DSGVO-Auftragsverarbeitungsvertrag (AVV): Art. 28 einfach erklärt (2026)

Ein Auftragsverarbeitungsvertrag (AVV) ist ein verbindlicher Vertrag, den Art. 28 der DSGVO jeden Verantwortlichen verpflichtet, mit jedem Auftragsverarbeiter abzuschließen, bevor dieser personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ohne einen konformen AVV drohen beiden Parteien nach Art. 83 Abs. 4 Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
Was ist ein Auftragsverarbeitungsvertrag (AVV) nach der DSGVO?
Ein Auftragsverarbeitungsvertrag nach der DSGVO ist der Vertrag, den Art. 28 Abs. 3 der Verordnung (EU) 2016/679 einem Verantwortlichen vorschreibt, mit jedem von ihm eingesetzten Auftragsverarbeiter abzuschließen, der personenbezogene Daten verarbeitet. Er legt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der betroffenen personenbezogenen Daten, die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen fest. Der Vertrag muss schriftlich abgefasst sein, was nach Art. 28 Abs. 9 auch die elektronische Form einschließt.
Art. 28 Abs. 1 verpflichtet den Verantwortlichen, nur Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Der Auftragsverarbeitungsvertrag ist das wichtigste Instrument, mit dem der Verantwortliche diese Garantien sichert und dokumentiert, und er steht an der Schnittstelle von Rechenschaftspflicht und Haftung. Nach Art. 82 haften sowohl Verantwortliche als auch Auftragsverarbeiter zivilrechtlich für Schäden, die durch einen Verstoß gegen die DSGVO verursacht werden. Die Haftung des Auftragsverarbeiters beschränkt sich auf Fälle, in denen er die speziell an Auftragsverarbeiter gerichteten Pflichten nicht erfüllt oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat. Ein sorgfältig formulierter Auftragsverarbeitungsvertrag legt diese Weisungen präzise fest, was sowohl für die Durchsetzung als auch für die Haftungsverteilung von Bedeutung ist.
Die am 7. September 2021 in endgültiger Fassung angenommenen Leitlinien 07/2020 des EDSA zu den Begriffen Verantwortlicher und Auftragsverarbeiter betonen, dass das Fehlen eines schriftlichen Auftragsverarbeitungsvertrags für sich genommen bereits einen Verstoß gegen Art. 28 darstellt, unabhängig davon, ob einer betroffenen Person ein Schaden entstanden ist. Aufsichtsbehörden haben bereits eigenständig Bußgelder wegen fehlender oder unzureichender Auftragsverarbeitungsverträge verhängt. Für Hintergründe zum umfassenderen Regelungsrahmen der DSGVO siehe Was ist die DSGVO?.
Verantwortlicher und Auftragsverarbeiter: Warum die Unterscheidung wichtig ist
Art. 4 Nr. 7 definiert den Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Art. 4 Nr. 8 definiert den Auftragsverarbeiter als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet".
Der Verantwortliche entscheidet über das „Warum" und das „Wie" der Verarbeitung: welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und für wie lange. Der Auftragsverarbeiter agiert innerhalb dieser Vorgaben. Er führt technische oder organisatorische Aufgaben an den Daten aus, legt jedoch nicht eigenständig den Zweck fest, speichert Daten nicht über die Weisungen des Verantwortlichen hinaus und nutzt die Daten nicht zu eigenem Vorteil.
Die Leitlinien 07/2020 des EDSA stellen klar, dass die Einordnung funktional und faktisch erfolgt, nicht vertraglich. Eine Stelle wird nicht allein dadurch zum Auftragsverarbeiter, dass ein Vertrag sie so bezeichnet, wenn sie in der Praxis eigenständig über die Zwecke oder Mittel der Verarbeitung entscheidet. Eine Stelle, die sich von der weisungsgebundenen Verarbeitung entfernt und selbst Zwecke festlegt, wird zum Verantwortlichen und übernimmt die Pflichten eines Verantwortlichen, unabhängig davon, wie die Parteien das Verhältnis bezeichnet haben.
Diese Unterscheidung hat drei praktische Konsequenzen. Erstens benötigt nur der Verantwortliche eine Rechtsgrundlage für die Verarbeitung nach Art. 6; der Auftragsverarbeiter braucht keine eigene, solange er im Rahmen der Weisungen handelt. Zweitens ist in erster Linie der Verantwortliche gegenüber den Aufsichtsbehörden für die inhaltliche Rechtmäßigkeit der Verarbeitung verantwortlich. Drittens fließen Audit-, Kooperations- und Unterstützungspflichten über den Auftragsverarbeitungsvertrag an den Verantwortlichen zurück.
Typische Auftragsverarbeiter-Konstellationen sind unter anderem: Cloud-Speicheranbieter, die Daten im Auftrag des Verantwortlichen hosten; E-Mail-Dienstanbieter, die Kommunikation übermitteln; Lohnbüros, die Beschäftigtendaten nach Weisung des Arbeitgebers verarbeiten; Analyseplattformen, die Besucherdaten einer Website nach den Vorgaben des Website-Betreibers verarbeiten; sowie ausgelagerte Kundendienstleister, die anhand eines vorgegebenen Skripts und einer vorgegebenen Datenbank arbeiten.
Nicht jeder Dritte, der mit personenbezogenen Daten in Berührung kommt, ist ein Auftragsverarbeiter. Gemeinsam Verantwortliche (Art. 26), Empfänger, die Daten im Rahmen einer rechtmäßigen Offenlegung erhalten, sowie Stellen, die Daten eigenständig zu eigenen Zwecken verarbeiten, sind keine Auftragsverarbeiter. Ein Cloud-Infrastrukturanbieter, der Daten nur nach dokumentierten Kundenweisungen verarbeitet, ist eindeutig Auftragsverarbeiter. Ein Marketing-Analytics-Unternehmen, das Daten mehrerer Kunden zusammenführt, eigene Erkenntnisse ableitet und diese an Dritte verkauft, ist hinsichtlich dieser eigenständigen Verarbeitung selbst Verantwortlicher.
Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Ein Auftragsverarbeitungsvertrag ist immer dann erforderlich, wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Art. 28 Abs. 1 legt diese Pflicht dem Verantwortlichen auf, ohne nach Branche, Unternehmensgröße, Vertragswert, Verarbeitungsumfang oder Sensibilität der Daten zu unterscheiden. Auch eine selbstständige Fotografin oder ein selbstständiger Fotograf, die oder der den E-Mail-Newsletter an eine Marketing-Automatisierungsplattform auslagert, muss mit dieser Plattform einen Auftragsverarbeitungsvertrag abschließen. Die Pflicht entsteht, bevor überhaupt verarbeitet wird; ein Verantwortlicher, der Daten ohne vorherigen schriftlichen Auftragsverarbeitungsvertrag an einen Auftragsverarbeiter übermittelt, verstößt gegen die DSGVO, sobald die Daten übermittelt werden.
Mehrere Konstellationen, in denen ein Auftragsverarbeitungsvertrag häufig übersehen wird, obwohl er eindeutig erforderlich ist:
SaaS-Anbieter. Abonniert ein Unternehmen eine SaaS-Plattform, die im Rahmen der Leistungserbringung Kunden- oder Beschäftigtendaten des Unternehmens verarbeitet, ist der SaaS-Anbieter Auftragsverarbeiter, und ein Auftragsverarbeitungsvertrag ist zwingend erforderlich. Die meisten großen Anbieter veröffentlichen standardisierte Auftragsverarbeitungsverträge, doch der Verantwortliche bleibt dafür verantwortlich zu prüfen, ob diese Dokumente die Anforderungen des Art. 28 Abs. 3 vollständig erfüllen.
IT-Wartungs- und Supportdienstleister. Ein Dienstleister, dem vorübergehender Systemzugriff zur Wartung einer Infrastruktur mit personenbezogenen Daten eingeräumt wird, verarbeitet diese Daten im Auftrag des Verantwortlichen, selbst wenn er sie nicht lesen oder nutzen soll. Bereits der Zugriff stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 dar.
Analyse- und Werbetechnologien. Plattformen, die Tracking-Technologien auf der Website eines Verantwortlichen einsetzen und Besucherdaten gemäß dessen Konfiguration verarbeiten, handeln insoweit als Auftragsverarbeiter, auch wenn dieselbe Plattform gleichzeitig als eigenständiger Verantwortlicher Daten zu eigenen Werbezwecken verarbeitet.
Ausgelagerte Personalverwaltung und Lohnbuchhaltung. Ein externes Lohnbüro verarbeitet personenbezogene Daten von Beschäftigten ausschließlich zur Erfüllung der Lohnverpflichtungen des Arbeitgebers; es legt den Zweck dieser Verarbeitung nicht selbst fest.
Cloud-Infrastrukturanbieter. Betreibt ein Unternehmen eigene Anwendungen auf einer Cloud-Infrastruktur eines Drittanbieters, verarbeitet der Cloud-Anbieter personenbezogene Daten im Auftrag des Unternehmens. Große Anbieter stellen standardisierte Auftragsverarbeitungsverträge bereit, doch der Verantwortliche kann sich nicht allein auf deren Veröffentlichung verlassen; eine aktive Annahme ist erforderlich.
Ein Auftragsverarbeitungsvertrag ist nicht erforderlich, wenn zwei Organisationen personenbezogene Daten unabhängig voneinander zu eigenen, getrennten Zwecken verarbeiten und dabei jeweils als Verantwortlicher handeln. Ebenso wenig ist ein Auftragsverarbeitungsvertrag bei gemeinsam Verantwortlichen erforderlich, wobei Art. 26 zwischen ihnen eine gesonderte Vereinbarung vorschreibt.
Die acht Pflichtklauseln: Art. 28 Abs. 3 im Detail
Art. 28 Abs. 3 legt den Mindestinhalt eines Auftragsverarbeitungsvertrags in acht mit Buchstaben bezeichneten Unterpunkten fest. Keiner davon ist optional; ein Auftragsverarbeitungsvertrag, der einen dieser acht Bestandteile auslässt oder inhaltlich abschwächt, erfüllt Art. 28 nicht.
| Klausel | Erforderlicher Inhalt |
|---|---|
| Art. 28 Abs. 3 lit. a | Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf Übermittlungen an ein Drittland oder eine internationale Organisation, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet ist; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. |
| Art. 28 Abs. 3 lit. b | Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. |
| Art. 28 Abs. 3 lit. c | Der Auftragsverarbeiter trifft alle nach Art. 32 erforderlichen Maßnahmen, das heißt, er setzt geeignete, dem Risiko angemessene technische und organisatorische Sicherheitsmaßnahmen um. |
| Art. 28 Abs. 3 lit. d | Der Auftragsverarbeiter beachtet die in Art. 28 Abs. 2 und 4 genannten Bedingungen für die Einbeziehung eines weiteren Auftragsverarbeiters (Unterauftragsverarbeiter), einschließlich der vorherigen Genehmigung durch den Verantwortlichen und der Weitergabe gleichwertiger Pflichten an den Unterauftragsverarbeiter. |
| Art. 28 Abs. 3 lit. e | Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, auf Anträge zur Ausübung der Rechte der betroffenen Personen nach den Art. 15 bis 22 zu reagieren. |
| Art. 28 Abs. 3 lit. f | Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Sicherheitspflichten nach Art. 32, der Meldung von Datenschutzverletzungen nach den Art. 33 und 34, der Datenschutz-Folgenabschätzung nach Art. 35 und der vorherigen Konsultation nach Art. 36. |
| Art. 28 Abs. 3 lit. g | Der Auftragsverarbeiter löscht nach Wahl des Verantwortlichen nach Abschluss der Erbringung der mit der Verarbeitung verbundenen Dienstleistungen alle personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur Speicherung der personenbezogenen Daten besteht. |
| Art. 28 Abs. 3 lit. h | Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, wenn er der Auffassung ist, dass eine Weisung gegen die Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. |
Über die acht Pflichtklauseln hinaus verlangt Art. 28 Abs. 3, dass der Vertrag auch Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt. Diese Parameter definieren den äußeren Rahmen, innerhalb dessen der Auftragsverarbeiter rechtmäßig handeln darf.
Klausel (a): Ausschließliche Verarbeitung auf Weisung
Die Pflicht zur dokumentierten Weisung nach Art. 28 Abs. 3 lit. a ist der zentrale Kontrollmechanismus des Auftragsverarbeitungsverhältnisses. „Dokumentiert" bedeutet schriftlich oder anderweitig festgehalten; mündliche Weisungen genügen nicht, sobald sie für den Umfang der Verarbeitung von Bedeutung sind.
Der Auftragsverarbeitungsvertrag selbst legt die grundlegenden Weisungen fest (Datenkategorien, zulässige Verarbeitungsvorgänge, Aufbewahrungsfristen), während der Dienstleistungsvertrag diese um operative Details ergänzt. Ad-hoc-Weisungen außerhalb des ursprünglichen Umfangs müssen dokumentiert werden. Die im letzten Satz von Art. 28 Abs. 3 geregelte Pflicht des Auftragsverarbeiters, jede Weisung zu melden, die seiner Auffassung nach gegen die DSGVO verstößt, ergänzt diese Klausel: Ein Auftragsverarbeiter, der eine rechtswidrige Weisung befolgt, ohne dies zu melden, riskiert den Verlust des Haftungsschutzes, den die Weisungskonformität nach Art. 82 Abs. 3 bietet.
Betreibt der Auftragsverarbeiter oder einer seiner Unterauftragsverarbeiter Infrastruktur außerhalb des EWR, muss der Auftragsverarbeitungsvertrag diese Übermittlungen ausdrücklich gestatten und den Übermittlungsmechanismus nach Kapitel V der DSGVO benennen. Siehe den Leitfaden zu internationalen Datenübermittlungen nach der DSGVO.
Klausel (c): Sicherheit nach Art. 32
Art. 28 Abs. 3 lit. c überträgt die Pflichten aus Art. 32 unmittelbar auf den Auftragsverarbeiter. Art. 32 Abs. 1 legt fest, was diese Sicherheitsmaßnahmen abdecken müssen: Pseudonymisierung und Verschlüsselung; die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sicherzustellen; die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Angemessene Maßnahmen müssen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung ebenso berücksichtigen wie das Risiko für die Rechte und Freiheiten natürlicher Personen. Was für einen Auftragsverarbeiter angemessen ist, der anonymisierte Analysedaten verarbeitet, unterscheidet sich von dem, was bei Gesundheitsdaten oder Finanzdaten erforderlich ist. Ein Auftragsverarbeitungsvertrag, der die für die jeweiligen Datenkategorien erwarteten Sicherheitsstandards des Auftragsverarbeiters nicht konkret benennt, bleibt hinter den Anforderungen zurück.
Klausel (f): Unterstützung bei der Meldung von Datenschutzverletzungen und bei Datenschutz-Folgenabschätzungen
Art. 28 Abs. 3 lit. f begründet eine zeitkritische Kooperationspflicht. Nach Art. 33 Abs. 1 muss ein Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten unverzüglich und, wenn möglich, innerhalb von 72 Stunden seiner Aufsichtsbehörde melden. Ein Verantwortlicher kann diese Frist nur einhalten, wenn sein Auftragsverarbeiter über Systeme verfügt, um Vorfälle zu erkennen, zu dokumentieren und den Verantwortlichen umgehend zu benachrichtigen.
Der Auftragsverarbeitungsvertrag sollte die Pflicht des Auftragsverarbeiters festlegen, den Verantwortlichen innerhalb einer festgelegten Frist (viele Verträge sehen 24 bis 48 Stunden vor) über jede mögliche Datenschutzverletzung zu informieren und die nach Art. 33 Abs. 3 erforderlichen Angaben bereitzustellen: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen, Kategorien und ungefähre Zahl der betroffenen Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. Ein vager pauschaler Verweis auf Art. 33 genügt nicht.
Auch die Unterstützungspflicht bei der Datenschutz-Folgenabschätzung ist in der Praxis von großer Bedeutung. Nach Art. 35 muss ein Verantwortlicher vor einer Verarbeitung, die voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt, eine Datenschutz-Folgenabschätzung durchführen. Häufig verfügt der Auftragsverarbeiter über die für die Risikobewertung erforderlichen technischen Informationen, weshalb der Auftragsverarbeitungsvertrag dessen Mitwirkungspflicht festlegen sollte.
Klausel (h): Prüfungsrechte
Auftragsverarbeiter schlagen regelmäßig vor, Art. 28 Abs. 3 lit. h durch Zertifizierungen unabhängiger Dritter (etwa ISO 27001 oder SOC 2 Type II) zu erfüllen, anstatt dem Verantwortlichen einen direkten Zugang zu Systemen und Aufzeichnungen zu gewähren. Die Leitlinien 07/2020 des EDSA bestätigen, dass Zertifizierungen Dritter als Nachweis der Einhaltung dienen können, das Recht des Verantwortlichen auf ein eigenes Audit bei konkreten Compliance-Bedenken jedoch nicht ausschließen können. Eine Vertragsklausel, die das Prüfungsrecht vollständig durch einen Verweis auf eine Zertifizierung ersetzt, erfüllt Art. 28 Abs. 3 lit. h nicht und wurde von Aufsichtsbehörden bereits kritisiert.
Unterauftragsverarbeiter und die Weitergabepflicht
Ein Unterauftragsverarbeiter ist jeder Dritte, den ein Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen betraut. Art. 28 Abs. 2 verpflichtet den Auftragsverarbeiter, vor der Einbeziehung eines Unterauftragsverarbeiters eine vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen einzuholen.
Erteilt der Verantwortliche eine allgemeine Genehmigung, muss der Auftragsverarbeiter den Verantwortlichen nach Art. 28 Abs. 2 über beabsichtigte Änderungen bei der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren und ihm Gelegenheit geben, Einspruch zu erheben. Der Auftragsverarbeitungsvertrag muss eine Ankündigungsfrist vorsehen, die ausreicht, damit der Verantwortliche dieses Recht ausüben kann; viele Verträge sehen eine Vorlauffrist von 30 Tagen vor.
Art. 28 Abs. 4 enthält die Weitergaberegel: Setzt ein Auftragsverarbeiter einen Unterauftragsverarbeiter ein, muss er diesem dieselben Datenschutzpflichten auferlegen, die im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter vereinbart sind. Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang haftbar.
Jedes Glied einer Verarbeitungskette muss durch einen mit Art. 28 konformen Vertrag gebunden sein. Die Haftung fließt vollständig auf den Auftragsverarbeiter zurück, der seinerseits angemessene vertragliche Schutzmechanismen in den nachgelagerten Verträgen mit Unterauftragsverarbeitern sicherstellen muss.
Verantwortliche, die komplexe Lieferantenketten verwalten, sollten ihre Auftragsverarbeiter und die von diesen angegebenen Unterauftragsverarbeiter im Rahmen ihres Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) erfassen. Viele Auftragsverarbeiter veröffentlichen Listen ihrer Unterauftragsverarbeiter und verpflichten sich, Änderungen im Voraus anzukündigen.
Die Art. 28-Standardvertragsklauseln der Kommission
Die DSGVO erlaubt es, Auftragsverarbeitungsverträge ganz oder teilweise auf Standardvertragsklauseln zu stützen, die von der Kommission oder einer Aufsichtsbehörde erlassen wurden (Art. 28 Abs. 6 und 7).
Der Durchführungsbeschluss (EU) 2021/914, veröffentlicht am 7. Juni 2021 im Amtsblatt L 199/31, erließ die Standardvertragsklauseln für internationale Datenübermittlungen. Dieser Beschluss enthält vier Module, darunter Modul 2 (Verantwortlicher an Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter), die die Übermittlungspflichten nach Kapitel V regeln, wenn die Verarbeitung eine Übermittlung außerhalb des EWR umfasst. Diese Standardvertragsklauseln für internationale Übermittlungen unterscheiden sich von den Art. 28-Standardvertragsklauseln, sind jedoch mit ihnen vereinbar. Eine ausführliche Erläuterung enthält der Leitfaden zu internationalen Datenübermittlungen nach der DSGVO.
Der ebenfalls am 4. Juni 2021 veröffentlichte Durchführungsbeschluss (EU) 2021/915 erließ eigenständige Standardvertragsklauseln speziell für Verträge zwischen Verantwortlichen und Auftragsverarbeitern innerhalb der EU und des EWR (die „Art. 28-Standardvertragsklauseln"). Parteien, die diese unverändert übernehmen, können sich auf die von der Kommission festgestellte Angemessenheit dieser Klauseln berufen. Sie sind modular und anpassbar aufgebaut, mit klar gekennzeichneten optionalen Bestimmungen und Anhängen, in denen die Parteien die Verarbeitungsparameter angeben (Datenkategorien, Zwecke, Sicherheitsmaßnahmen, Listen der Unterauftragsverarbeiter).
Die Parteien können zusätzliche kommerzielle Bedingungen neben den Art. 28-Standardvertragsklauseln vereinbaren, sofern diese den Pflichtklauseln nicht widersprechen und den Schutz der betroffenen Personen nicht verringern. Möchten die Parteien sowohl die Art. 28-Standardvertragsklauseln als auch die Übermittlungsklauseln nach Kapitel V in einem einzigen Vertrag zusammenführen, bestätigt die Kommission in ihren Hinweisen, dass beide Klauselwerke kombiniert werden können.
Auftragsverarbeitungsverträge und internationale Datenübermittlungen
Immer wenn die Verarbeitung im Rahmen eines Auftragsverarbeitungsvertrags eine Übermittlung personenbezogener Daten außerhalb des EWR umfasst, muss der Vertrag die Einhaltung von Kapitel V regeln. Art. 28 Abs. 3 lit. a verlangt bereits, dass der Vertrag jede Weisung zur Übermittlung von Daten an ein Drittland erfasst.
Findet die gesamte Verarbeitung innerhalb des EWR statt, decken die Art. 28-Standardvertragsklauseln das Verhältnis vollständig ab. Betreibt der Auftragsverarbeiter Infrastruktur außerhalb des EWR, verfügt das Zielland aber über einen Angemessenheitsbeschluss der EU (etwa das Vereinigte Königreich, Japan oder eine nach dem Data Privacy Framework zertifizierte US-Organisation), muss der Vertrag diesen Angemessenheitsbeschluss als Übermittlungsgrundlage benennen und bestätigen, dass der Auftragsverarbeiter und alle datenempfangenden Unterauftragsverarbeiter davon erfasst sind. Liegt kein Angemessenheitsbeschluss vor, muss der Vertrag den einschlägigen Mechanismus nach Kapitel V einbeziehen: Für ein grenzüberschreitendes Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter ist dies Modul 2 der Standardvertragsklauseln für internationale Übermittlungen von 2021, das zudem eine Transfer Impact Assessment nach Klausel 14 vorschreibt.
Ein Verantwortlicher, der mit einem US-Cloud-Anbieter einen mit Art. 28 konformen Auftragsverarbeitungsvertrag abschließt, dabei aber Modul 2 der Standardvertragsklauseln für internationale Übermittlungen nicht gesondert einbezieht, erfüllt die Vorgaben nur teilweise: Das Auftragsverarbeitungsverhältnis ist geregelt, doch für die Übermittlung selbst fehlt eine gültige Rechtsgrundlage. Die erforderlichen Schritte zur Abdeckung beider Ebenen erläutert die DSGVO-Compliance-Checkliste.
Wer entwirft den Auftragsverarbeitungsvertrag?
Die DSGVO legt die Pflicht, für einen Auftragsverarbeitungsvertrag zu sorgen, dem Verantwortlichen auf. In der Praxis erstellen jedoch meist große Auftragsverarbeiter (SaaS-Anbieter und Cloud-Anbieter) das standardisierte Vertragsformular, da sie mit Hunderten oder Tausenden von Verantwortlichen in Geschäftsbeziehung stehen und mit keinem von ihnen einen individuell ausgehandelten Vertrag schließen können.
Aus Sicht des Verantwortlichen entsteht dadurch eher eine Prüfungspflicht als eine Entwurfspflicht. Ein Verantwortlicher, der den Auftragsverarbeitungsvertrag eines Auftragsverarbeiters gegenzeichnet, ohne dessen Inhalt zu prüfen, hat seine Rechenschaftspflichten nach Art. 5 Abs. 2 nicht erfüllt, selbst wenn dieser Vertrag zufällig konform sein sollte. Ist der Standardvertrag des Auftragsverarbeiters mangelhaft, sollte der Verantwortliche Änderungen aushandeln oder einen Auftragsverarbeiter suchen, der einen konformen Vertrag anbietet.
Verantwortliche, die kleinere Dienstleister beauftragen, die keinen eigenen Standardvertrag anbieten, müssen den Vertrag selbst entwerfen oder die Art. 28-Standardvertragsklauseln der Kommission als Grundlage verwenden. Die Art. 28-Standardvertragsklauseln sind auf der Website der Kommission öffentlich zugänglich und können kostenfrei genutzt werden.
Bei einer Vereinbarung zwischen gemeinsam Verantwortlichen nach Art. 26 gelten die Pflichten aus Art. 28 nicht im Verhältnis der gemeinsam Verantwortlichen zueinander. Art. 26 verlangt eine gesonderte, transparente Vereinbarung über ihre jeweiligen Zuständigkeiten, die anderen Regeln folgt als ein Auftragsverarbeitungsvertrag.
Folgen eines fehlenden Auftragsverarbeitungsvertrags
Das Fehlen eines konformen Auftragsverarbeitungsvertrags stellt einen eigenständigen Verstoß gegen die DSGVO dar. Art. 83 Abs. 4 nennt Art. 28 als eine Bestimmung, deren Verletzung mit Bußgeldern von bis zu 10.000.000 Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden kann, je nachdem, welcher Betrag höher ist. Ist das Fehlen eines Auftragsverarbeitungsvertrags Ausdruck umfassenderer Mängel bei der Rechenschaftspflicht, haben Aufsichtsbehörden auch die höhere Bußgeldstufe nach Art. 83 Abs. 5 in Verbindung mit den Art. 5 und 25 angewandt.
Aufsichtsbehörden können zudem Abhilfebefugnisse nach Art. 58 Abs. 2 ausüben: Verwarnungen, Verweise und Anordnungen zur Herstellung der Rechtmäßigkeit aussprechen; die Verarbeitung vorübergehend oder endgültig beschränken oder verbieten; sowie die Aussetzung von Datenflüssen an einen Auftragsverarbeiter anordnen. Ein vorübergehendes Verarbeitungsverbot kann für den Geschäftsbetrieb schwerwiegender sein als ein Bußgeld, wenn der betroffene Auftragsverarbeiter kritische Infrastruktur bereitstellt.
Die zivilrechtliche Haftung nach Art. 82 stellt ein eigenständiges Risiko dar. Ohne einen Auftragsverarbeitungsvertrag, der Umfang und Pflichten des Auftragsverarbeiters festlegt, kann es dem Verantwortlichen schwerfallen nachzuweisen, dass die Verarbeitung rechtmäßig war. Durchsetzungsentscheidungen werden veröffentlicht; die Feststellung, dass ein Unternehmen personenbezogene Daten über einen Dienstleister ohne jeglichen Auftragsverarbeitungsvertrag verarbeitet hat, deutet auf systemische Governance-Mängel hin und zieht in der Regel eine umfassendere Prüfung nach sich.
Zu den dokumentierten Durchsetzungsfällen zählen Bußgelder der schwedischen Datenschutzbehörde (IMY) gegen Verantwortliche wegen fehlender angemessener Auftragsverarbeitungsverträge mit Dienstleistern sowie Feststellungen der irischen Datenschutzbehörde zu unzureichenden vertraglichen Regelungen zwischen Auftragsverarbeitern und Verantwortlichen im Rahmen großer Untersuchungen gegen Technologieunternehmen.
Wichtige praktische Schritte für Verantwortliche
Auftragsverarbeiter erfassen. Ermitteln Sie jeden Dritten, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das nach Art. 30 vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten ist hierfür das naheliegende Instrument. Bevor Daten an einen identifizierten Auftragsverarbeiter übermittelt werden, muss ein konformer schriftlicher Auftragsverarbeitungsvertrag vorliegen.
Eignung prüfen. Art. 28 Abs. 1 verlangt eine sorgfältige Prüfung der technischen und organisatorischen Sicherheitsmaßnahmen jedes Auftragsverarbeiters, seiner Regelungen zu Unterauftragsverarbeitern, seiner Verfahren zur Meldung von Datenschutzverletzungen, seiner Bereitschaft zur Mitwirkung bei Audits sowie seiner Fähigkeit, bei Anträgen zur Ausübung von Betroffenenrechten zu unterstützen. Die Prüfung kann die Durchsicht unabhängiger Zertifizierungen, das Ausfüllen von Sicherheitsfragebögen für Anbieter sowie die Prüfung der Datenschutzdokumentation des Auftragsverarbeiters umfassen.
Einen konformen Vertrag abschließen. Die Verwendung der Art. 28-Standardvertragsklauseln der Kommission ist der einfachste Weg, die Pflichtklauseln zu erfüllen. Umfasst die Verarbeitung internationale Übermittlungen, muss zusätzlich Modul 2 der Standardvertragsklauseln der Kommission für internationale Übermittlungen einbezogen oder gesondert abgeschlossen werden.
Änderungen bei Unterauftragsverarbeitern verwalten. Sieht der Vertrag eine allgemeine Genehmigung für Unterauftragsverarbeiter vor, richten Sie ein Verfahren ein, um Mitteilungen über Änderungen bei Unterauftragsverarbeitern entgegenzunehmen und zu prüfen sowie das Widerspruchsrecht auszuüben, wenn ein vorgeschlagener Unterauftragsverarbeiter Compliance-Bedenken aufwirft.
Verträge aktuell halten. Auftragsverarbeiter aktualisieren ihre Dienste, ziehen neue Unterauftragsverarbeiter hinzu, wechseln Rechenzentren und passen Sicherheitsmaßnahmen an. Auftragsverarbeitungsverträge sollten immer dann überprüft werden, wenn sich die erfassten Verarbeitungstätigkeiten wesentlich ändern.
Hinweise dazu, wie sich der Auftragsverarbeitungsvertrag in ein umfassenderes DSGVO-Compliance-Programm einfügt, finden Sie in der DSGVO-Compliance-Checkliste.
Geltungsbereich: Dieser Beitrag behandelt die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags nach der Verordnung (EU) 2016/679 (DSGVO), die innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums gilt, einschließlich ihrer Anwendung auf Auftragsverarbeiter und Verantwortliche mit Sitz außerhalb der EU/des EWR, die aufgrund der extraterritorialen Reichweite der DSGVO nach Art. 3 erfasst werden. Nicht gesondert behandelt werden das UK-GDPR (das nach dem Brexit gleichwertige Anforderungen aus Art. 28 beibehält) sowie sektorspezifische Auftragsverarbeitungsverträge nach den Datenschutzvorschriften für Unionsorgane gemäß der Verordnung (EU) 2018/1725.
Haftungsausschluss: Dieser Beitrag bietet allgemeine rechtliche Informationen zu Art. 28 der DSGVO und zu Auftragsverarbeitungsverträgen mit dem Stand Juni 2026. Er stellt keine Rechtsberatung dar und sollte nicht als solche verstanden werden. Die beschriebenen rechtlichen Anforderungen geben die DSGVO sowie die offiziellen Hinweise der Kommission und des EDSA zum Zeitpunkt der Veröffentlichung wieder. Gesetze und Leitlinien können sich ändern. Wenden Sie sich für eine auf die Umstände Ihrer Organisation zugeschnittene Beratung an eine in Ihrer Rechtsordnung zugelassene Rechtsanwältin oder einen zugelassenen Rechtsanwalt.
Frequently Asked Questions
Was ist ein Auftragsverarbeitungsvertrag nach der DSGVO?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag, den Art. 28 der DSGVO einem Verantwortlichen vorschreibt, mit jedem Auftragsverarbeiter abzuschließen, bevor dieser personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Vertrag muss Gegenstand, Dauer, Art und Zweck der Verarbeitung festlegen und die acht in Art. 28 Abs. 3 genannten Pflichtenkategorien enthalten, darunter die Pflicht des Auftragsverarbeiters, ausschließlich auf dokumentierte Weisung zu handeln, Vertraulichkeit zu wahren, Sicherheitsmaßnahmen umzusetzen, Unterauftragsverarbeiter zu verwalten, bei Betroffenenrechten zu unterstützen, bei der Meldung von Datenschutzverletzungen und bei Datenschutz-Folgenabschätzungen mitzuwirken, Daten nach Ende der Zusammenarbeit zu löschen oder zurückzugeben und bei Audits mitzuwirken.
Wann benötige ich einen Auftragsverarbeitungsvertrag nach der DSGVO?
Ein Auftragsverarbeitungsvertrag ist immer dann erforderlich, wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die Pflicht gilt unabhängig von Branche, Unternehmensgröße, Vertragswert oder Sensibilität der betroffenen Daten. Sie besteht bereits, bevor die Verarbeitung beginnt. Typische Beispiele, in denen ein Auftragsverarbeitungsvertrag erforderlich ist, sind Cloud-Speicheranbieter, die Daten eines Verantwortlichen hosten, SaaS-Plattformen, die Kundendaten verarbeiten, Lohnbüros, die Beschäftigtendaten verarbeiten, Analyseanbieter, die Besucherdaten von Websites verarbeiten, sowie IT-Supportdienstleister mit Zugriff auf Systeme, die personenbezogene Daten enthalten. Zwischen gemeinsam Verantwortlichen ist kein Auftragsverarbeitungsvertrag erforderlich (hierfür gilt eine gesonderte Pflicht nach Art. 26); ebenso wenig, wenn der Dritte Daten vollständig eigenständig zu eigenen Zwecken verarbeitet.
Was muss ein Auftragsverarbeitungsvertrag nach der DSGVO enthalten?
Art. 28 Abs. 3 legt acht Pflichtklauseln fest: (a) Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen; (b) Sicherstellung, dass befugte Mitarbeitende zur Vertraulichkeit verpflichtet sind; (c) Umsetzung der Sicherheitsmaßnahmen nach Art. 32; (d) Einhaltung der Genehmigungs- und Weitergabepflichten bei Unterauftragsverarbeitern; (e) Unterstützung des Verantwortlichen bei Anträgen zur Ausübung von Betroffenenrechten; (f) Unterstützung bei der Meldung von Datenschutzverletzungen nach den Art. 33 und 34, bei Datenschutz-Folgenabschätzungen nach Art. 35 und bei der vorherigen Konsultation nach Art. 36; (g) Löschung oder Rückgabe aller personenbezogenen Daten nach Ende der Dienstleistung; und (h) Bereitstellung von Informationen für Audits und Inspektionen sowie unverzügliche Information des Verantwortlichen über jede Weisung, die gegen die DSGVO zu verstoßen scheint. Über diese Klauseln hinaus muss der Vertrag auch Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenarten sowie die Kategorien betroffener Personen festlegen.
Wer stellt den Auftragsverarbeitungsvertrag bereit: der Verantwortliche oder der Auftragsverarbeiter?
Die rechtliche Pflicht, für einen Auftragsverarbeitungsvertrag zu sorgen, liegt nach Art. 28 Abs. 1 beim Verantwortlichen. In der Praxis entwerfen und veröffentlichen jedoch meist große Auftragsverarbeiter (Cloud-Anbieter und SaaS-Anbieter) standardisierte Verträge, die Verantwortliche annehmen können. Der Verantwortliche kann seine rechtliche Pflicht nicht dadurch an den Auftragsverarbeiter delegieren, dass er dessen Vertrag gegenzeichnet, ohne den Inhalt zu prüfen. Er muss sicherstellen, dass jeder vom Auftragsverarbeiter bereitgestellte Vertrag alle acht Elemente des Art. 28 Abs. 3 erfüllt. Bietet der Auftragsverarbeiter keinen Standardvertrag an, muss der Verantwortliche selbst einen entwerfen oder die Art. 28-Standardvertragsklauseln der Kommission (Durchführungsbeschluss (EU) 2021/915) als Grundlage verwenden.
Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter nach der DSGVO?
Art. 4 Nr. 7 definiert den Verantwortlichen als die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also festlegt, warum und wie die Daten verarbeitet werden. Art. 4 Nr. 8 definiert den Auftragsverarbeiter als eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei dessen Weisungen folgt, ohne den Verarbeitungszweck eigenständig festzulegen. Die Leitlinien 07/2020 des EDSA bestätigen, dass diese Unterscheidung funktional und faktisch erfolgt: Eine Partei wird nicht allein dadurch zum Auftragsverarbeiter, dass ein Vertrag sie so bezeichnet, wenn sie tatsächlich eigenständig über die Zwecke entscheidet. Ein Auftragsverarbeiter, der beginnt, Verarbeitungszwecke selbst festzulegen, wird nach Art. 28 Abs. 10 zum Verantwortlichen und übernimmt die volle Haftung eines Verantwortlichen.
Können die Standardvertragsklauseln der Kommission als Auftragsverarbeitungsvertrag verwendet werden?
Ja. Der Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 erließ eigene Standardvertragsklauseln speziell für das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern nach Art. 28. Diese Art. 28-Standardvertragsklauseln stellen eine vorab genehmigte Vorlage dar, die bei unveränderter Verwendung automatisch die Pflichtklauseln des Art. 28 Abs. 3 erfüllt. Die Parteien ergänzen die Anhänge um ihre konkreten Verarbeitungsparameter (Datenkategorien, Zwecke, Sicherheitsmaßnahmen, Listen der Unterauftragsverarbeiter). Die Art. 28-Standardvertragsklauseln unterscheiden sich von den Standardvertragsklauseln für internationale Übermittlungen von 2021 nach dem Beschluss (EU) 2021/914; sind auch internationale Übermittlungen betroffen, können beide Klauselwerke erforderlich sein.
Welche Folgen hat das Fehlen eines Auftragsverarbeitungsvertrags?
Das Fehlen eines konformen Auftragsverarbeitungsvertrags stellt einen eigenständigen Verstoß gegen die DSGVO dar, der nach Art. 83 Abs. 4 mit Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden kann. Ist der fehlende Vertrag Teil umfassenderer Mängel bei der Rechenschaftspflicht, können auch höhere Bußgelder nach Art. 83 Abs. 5 verhängt werden. Über Bußgelder hinaus können Aufsichtsbehörden nach Art. 58 Abs. 2 Verarbeitungsverbote aussprechen, die den Geschäftsbetrieb zum Erliegen bringen können. Verantwortliche können zudem einer zivilrechtlichen Haftung nach Art. 82 gegenüber geschädigten betroffenen Personen ausgesetzt sein. Mehrere Aufsichtsbehörden in der EU, darunter die schwedische IMY und die irische Datenschutzbehörde, haben bereits Entscheidungen wegen fehlender oder unzureichender Auftragsverarbeitungsverträge erlassen.
Was sind Unterauftragsverarbeiter, und wie regelt Art. 28 ihren Einsatz?
Ein Unterauftragsverarbeiter ist ein Dritter, den ein Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen betraut. Art. 28 Abs. 2 verpflichtet den Auftragsverarbeiter, vor der Einbeziehung eines Unterauftragsverarbeiters eine vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen einzuholen. Wird eine allgemeine Genehmigung erteilt, muss der Auftragsverarbeiter den Verantwortlichen über Änderungen bei Unterauftragsverarbeitern informieren und ihm Gelegenheit zum Widerspruch geben. Nach Art. 28 Abs. 4 muss der Auftragsverarbeiter jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die im Auftragsverarbeitungsvertrag zwischen Verantwortlichem und Auftragsverarbeiter festgelegt sind, und bleibt gegenüber dem Verantwortlichen in vollem Umfang haftbar, wenn der Unterauftragsverarbeiter seine Pflichten nicht erfüllt.
Muss ein Auftragsverarbeitungsvertrag internationale Datenübermittlungen regeln?
Übermitteln der Auftragsverarbeiter oder einer seiner Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR, muss der Vertrag die Einhaltung von Kapitel V regeln. Art. 28 Abs. 3 lit. a verlangt, dass der Vertrag jede Weisung zur Übermittlung von Daten an ein Drittland erfasst. Deckt ein gültiger Angemessenheitsbeschluss das Zielland ab, sollte der Vertrag diesen benennen. Liegt kein Angemessenheitsbeschluss vor, muss der Vertrag den einschlägigen Mechanismus nach Kapitel V einbeziehen, für eine Übermittlung vom Verantwortlichen an den Auftragsverarbeiter in der Regel Modul 2 der Standardvertragsklauseln von 2021 nach dem Durchführungsbeschluss (EU) 2021/914 der Kommission. Die Art. 28-Standardvertragsklauseln und die Standardvertragsklauseln für internationale Übermittlungen können in einem einzigen Vertrag kombiniert werden.
Was bedeutet „dokumentierte Weisung" in einem Auftragsverarbeitungsvertrag nach der DSGVO?
Art. 28 Abs. 3 lit. a verpflichtet den Auftragsverarbeiter, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. „Dokumentiert" bedeutet schriftlich oder anderweitig festgehalten. Der Auftragsverarbeitungsvertrag selbst bildet die grundlegende Weisung und legt die zulässigen Verarbeitungsvorgänge, Datenkategorien, Zwecke und Aufbewahrungsfristen fest. Auch während der Dienstleistungsbeziehung erteilte Ad-hoc-Weisungen müssen dokumentiert werden, um wirksam zu sein. Der letzte Satz von Art. 28 Abs. 3 verpflichtet den Auftragsverarbeiter, den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder ein anderes anwendbares [Datenschutzrecht](/us-laws/data-privacy-laws) verstößt. Ein Auftragsverarbeiter, der eine ihm bekanntermaßen rechtswidrige Weisung befolgt, ohne dies zu melden, riskiert den Verlust des Haftungsschutzes, den die Einhaltung dokumentierter Weisungen nach Art. 82 Abs. 3 bietet.
Sources and References
- DSGVO Verordnung (EU) 2016/679, Art. 4, 28, 32, 33, 35, 82 und 83(eur-lex.europa.eu)
- Durchführungsbeschluss (EU) 2021/914 der Kommission, Standardvertragsklauseln für internationale Übermittlungen(eur-lex.europa.eu)
- Durchführungsbeschluss (EU) 2021/915 der Kommission, Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern(eur-lex.europa.eu)
- Leitlinien 07/2020 des EDSA zu den Begriffen Verantwortlicher und Auftragsverarbeiter nach der DSGVO(edpb.europa.eu)
- Europäische Kommission, Standardvertragsklauseln für Datenübermittlungen(commission.europa.eu)