DSGVO und Auftragsverarbeitung: Ihre Pflichten nach Artikel 28

Wenn Ihr Unternehmen personenbezogene Daten von einem Dienstleister verarbeiten lässt — ob Cloud-Hosting, E-Mail-Marketing oder Lohnbuchhaltung — liegt eine Auftragsverarbeitung vor. Artikel 28 DSGVO regelt, was Sie vertraglich absichern müssen.

Verantwortlicher vs. Auftragsverarbeiter

| Rolle | Wer | Entscheidet über | |---|---|---| | Verantwortlicher | Ihr Unternehmen | Zweck und Mittel der Verarbeitung | | Auftragsverarbeiter | Dienstleister | Technische Umsetzung im Auftrag | | Unterauftragsverarbeiter | Sub-Dienstleister | Im Auftrag des Auftragsverarbeiters |

Typische Auftragsverarbeiter für KMU

| Dienstleister | Verarbeitete Daten | |---|---| | Cloud-Hosting (AWS, Hetzner, IONOS) | Alle auf der Plattform gespeicherten Daten | | E-Mail-Provider (Mailchimp, Brevo) | E-Mail-Adressen, Öffnungsraten, Klickdaten | | CRM (HubSpot, Salesforce) | Kundenstammdaten, Kommunikationshistorie | | Lohnbuchhaltung (DATEV, Lexware) | Mitarbeiterdaten, Gehälter | | Webanalyse (Google Analytics) | IP-Adressen, Nutzungsverhalten | | Support-Tools (Zendesk, Freshdesk) | Kundenanfragen, Kommunikation | | Newsletter (Mailerlite, CleverReach) | E-Mail-Adressen, Abonnentendaten |

Keine Auftragsverarbeitung

Nicht jeder Dienstleister ist Auftragsverarbeiter:

| Situation | Warum nicht | |---|---| | Steuerberater | Eigenverantwortliche Berufsausübung | | Rechtsanwalt | Eigenverantwortliche Berufsausübung | | Bank (Zahlungsverkehr) | Eigener Verantwortlicher | | Postdienst (Briefversand) | Transporteur, kein Datenverarbeiter |

Pflichtinhalte des AV-Vertrags (Art. 28 Abs. 3)

Ein Auftragsverarbeitungsvertrag (AVV) muss mindestens folgende Punkte regeln:

1. Gegenstand und Dauer

Gegenstand: Hosting der Unternehmenswebsite einschließlich
            Datenbanken mit Kundendaten
Dauer: Laufzeit des Hostingvertrags
Datenarten: Kundenstammdaten, Bestelldaten, IP-Adressen
Betroffene: Kunden, Website-Besucher, Mitarbeiter

2. Weisungsgebundenheit

Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Eigenständige Nutzung der Daten ist untersagt.

3. Vertraulichkeit

Alle Personen beim Auftragsverarbeiter mit Datenzugang müssen zur Vertraulichkeit verpflichtet sein.

4. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter muss geeignete TOMs nach Art. 32 DSGVO implementieren:

| Maßnahmenbereich | Beispiele | |---|---| | Zutrittskontrolle | Rechenzentrum mit Zugangssicherung | | Zugangskontrolle | MFA, Passwortrichtlinien | | Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept | | Trennungsgebot | Mandantentrennung in der Datenbank | | Verschlüsselung | TLS in Transit, AES at Rest | | Verfügbarkeit | Backup, Redundanz, DRP | | Belastbarkeit | Skalierung, DDoS-Schutz |

5. Unterauftragsverarbeiter

• Allgemeine Genehmigung: Der Verantwortliche kann eine generelle Zustimmung erteilen, muss aber über Änderungen informiert und ein Einspruchsrecht haben
• Spezifische Genehmigung: Jeder Unterauftragsverarbeiter wird einzeln genehmigt
• Durchreichungspflicht: Dem Unterauftragsverarbeiter werden dieselben Pflichten auferlegt

6. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt bei:

• Betroffenenanfragen (Auskunft, Löschung)
• Meldung von Datenschutzverletzungen (Art. 33/34)
• Datenschutz-Folgenabschätzung (Art. 35/36)
• Audit und Inspektion

7. Löschung und Rückgabe

Nach Beendigung des Auftrags: Alle Daten löschen oder zurückgeben, nach Wahl des Verantwortlichen. Löschung ist nachzuweisen.

8. Audit-Recht

Der Verantwortliche hat das Recht, die Einhaltung der Vereinbarung zu überprüfen — durch eigene Audits oder beauftragte Prüfer.

Drittlandübermittlung nach Schrems II

Wenn Ihr Auftragsverarbeiter Daten außerhalb der EU/des EWR verarbeitet:

USA: Seit 2023 wieder einfacher

Das EU-U.S. Data Privacy Framework ermöglicht Übermittlungen an zertifizierte US-Unternehmen. Prüfen Sie auf der DPF-Liste:

| Anbieter | DPF-zertifiziert? | |---|---| | Google | Ja | | Microsoft | Ja | | Amazon (AWS) | Ja | | Salesforce | Ja | | Mailchimp (Intuit) | Ja |

Andere Drittländer

Ohne Angemessenheitsbeschluss benötigen Sie:

• Standardvertragsklauseln (SCCs) der EU-Kommission
• Transfer Impact Assessment (TIA) — Risikobewertung der Datenübermittlung
• Ggf. zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)

Dienstleister-Audit: Praktischer Ablauf

Vor Vertragsschluss

1. ☐ AVV angefordert und geprüft
2. ☐ TOMs des Anbieters eingesehen
3. ☐ Unterauftragsverarbeiter-Liste geprüft
4. ☐ Drittlandübermittlungen identifiziert
5. ☐ Zertifizierungen geprüft (ISO 27001, SOC 2)

Während der Laufzeit

6. ☐ Änderungen bei Unterauftragsverarbeitern überwacht
7. ☐ Jährliches Review der TOMs
8. ☐ Vorfallmeldungen des Anbieters geprüft
9. ☐ Aktualität der Zertifizierungen überwacht

Bei Vertragsende

10. ☐ Datenrückgabe oder -löschung angefordert
11. ☐ Löschbestätigung erhalten und archiviert
12. ☐ Verarbeitungsverzeichnis aktualisiert

Häufige Fehler

| Fehler | Risiko | Lösung | |---|---|---| | Kein AVV vorhanden | Bußgeld nach Art. 83 Abs. 4a | Für jeden Auftragsverarbeiter AVV abschließen | | Standard-AVV des Anbieters ungeprüft übernommen | Unzureichende Klauseln | Juristische Prüfung, mindestens Checkliste | | Unterauftragsverarbeiter ignoriert | Unkontrollierte Datenweitergabe | Liste anfordern, Einspruchsrecht nutzen | | Audit-Recht nie ausgeübt | Keine Kontrolle der Compliance | Mindestens jährlich bei kritischen Anbietern | | Veralte AVV-Version | Nach Schrems II überholte SCCs | Regelmäßig aktualisieren (neue SCCs seit 2021) |

Checkliste: AVV in 10 Minuten prüfen

1. ☐ Gegenstand, Dauer, Datenarten und Betroffene benannt?
2. ☐ Weisungsgebundenheit vereinbart?
3. ☐ TOMs konkret beschrieben (nicht nur „geeignete Maßnahmen")?
4. ☐ Unterauftragsverarbeiter geregelt?
5. ☐ Unterstützung bei Betroffenenanfragen zugesagt?
6. ☐ Meldepflicht bei Datenschutzverletzungen (Frist!)?
7. ☐ Löschung/Rückgabe nach Vertragsende?
8. ☐ Audit-Recht des Verantwortlichen?
9. ☐ Drittlandtransfer mit Garantien geregelt?
10. ☐ Aktuelle SCCs (Version 2021) wenn Drittland?

Fazit

Die Auftragsverarbeitung gehört zu den meistgeprüften Bereichen bei Datenschutzkontrollen. Ein fehlendes oder mangelhaftes AVV ist ein leicht nachweisbarer Verstoß — und ein vermeidbarer. Nehmen Sie sich die Zeit, Ihre Dienstleisterlandschaft systematisch zu erfassen und vertraglich abzusichern.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.