müssen Sie dafür weder teure Spezialisten einstellen noch Ihr Team mit umfangreichen Schulungen belasten. In diesem Artikel klären wir die Unterschiede zwischen einem Auftragsverarbeitungsverhältnis und anderen rechtlichen Beziehungen wie der gemeinsamen Verantwortlichkeit. Außerdem geben wir Ihnen praxisnahe Tipps, wie Sie einen professionellen AVV erstellen und welche Klauseln Sie in einem vorgelegten Vertrag genau prüfen sollten.

 

In diesem Beitrag:

 

Key Takeaways

Wer Daten verarbeitet, braucht klare Regeln.

Ob Lohnbüros, Hosting-Anbieter oder SaaS-Lösungen – wenn ein Dienstleister Daten in Ihrem Auftrag verarbeitet, spricht man von Auftragsverarbeitung. Dabei tragen Sie als Unternehmen die Verantwortung dafür, dass die Verarbeitung rechtlich abgesichert ist.

Die Datenschutz-Grundverordnung (DSGVO) schreibt vor: Liegt eine Auftragsverarbeitung vor, muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser regelt den Zweck der Datenverarbeitung, ihre Art und die Rollen beider Parteien – damit alle Pflichten und Verantwortlichkeiten klar definiert sind.

Mit einem gut aufgesetzten AVV schaffen Sie Rechtssicherheit und schützen Ihr Unternehmen vor Risiken.

Definition des Auftragsverarbeitungsvertrags

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag und nach Ihren Vorgaben verarbeitet, handelt es sich um eine Auftragsverarbeitung. In diesem Fall schreibt die DSGVO in Art. 28 vor, dass ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss.

Trotz der Auslagerung bleibt der Auftraggeber für den Schutz der Daten verantwortlich. Das bedeutet, er muss den Dienstleister sorgfältig auswählen und die Einhaltung der vereinbarten Vorgaben regelmäßig kontrollieren. Der AVV schafft dabei die vertragliche Grundlage für eine rechtssichere Zusammenarbeit.

 

Blog image cta-1

Bleiben Sie compliant. Reduzieren Sie Risiken. Vereinfachen Sie Ihren Compliance-Weg


DataGuard hilft Ihnen, Datenschutzrisiken zu managen – von der DSGVO bis zum Hinweisgeberschutzgesetz – mit Expertenunterstützung und einer All-in-One-Plattform.

 

 

Praxisbeispiele

Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:

  • Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools
  • Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)
  • Cloudbasierte CRM-Tools
  • Externe Callcenter oder Kundenservices
  • Verarbeitung von Werbeadressen in einem Lettershop
  • Externe Lohnbuchhaltung
  • Externe Wartung von Servern und Computern (Fernwartung)
  • Akten- und Datenträgervernichtung durch externe Dienstleister
  • Hosting-Services
  • Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben
  • Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
Übersicht: Alle Datenschutzdokumente aus der DSGVO Übersicht: Alle Datenschutzdokumente aus der DSGVO

Inklusive AVV: Eine Übersicht aller Datenschutzdokumente aus der DSGVO

Erfahren Sie hier, welche Unternehmen welche Dokumentation anfertigen müssen und eine Erklärungen zur Art der Dokumentation und Besonderheiten bei der Anfertigung.

Jetzt kostenlos herunterladen

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit kann knifflig sein. Der Unterschied liegt darin, wer über die Nutzung der Daten entscheidet: Wird strikt nach den Weisungen des Auftraggebers gearbeitet, liegt eine Auftragsverarbeitung vor. Nutzt der Dienstleister die Daten aber für eigene Zwecke, handelt es sich wahrscheinlich um eine gemeinsame Verantwortlichkeit.

Drei Merkmale der Auftragsverarbeitung:

  1. Der Auftraggeber legt fest, welche Daten erhoben und verarbeitet werden.
  2. Er bestimmt, wie lange die Daten gespeichert bleiben und wann sie gelöscht werden.
  3. Der Zweck der Datennutzung wird ebenfalls allein vom Auftraggeber vorgegeben.

Trotz der Auslagerung bleibt der Auftraggeber verantwortlich für die Rechtmäßigkeit der Datenverarbeitung. Das bedeutet, den Dienstleister sorgfältig auszuwählen und dessen Arbeit regelmäßig zu kontrollieren.

Unsicher bei der Abgrenzung?

Eine klare Unterscheidung schützt Ihr Unternehmen vor Compliance-Risiken. Mit den richtigen Tools und Experten schließen Sie Wissenslücken und halten Ihre DSGVO-Prozesse effizient und rechtssicher. Lassen Sie sich unterstützen – damit Ihr Team sich auf das Wachstum Ihres Unternehmens konzentrieren kann.

 

Anforderungen an einen Auftragsverarbeitungsvertrag nach DSGVO

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.

Der AVV ist schriftlich abzuschließen – die elektronische Form ist möglich. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Die Aufgaben des Verantwortlichen und Auftragsverarbeiters im Überblick:

Verantwortlicher (Auftraggeber)

Auftragsverarbeiter (Auftragnehmer)

  • Sicherstellen, dass Datenschutzvorgaben eingehalten werden können
  • AV mit gebotener Sorgfalt auswählen
  • Weisungen zur Auftragsverarbeitung schriftlich in einem AVV festhalten
  • Jeden neuen AVV in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen
  • Datenschutzkonzept inkl. TOM zur Sicherheit der Datenverarbeitung erarbeiten
  • Rechtssichere Auftragsverarbeitungsverträge erstellen, die von Kunden übernommen werden können (verkürzt den Vertriebsprozess)
  • Jeden Datenschutzverstoß an den Auftraggeber melden

 

Aufbau und Muster 

Ein Auftragsverarbeitungsvertrag (AVV) legt die Spielregeln fest: Was wird verarbeitet, wie und warum? Zu den Pflichtinhalten zählen der Gegenstand, die Art und der Zweck der Verarbeitung sowie die Rechte und Pflichten von Auftraggeber und Auftragsverarbeiter.

Wichtig: Obwohl der Auftragnehmer die Daten verarbeitet, bleibt der Auftraggeber für die Einhaltung der DSGVO verantwortlich. Dazu gehören Betroffenenrechte, das Melden von Datenpannen und die Überprüfung der Sicherheit der Verarbeitung. Der Auftragsverarbeiter ist verpflichtet, hierbei aktiv zu unterstützen.

Effizient und rechtssicher

Mit den richtigen Tools sparen Sie Zeit und schließen Wissenslücken. Eine All-in-One-Plattform mit integrierten Vorlagen – wie unserer kostenlosen AVV-Vorlage – erleichtert den Einstieg und sorgt dafür, dass Sie keine wichtigen Punkte übersehen. So bleibt Ihr Team flexibel und kann sich auf das konzentrieren, was zählt: den Erfolg Ihres Unternehmens.

 

In diesen Fällen ist kein AVV erforderlich

Zu unterscheiden von den weisungsgebundenen Dienstleistern sind alle Dienstleister, die als eigenständige Verantwortliche eine fachfremde Leistung erbringen. Hierzu gehören Tätigkeiten von:

  • Rechtsanwälten
  • Banken
  • Inkassobüros
  • Betriebsärzte
  • Postdienste

Sie erbringen ihre Leistung eigenverantwortlich und sind nicht weisungsgebunden. Daher ist in diesen Fällen auch kein Auftragsverarbeitungsvertrag abzuschließen. In den meisten Bundesländern zählen dazu auch Steuerberater. Nur in Hessen, NRW und Baden-Württemberg müssen auch sie einen AVV abschließen, insbesondere, wenn sie als Dienstleister die Lohnbuchhaltung übernehmen.

 

DataGuard Newsletter

Bleiben Sie compliant dank Expertenwissen zum Datenschutz

Erhalten Sie Ratschläge von Experten zu den neuesten Datenschutztrends und -vorschriften – bequem per E-Mail.

Abonnieren Sie für Datenschutztipps

 

Warum und wie sollten Sie Auftragsverarbeitungsverträge prüfen?

Die Auswahl eines vertrauenswürdigen Auftragsverarbeiters ist auch für die Vermeidung von Bußgeldern wichtig. Denn im Schadensfall haften Auftraggeber und Auftragnehmer grundsätzlich gesamtschuldnerisch, wobei eine Exkulpation bei Nichtverschulden möglich ist.

Bei der Auswahl eines Auftragsverarbeiters müssen Unternehmen laut DSGVO (Erwägungsgrund 81) darauf achten solche Vertragspartner zu wählen,

„[…] die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen."

 

Die AVV-Prüfung in 3 Schritten

Mit einer Überprüfung des AVV schützen Sie nicht nur die personenbezogenen Daten, sondern auch Ihr Unternehmen. Als Auftraggeber bleiben Sie schließlich weiter verantwortlich und müssen dafür sorgen, dass personenbezogene Daten auch in den Händen eines Dritten gut geschützt bleiben. 

Schritt 1: Garantien zur Sicherstellung der Datensicherheit und DSGVO-Konformität 

Durch geeignete Garantien zeigt Ihr AVV, dass er den Datenschutz in seinem Unternehmen wirklich ernst nimmt und adäquat umsetzt. Geeignete Garantien sind die TOM und unabhängige Zertifizierungen oder Testate.  

Technische und organisatorische Maßnahmen 

Erfahrungsgemäß scheitern überraschen viele Auftragsverarbeiter an dieser eigentlich selbstverständlichen Hürde und hängen ihre TOM gar nicht an den AVV an. Stattdessen finden sich Sätze wie: „Wir garantieren den Datenschutz durch unsere technischen und organisatorischen Maßnahmen.“ 

Viele Unternehmen nutzen Muster aus dem Netz, ohne allgemeine Formulierungen anzupassen. Doch die TOM eines Rechenzentrums sollten anders aussehen als die eines Lohnbüros. Es reicht also nicht aus, einen Muster-AVV auszudrucken und abzuheften. 

Oft vergessen Auftragsverarbeiten in ihrem TOM zudem die Basics. Bestimmt gibt es in jedem Unternehmen eine Firewall und ein abschließbares Büro. Werden diese in den TOM jedoch gar nicht erwähnt, sollten Sie nochmal nachfragen.  

Genehmigte Zertifizierungsverfahren 

Auch genehmigte Zertifizierungsverfahren können nach Art 42 DSGVO eine geeignete Garantie zur Sicherstellung der Datensicherheit sein. Darunter fallen…

  • Testate
  • unabhängige Berichte eines Datenschutzbeauftragten
  • externen Audits (wie ISO 27001 und SOC2)

Ihre Anführung ist freiwillig und kann bei vielen AVV-Mustern mit angekreuzt werden. 

Schritt 2: Subunternehmen des Auftragsverarbeiters 

Wichtig ist hier, dass Ihr Auftragsverarbeiter – der Hauptauftragnehmer – die im AVV vereinbarten Regelungen an seine Subauftragnehmer weitergibt, sofern diese unmittelbar in die Erbringung der Hauptleistung mit einbezogen werden.  

Prüfen Sie daher, ob es entsprechende Garantien dafür im Vertrag gibt. Zudem lohnt sich ein Blick darauf, ob Subauftragnehmer in Drittländern sitzen – und wenn ja, welche zusätzlichen Schutzmaßnahmen bestehen.  

Schritt 3: Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen  

Viele Auftragsverarbeiter werden eine Übermittlung ihrer personenbezogenen Daten in Drittländer nicht ausschließen können – weil Server auch im EU-Ausland stehen, das Unternehmen einen Sitz außerhalb der EU hat oder Subunternehmer beauftragt werden.

In dem Fall ist zu prüfen, ob und auf welcher Grundlage eine solche Übermittlung zulässig ist. Die Übermittlung von Daten in Drittländer ist immer dann zulässig, wenn durch die Kommission die Angemessenheit des Datenschutzniveaus festgestellt wurde.

Falls dies nicht der Fall ist, bedarf die Datenübermittlung in ein Drittland eine andere Legitimation, z. B. durch:

  • Corporate Binding Rules
  • Standardvertragsklauseln (SCC)

Je nach Sensibilität der Daten sind unterschiedlich strenge Vorkehrungen zu treffen. Ergänzt werden müssen die SCC allerdings durch zusätzliche Sicherheitsmaßnahmen, die ebenfalls im Rahmen des AVV festgehalten werden müssen – ebenfalls ein Schritt, der im Geschäftsalltag oft vergessen wird.  

Lesen Sie in diesem Artikel mehr zum Thema Datenübermittlung in Drittländer und was Unternehmen dabei beachten müssen.

3 Tipps speziell für SaaS-Anbieter

Als SaaS-Anbieter haben sie wahrscheinlich schon längst einen Standard-AVV erstellt, den Sie Neukunden vorlegen. Aber wie gut kommt dieser bei den Datenschutzbeauftragten Ihrer Kunden an? Gibt es häufig Rückfragen oder Schwierigkeiten? Dann könnte das daran liegen, dass Ihr AVV nicht alle erforderlichen Aspekte abdeckt. Stellen Sie sicher, dass wirklich alle Punkte aus Art. 28 der DSGVO mit abgedeckt werden.

Viele SaaS-Anbieter können auf Basis unserer Erfahrungswerte an folgenden drei Punkten feilen:

  • Eine wirklich gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung Sie als Auftragsverarbeiter erbringen
  • Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind
  • Eine Auflistung Ihrer Subauftragsverarbeiter und Nachweise über die geeignete technischen und organisatorischen Maßnahmen

Ein lückenloser AVV begeistert zwar keine Kunden, sorgt aber für einen reibungslosen Vertriebsprozess. Fehlen grundlegende Informationen nach Art. 28 DS-GVO, kann wertvolle Zeit verloren gehen. Wer seinen Kunden einen umfassenden AVV inkl. der Nachweise über die Prüfung seiner Subunternehmer vorlegen kann, beweist Gründlichkeit und Gewissenhaftigkeit und schafft so Vertrauen.

 

Ohne Auftragsverarbeitungsverträge kein Business

Jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.

Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, dass sie den Datenschutz ernst nehmen.

Bereit, Ihre DSGVO-Compliance zu vereinfachen?

Compliance muss nicht bedeuten, dass für Nischenkompetenzen umfangreiche Schulungen notwendig sind oder Spezialisten eingestellt werden müssen. Suchen Sie nach Lösungen mit einer All-in-One-Plattform, die integrierte Governance, Frameworks und ein digitales ISMS bietet. Solche Plattformen schließen Qualifikationslücken durch optimierte Compliance-Prozesse und ermöglichen es Ihrem Team, sich auf das Wachstum Ihres Unternehmens zu konzentrieren. 

 

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren