Ein transparentes Gehäuse steht auf einer Leiterplatte mit leuchtenden Schaltkreis-Mustern und digitalen Elementen.

Auftragsverarbeitung: Pflichten, Risiken und rechtssichere Umsetzung nach DSGVO

Die Auftragsverarbeitung nach DSGVO stellt Unternehmen täglich vor praktische Fragen: Wann ist ein Auftragsverarbeitungsvertrag erforderlich, was muss er enthalten und welche Haftungsrisiken drohen, wenn er fehlt oder unvollständig ist? Welche Pflichten gelten, wie Sie typische Fallstricke vermeiden und Ihre Geschäftsbeziehungen rechtskonform einordnen, erklären wir in diesem Beitrag.

Beratungstermin vereinbaren

Die wichtigsten Fakten zur Auftragsverarbeitung

  • Erfordernis eines Auftragsverarbeitungsvertrags
    Verarbeitet ein Unternehmen weisungsgebunden personenbezogene Daten für ein anderes Unternehmen, ist zwischen Ihnen ein Auftragsverarbeitungsvertrag abzuschließen.
  • Mindestinhalte eines Auftragsverarbeitungsvertrags
    Der Auftragsverarbeitungsvertrag muss einen Mindestinhalt erfüllen, der in Art. 28 Abs. 3 DSGVO näher beschrieben wird.
  • Verzeichnis der Verarbeitungstätigkeiten
    Der Auftragsverarbeiter ist gem. Art. 30 Abs. 2 DSGVO verpflichtet, selbst ein Verzeichnis über diejenigen Verarbeitungstätigkeiten zu führen, die er für den Verantwortlichen ausführt.
  • Überprüfung durch Datenschutzaufsichtsbehörde
    Die Datenschutzaufsichtsbehörden können überprüfen, ob die gesetzlichen Anforderungen an eine Auftragsverarbeitung erfüllt wurden und Verletzungen mit Bußgeldern sanktionieren.

Auftragsverarbeitung nach DSGVO: Was Unternehmen wissen müssen

Ob Cloud-Dienste, externe IT-Dienstleister oder ausgelagerte HR-Prozesse, die Weitergabe personenbezogener Daten ist in der modernen Arbeitswelt längst Alltag. 

Dabei bietet die Auftragsverarbeitung einen entscheidenden Vorteil: Der beauftragte Dienstleister benötigt keine eigene Rechtsgrundlage für die Datenverarbeitung. Er wird rechtlich wie eine interne Stelle Ihres Unternehmens behandelt und kann so Verarbeitungen durchführen, die andernfalls mangels Rechtsgrundlage unzulässig wären.

Diesen Vorteil gibt es jedoch nicht ohne Gegenleistung: Um Datenschutz und Datensicherheit zu gewährleisten, sind Sie als Verantwortlicher verpflichtet, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen.

Was genau ist eine Auftragsverarbeitung nach Art. 28 DSGVO?

Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten weisungsgebunden im Auftrag Ihres Unternehmens verarbeitet, so definiert es Art. 4 Nr. 8 DSGVO. Sie als Auftraggeber behalten dabei die Kontrolle: Sie bestimmen, wie und zu welchem Zweck die Daten verarbeitet werden.
Wichtig zu wissen: Nicht jede Dienstleistung, bei der personenbezogene Daten übermittelt werden, begründet automatisch eine Auftragsverarbeitung. Trifft der Dienstleister eigene Entscheidungen über Zweck und Mittel der Verarbeitung (z.B. als Steuerberater oder externer Gutachter), handelt er in der Regel als eigener Verantwortlicher, dann ist kein Auftragsverarbeitungsvertrag erforderlich, auch wenn dabei Daten fließen.

Fehlender oder unvollständiger Auftragsverarbeitungsvertrag

Fehlt ein erforderlicher Auftragsverarbeitungsvertrag oder ist er unvollständig, drohen empfindliche Bußgelder, die Datenschutzaufsichtsbehörde kann dies nach Art. 83 Abs. 4 lit. a DSGVO sanktionieren. Besonders wichtig: Anders als noch unter dem alten Datenschutzrecht trifft die Verantwortung heute beide Seiten. Nicht nur Sie als Verantwortlicher, sondern auch Ihr Dienstleister kann wegen Verstößen gegen Art. 28 DSGVO direkt in die Pflicht genommen werden. Stehen Sie vor der Frage, ob Ihre Vertragsbeziehung einen Auftragsverarbeitungsvertrag erfordert? Das ist in der Praxis eine der häufigsten Unsicherheiten und eine, bei der ein Fehler schnell teuer werden kann. intersoft consulting hilft Ihnen, Ihre Geschäftsbeziehungen rechtskonform einzuordnen und das Risiko von Datenschutzverstößen und Bußgeldern zu minimieren

Abgrenzung zu anderen Rechtsinstitutionen

Die korrekte Einordnung Ihrer Geschäftsbeziehung ist entscheidend, denn sie bestimmt, welche datenschutzrechtlichen Pflichten Sie treffen. Das Merkmal der Auftragsverarbeitung ist dabei klar: Sie als Auftraggeber behalten die Kontrolle über Zweck und Mittel der Datenverarbeitung, während Ihr Dienstleister die Daten ausschließlich weisungsgebunden für Sie verarbeitet.

Gemeinsame Verantwortlichkeit: Wenn beide Seiten mitentscheiden

Entscheiden beide Unternehmen gemeinsam über Zweck und Mittel der Verarbeitung, liegt keine Auftragsverarbeitung mehr vor, sondern eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 DSGVO. Ein Auftragsverarbeitungsvertrag ist dann nicht erforderlich. Dafür treffen beide Parteien neue Pflichten: Sie müssen eine Vereinbarung über die gemeinsame Verarbeitung von personenbezogenen Daten nach Art. 26 DSGVO abschließen. Wer das versäumt, riskiert Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO.

Fachfremde Dienstleistungen: Wenn jeder für sich entscheidet

Eine dritte Konstellation liegt vor, wenn beide Unternehmen unabhängig voneinander über Zwecke und Mittel der Verarbeitung entscheiden. Hier besteht weder eine Auftragsverarbeitung noch eine gemeinsame Verantwortlichkeit, ein Auftragsverarbeitungsvertrag ist nicht erforderlich.

Achtung: Entscheidend sind immer die tatsächlichen Gegebenheiten, nicht die vertragliche Bezeichnung. Unterzeichnen zwei Parteien einen Auftragsverarbeitungsvertrag, obwohl der Dienstleister die Daten in Wirklichkeit für eigene Zwecke verarbeitet, ändert das nichts an der rechtlichen Realität: Er wird als eigenständiger Verantwortlicher behandelt (Art. 28 Abs. 10 DSGVO), mit allen damit verbundenen Konsequenzen.

Warnsymbol in Form eines Dreiecks mit einem Ausrufezeichen und einem Punkt in der Mitte, in sanften Farben.

Manchmal ist die Situation eindeutig: Wenn beide Unternehmen vollständig unabhängig voneinander über Zwecke und Mittel der Datenverarbeitung entscheiden, liegt weder eine Auftragsverarbeitung noch eine gemeinsame Verantwortlichkeit vor. In diesem Fall brauchen Sie keinen Auftragsverarbeitungsvertrag.

Sonderfälle

Einsatz von Cloud- und/oder Wartungsdienstleistern

Auch wenn auf den ersten Blick keine klassische Auftragsverarbeitung vorliegt, beim Einsatz von Cloud-Diensten oder IT-Wartungsdienstleistern sollten Sie dennoch einen Auftragsverarbeitungsvertrag abschließen. Der Grund: Ein vollständiger Ausschluss des Datenzugriffs durch den Dienstleister ist in der Praxis häufig nicht möglich. Wer Zugriff auf Ihre Systeme hat, kann im Zweifel auch auf personenbezogene Daten zugreifen und verarbeitet diese damit im Sinne der DSGVO.

Die frühere ausdrückliche Regelung in § 11 Abs. 5 BDSG a.F. gibt es seit Einführung der DSGVO zwar nicht mehr, und in der Fachliteratur wird die Einordnung einzelner Konstellationen diskutiert. Die Aufsichtsbehörden gehen jedoch überwiegend davon aus, dass bei Cloud‑Anbietern sowie Fern‑ bzw. Systemwartungsdienstleistern bereits die Möglichkeit des Zugriffs auf personenbezogene Daten eine Auftragsverarbeitung begründet. Unsere klare Empfehlung: Schließen Sie in diesen Fällen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Denn der potenzielle Zugriff auf personenbezogene Daten begründet eine Verarbeitungssituation und damit eine besondere Schutzpflicht gegenüber den betroffenen Personen.

Konzerninterne Datenverarbeitung: Ein weit verbreiteter Irrtum

Viele Unternehmen gehen davon aus, dass innerhalb eines Konzerns andere Regeln gelten. Das ist ein Irrtum und kann teuer werden. Datenschutzrechtlich stehen die rechtlich eigenständigen Unternehmen eines Konzerns einander wie fremde Dritte gegenüber. Ein sogenanntes „allgemeines Konzernprivileg“ existiert nicht.

Das bedeutet: Auch wenn ein Konzernunternehmen zentrale Shared Services für andere Konzerngesellschaften erbringt, braucht es für die Datenübermittlung eine Rechtsgrundlage. Die gute Nachricht: Erfolgt die Übermittlung weisungsgebunden, genügt der Abschluss eines Auftragsverarbeitungsvertrags und Sie sind auf der sicheren Seite.

Eine Frau mit langen, braunen Haaren trägt einen schwarzen Pullover und einen blauen Blazer, lächelt und steht mit erhobener Hand.

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0
sales@intersoft-consulting.de
Termin vereinbaren

Häufige gestellte Fragen

Was ist der Mindestinhalt eines Auftragsverarbeitungsvertrag

Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an den Inhalt eines Auftragsverarbeitungsvertrages. Der Auftragsverarbeitungsvertrag muss Regelungen zu den im Gesetz aufgeführten Punkten treffen.

Hierzu zählen:

  • Art. 28 Abs. 3 DSGVO definiert die Mindestanforderungen an den Inhalt eines Auftragsverarbeitungsvertrages. Der Auftragsverarbeitungsvertrag muss Regelungen zu den im Gesetz aufgeführten Punkten treffen.
  • Hierzu zählen:
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Weisungsbefugnis des Verantwortlichen
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Genehmigungsbedürfnis und Mindeststandards bei Subunternehmern
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen
  • Unterstützung des Verantwortlichen bei Erfüllung der Meldepflicht von Datenschutzvorfällen und der Durchführung von Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Tückische Klauseln: Worauf sollten Sie bei der Vertragsprüfung achten?

Nicht jeder Auftragsverarbeitungsvertrag hält einer datenschutzrechtlichen Prüfung stand. Zwei Klauseln sind besonders problematisch:

Kostentragung bei Kontrolle: Manche Dienstleister versuchen, Kontrollkosten vertraglich auf Sie abzuwälzen. Das ist problematisch. Insbesondere dann, wenn dadurch die Ausübung Ihrer gesetzlichen Kontrollrechte faktisch ausgehöhlt oder unzumutbar erschwert wird. Die Datenschutzaufsichtsbehörden sehen solche Klauseln als kritisch an. Sonderkosten sind idealerweise bereits im Angebot einkalkuliert.

Pauschale Erlaubnis zur Unterbeauftragung: Klauseln, die eine generelle Unterbeauftragung erlauben, ohne Sie aktiv über konkrete Subunternehmer oder spätere Änderungen  zu informieren, verstoßen gegen Art. 28 Abs. 2 S. 2 DSGVO. Ihr Dienstleister ist verpflichtet, Sie proaktiv über jeden Subunternehmer zu informieren – ohne Wenn und Aber.

Gesamtschuldnerische Haftung bei der Auftragsverarbeitung: Wer haftet wofür?

Geht etwas schief, haften Auftraggeber und Auftragsverarbeiter gegenüber der betroffenen Person gemeinsam und in vollem Umfang so schreibt es Art. 82 Abs. 4 DSGVO vor. Das bedeutet: Die betroffene Person kann sich im Schadensfall an jede der beiden Parteien wenden und den vollständigen Schadensersatz einfordern.

Intern sieht die Haftungsverteilung differenzierter aus: Der Auftragsverarbeiter haftet nur für Verstöße gegen Pflichten, die ihm ausdrücklich in seiner Rolle als Auftragsverarbeiter auferlegt sind. Diese Einschränkung gilt jedoch ausschließlich im Innenverhältnis, nach außen hin bleibt die gesamtschuldnerische Haftung bestehen. Beide Parteien haben die Möglichkeit, sich zu entlasten. Dafür müssen sie nachweisen, dass sie keinerlei Verantwortung für den eingetretenen Schaden tragen.

Achtung – die Beweislast liegt bei Ihnen: Aufgrund der Dokumentationspflichten nach Art. 5 Abs. 2 DSGVO und Art. 82 Abs. 3 DSGVO gilt eine Beweislastumkehr. Die betroffene Person muss lediglich belegen, dass eine Verarbeitung stattfand, ein Schaden entstanden ist und die Verarbeitung geeignet war, diesen Schaden zu verursachen. Wer seine Datenverarbeitung nicht lückenlos dokumentiert, wird es im Streitfall kaum nachweisen können, datenschutzkonform gehandelt zu haben, mit potenziell folgenschweren Konsequenzen.

Was sind typische Fälle der Auftragsverarbeitung?

Typische Fälle, in denen eine Auftragsverarbeitung des Dienstleisters zu bejahen sein wird, sind etwa:

  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
  • Werbeadressenverarbeitung in einem Lettershop / Newsletter-Dienstleister
  • Datenträgerentsorgung durch Dienstleister
  • Kundenbetreuung durch Callcenter ohne wesentliche eigene Entscheidungsspielräume
  • Nutzung von Cloud-Computing
  • Shared Service Dienstleistungen innerhalb eines Konzerns (z.B. zentrale Lohnabrechnung)
  • Sicherheitsdienste, die Zugangskontrollen durchführen

Was sind typische Fälle für fachfremde Dienstleistungen?

Keine Auftragsverarbeitung liegt hingegen vor bei der Tätigkeit fachfremder Dienstleistungen wie etwa:

  • Postdienste, Transportunternehmen
  • Inkassobüros mit Forderungsübergang
  • Bankinstitute, Zahlungsdienstleister
  • Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer etc.)
  • Internet-Plattformanbieter zur Vermittlung von Anbietern und Interessenten
  • Versicherungs- und Finanzmakler
  • Personalvermittlung
  • Reinigungsdienstleistungen

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Ihre Angaben werden selbstverständlich vertraulich behandelt. intersoft consulting services sichert Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzugeben. Die Datenübertragung erfolgt verschlüsselt.
Eine Frau in einem dunkelblauen Blazer steht vor einem modernen Bürogebäude mit großen Fenstern.

Über Dr. Alina Weskamp-Nordmann

  • Dipl. Juristin
  • Master of Laws in Transnational Law
  • Datenschutzbeauftragte (TÜV‑zertifiziert)
  • Promotion im Bereich Softwarepatente
Weitere Beiträge vom Author

Wissenswertes zum Datenschutz

Bleiben Sie informiert und erfahren Sie alles Wichtige rund um den Schutz personenbezogener Daten.

Mehr Beiträge