SecureStay

Glossar

Auftragsverarbeitung nach Art. 28 DSGVO: Was Sie wissen müssen

Wer personenbezogene Daten extern verarbeiten lässt, braucht einen AVV nach Art. 28 DSGVO. Pflichtinhalte, Haftung und Lieferketten-Anforderung aus NIS2.

Patrick Devosse
Co-CEO, SecureStay Solutions UG
4 Min. Lesezeit

Art. 28 DSGVO regelt die Auftragsverarbeitung. Wer als Verantwortlicher personenbezogene Daten durch Dritte verarbeiten lässt, braucht einen Vertrag zur Auftragsverarbeitung (AVV). Verstöße sind bußgeldbewehrt nach Art. 83 Abs. 4 DSGVO (bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes). Mit NIS2 kommt 2026 eine zusätzliche Dimension hinzu: die Lieferketten-Sicherheit nach § 30 Nr. 4 BSIG erweitert die AVV-Anforderungen um Sicherheits-Aspekte.

Was Auftragsverarbeitung rechtlich bedeutet

Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Drei Merkmale charakterisieren die Auftragsverarbeitung:

  1. Weisungsgebundenheit: Der Verantwortliche bestimmt Zwecke und Mittel der Verarbeitung. Der Auftragsverarbeiter handelt nach seinen Weisungen.
  2. Keine eigene Zweckbestimmung: Der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verwenden.
  3. Vertragliche Bindung: Die Pflichten und Befugnisse sind schriftlich (oder elektronisch) festgehalten.

Wenn ein externer Dienstleister mit eigener Zweckbestimmung handelt (z.B. Banken bei Zahlungsverkehr, Steuerberater im Rahmen ihrer Mandantenpflicht), liegt keine Auftragsverarbeitung vor. Dann gilt unter Umständen Art. 26 DSGVO (gemeinsame Verantwortlichkeit) oder eine eigene Verantwortlichkeit auf beiden Seiten.

Pflichtinhalte eines AVV (Art. 28 Abs. 3 DSGVO)

Der Vertrag muss mindestens enthalten:

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Datenkategorien und Kategorien betroffener Personen
  4. Pflichten und Rechte des Verantwortlichen

Konkret muss der Auftragsverarbeiter verpflichtet werden:

  • Daten nur gemäß dokumentierten Weisungen zu verarbeiten
  • Mitarbeiter auf Vertraulichkeit zu verpflichten
  • Geeignete technische und organisatorische Maßnahmen (TOM) zu treffen (Art. 32 DSGVO)
  • Subauftragnehmer nur mit schriftlicher Zustimmung einzusetzen
  • Verantwortlichen bei der Wahrung der Betroffenenrechte zu unterstützen
  • Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen
  • Daten nach Ende des Auftrags zu löschen oder zurückzugeben
  • Nachweise zur Einhaltung der DSGVO zur Verfügung zu stellen, Audits zu ermöglichen

Diese Liste ist nicht abschließend. Ein AVV kann darüber hinaus Bonus-Klauseln enthalten (Haftung, Strafzinsen, spezifische Reporting-Pflichten).

TOMs: Technische und Organisatorische Maßnahmen

Die TOMs sind das Herzstück der AVV-Sicherheits-Anforderung. Sie umfassen:

  • Zutrittskontrolle zu Verarbeitungs-Anlagen
  • Zugangskontrolle zu IT-Systemen
  • Zugriffskontrolle zu Datensätzen
  • Weitergabekontrolle bei Datenübermittlung
  • Eingabekontrolle zur Nachvollziehbarkeit
  • Auftragskontrolle für weisungskonforme Verarbeitung
  • Verfügbarkeitskontrolle für Schutz vor Verlust
  • Trennungskontrolle für getrennte Datenverarbeitung

Auftragsverarbeiter legen TOM-Beschreibungen vor. Verantwortliche prüfen sie auf Plausibilität und Eignung. Ein AVV ohne hinterlegte TOMs ist unvollständig.

Drittland-Übermittlung

Wenn der Auftragsverarbeiter Daten in ein Drittland außerhalb des EWR übermittelt (USA, Indien, Indonesien, etc.), greifen zusätzliche Pflichten:

  • Angemessenheitsbeschluss der EU-Kommission (z.B, für USA aktuell der EU-U.S. Data Privacy Framework, seit 10.07.2023)
  • Standardvertragsklauseln (SCC) wenn kein Angemessenheitsbeschluss greift
  • Bindende interne Datenschutz-Vorschriften (BCR) für Konzern-interne Verarbeitung
  • Ausnahmen nach Art. 49 DSGVO (selten, eng auszulegen)

US-Anbieter sind nicht pauschal verboten, aber prüfen Sie immer die Drittland-Klauseln. EU-U.S. Data Privacy Framework-zertifizierte Anbieter sind heute der Standardweg, der allerdings nicht alle Risiken eliminiert.

NIS2 erweitert die AVV-Anforderungen

Mit dem NIS2-Umsetzungsgesetz fordert § 30 Nr. 4 BSIG die Sicherheit der Lieferkette. Das geht über die DSGVO-AVV hinaus:

  • Sicherheits-Reifegrad des Auftragsverarbeiters als Auswahlkriterium
  • Meldepflicht für Sicherheitsvorfälle beim Auftragsverarbeiter
  • Patch- und Update-Disziplin des Auftragsverarbeiters
  • Audit-Recht mit Sicherheits-Fokus (über DSGVO Art. 28 hinaus)
  • Mitarbeiter-Schulung beim Auftragsverarbeiter

In der Praxis bedeutet das: AVVs werden um Sicherheits-Klauseln erweitert (oft als Anhang oder als Information Security Addendum). Wer 2026 neue Verträge schließt oder bestehende anpasst, sollte diese Anforderungen mit aufnehmen.

Häufige Fallen in der Praxis

1. Subauftragsverarbeiter nicht im Blick

Ihr Auftragsverarbeiter (z.B, ein Newsletter-Tool) nutzt Subauftragsverarbeiter (z.B. AWS für Hosting, Sendgrid für Versand). Diese müssen zugestimmt sein und in der Vertrags-Anlage gelistet werden. Wenn der Auftragsverarbeiter den Subauftragsverarbeiter wechselt, muss er das ankündigen.

2. AVV erst nach Vertragsstart

Der AVV muss vor Beginn der Datenverarbeitung geschlossen sein. Eine nachträglich unterzeichnete AVV heilt eine bestehende Lücke nur eingeschränkt. Aufsichtsbehörden bewerten Verzögerungen kritisch.

3. Standard-AVV ohne Prüfung übernommen

Viele Anbieter stellen Standard-AVVs zur Verfügung. Die meisten sind brauchbar, manche nicht. Prüfen Sie mindestens: Pflichtinhalte, Drittland-Klauseln, Subauftragsverarbeiter-Regelung, Haftungs-Klauseln. Bei sensiblen Daten lohnt sich juristische Prüfung.

4. TOMs nicht aktualisiert

TOMs sind nicht statisch. Wenn der Auftragsverarbeiter seine Infrastruktur ändert (Cloud-Migration, neue Tools), müssen die TOMs aktualisiert werden. Eine TOM-Beschreibung von 2020 ist 2026 oft veraltet.

5. Audit-Rechte nicht genutzt

Viele AVVs sehen Audit-Rechte vor, die nie ausgeübt werden. Bei sensiblen Verarbeitungen ist ein stichprobenartiges Lieferanten-Audit alle zwei bis drei Jahre eine sinnvolle Disziplin. Es zeigt dem Auftragsverarbeiter, dass die Sicherheits-Klauseln gemeint sind.

Was Sie tun sollten

Wenn Sie heute starten würden:

  1. AVV-Inventar erstellen. Liste aller Auftragsverarbeiter, mit AVV-Stand (vorhanden, fehlt, veraltet), Datenkategorien, Drittland-Bezug.
  2. Lücken schließen. Fehlende AVVs nachholen, veraltete aktualisieren.
  3. Sicherheits-Addendum für kritische Lieferanten. NIS2-konforme Erweiterung für die zehn bis zwanzig wichtigsten Lieferanten.
  4. Audit-Plan. Welche Lieferanten werden in welchem Rhythmus geprüft?

Quellen

  • Art. 28 DSGVO Auftragsverarbeitung
  • Art. 32 DSGVO Sicherheit der Verarbeitung
  • Art. 49 DSGVO Drittland-Übermittlung
  • § 30 Nr. 4 BSIG Lieferketten-Sicherheit (NIS2)
  • EU-Kommission, Angemessenheitsbeschlüsse (commission.europa.eu)

Häufige Fragen

Was Sie noch wissen wollen

Wann brauche ich einen AVV?

Immer wenn ein externer Dienstleister im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Klassische Fälle: Cloud-Hoster, Newsletter-Tool, Bewerber-Management-System, IT-Wartung mit Datenzugriff, externe Buchhaltung, Werbe-Agenturen mit Adressdaten. Auch konzerninterne Auslagerungen können AVV-pflichtig sein.

Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?

Auftragsverarbeitung: Dienstleister verarbeitet nach Weisung des Verantwortlichen, ohne eigene Zweckbestimmung. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): zwei oder mehr Parteien bestimmen gemeinsam Zwecke und Mittel der Verarbeitung. Die Abgrenzung ist in der Praxis oft schwierig, hat aber unterschiedliche rechtliche Konsequenzen.

Reicht ein Standard-AVV des Anbieters?

Häufig ja, sofern der Standard die Pflichtinhalte des Art. 28 Abs. 3 DSGVO abdeckt. Vorsicht bei US-Anbietern: prüfen Sie die Drittland-Übermittlungs-Klauseln (Standardvertragsklauseln, EU-U.S. Data Privacy Framework). Bei sensiblen Daten lohnt die juristische Prüfung des AVV.

Was hat NIS2 mit AVV zu tun?

NIS2 fordert nach § 30 Nr. 4 BSIG die Sicherheit der Lieferkette. AVV nach Art. 28 DSGVO ist ein Baustein dieser Lieferketten-Anforderung. Wer NIS2-konform sein will, sollte AVV-Klauseln um Sicherheits-Anforderungen erweitern: Vorfall-Meldepflichten, Patch-Standards, Audit-Rechte, Mitarbeiter-Schulung beim Auftragsverarbeiter.

Über den Autor

Patrick Devosse

Co-CEO, SecureStay Solutions UG

Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.

LinkedIn-Profil →

Weiterlesen