kostenlos starten

Auftragsverarbeitung

Kaum ein Unternehmen kommt heute noch ohne externe Dienstleister aus – sei es für das Hosting der Website, die Lohnabrechnung oder den Versand von Newslettern. In vielen Fällen erhalten diese Dienstleister dabei auch Zugriff auf personenbezogene Daten. Genau hier wird ein zentraler Begriff der Datenschutz-Grundverordnung (DSGVO) relevant: die Auftragsverarbeitung.  

Doch wann liegt eine solche überhaupt vor – und wann nicht? Viele Verantwortliche kennen die Unterschiede nicht genau. Die Folge: rechtliche Risiken, Bußgelder oder unnötiger Aufwand. In diesem Artikel erfahren Sie alles, was Sie zu dem Thema wissen müssen. 


Sie setzen externe Dienstleister ein und wollen auf Nummer sicher gehen? Prüfen Sie jetzt mit // PRIMA, ob Ihre Verträge zur Auftragsverarbeitung DSGVO-konform sind – und vermeiden Sie rechtliche Risiken von Anfang an. Unser All-in-One-Tool wurde von Experten entwickelt und ermöglicht mit Vorlagen und Tutorials einen einfachen Einstieg in eine DSGVO-konforme Dokumentation. Jetzt 14 Tage kostenlos testen anfordern.  

Wer ist Auftragsverarbeiter im Sinne der DSGVO? 

Die DSGVO definiert den Begriff des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO. Danach ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Wichtig ist dabei: Der Auftragsverarbeiter entscheidet nicht selbst über Zweck und Mittel der Verarbeitung, sondern handelt ausschließlich nach den Vorgaben des Verantwortlichen. 

Typische Beispiele sind IT-Dienstleister, Hosting-Anbieter oder externe Callcenter. Diese Unternehmen stellen zwar die technische Infrastruktur oder erbringen Leistungen – sie entscheiden aber nicht selbst, was mit den Daten geschieht. Sie führen lediglich das aus, was der Verantwortliche vorgibt. 

Ein Auftragsverarbeiter hat also eine dienende Funktion. Er ist nicht „Herr der Daten“, sondern führt die Verarbeitung ausschließlich im Rahmen der Weisungen durch. Diese Weisungsgebundenheit ist das zentrale Kriterium für die rechtliche Einordnung. 

Demgegenüber steht der sogenannte Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Das ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet – zum Beispiel ein Unternehmen, das Kundendaten zur Vertragsabwicklung nutzt oder ein Arzt, der Patientendaten verarbeitet. 

Gut zu wissen 
Zur Abgrenzung hilft eine einfache Faustregel: Wer die Entscheidungen trifft, ist Verantwortlicher. Wer lediglich Daten verarbeitet, weil jemand anderes das vorgibt, ist Auftragsverarbeiter.
Diese Unterscheidung ist entscheidend, weil davon abhängt, wer welche Pflichten nach der DSGVO erfüllen muss. 

Pflichten des Verantwortlichen bei einer Auftragsverarbeitung  

Die DSGVO stellt hohe Anforderungen an den Verantwortlichen – also an die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Bevor personenbezogene Daten an einen Dienstleister übermittelt werden, muss der Verantwortliche prüfen, ob dieser die Anforderungen der DSGVO erfüllt. Nach Art. 28 Abs. 1 DSGVO darf nur ein Auftragsverarbeiter beauftragt werden, der ausreichende Garantien bietet, dass geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt wurden.  

Sobald feststeht, dass ein Dienstleister als Auftragsverarbeiter tätig wird, muss mit ihm ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden – und zwar vor Beginn der Datenverarbeitung. Dieser Vertrag regelt die Pflichten des Auftragsverarbeiters und gibt dem Verantwortlichen Kontrollrechte.  

Gut zu wissen: Die Verantwortung endet nicht mit dem Vertragsabschluss. Der Verantwortliche ist verpflichtet, die Einhaltung der Datenschutzvorgaben regelmäßig zu kontrollieren. Das kann durch Audits, technische Prüfungen oder Nachweise erfolgen. Auch Subunternehmer des Auftragsverarbeiters müssen mit einbezogen werden.  

Pflichten des Auftragsverarbeiters  

Auch der Auftragsverarbeiter trägt nach der DSGVO konkrete Pflichten. Diese ergeben sich in erster Linie aus Art. 28 Abs. 3 DSGVO, aber auch aus weiteren Normen wie Art. 29, Art. 32 und Art. 33 DSGVO. Der Auftragsverarbeiter handelt also im Auftrag – aber nicht ohne Verantwortung. 

Die wichtigste Pflicht des Auftragsverarbeiters ist es, die personenbezogenen Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen zu verarbeiten. Eigene Entscheidungen über Zweck oder Mittel der Verarbeitung sind unzulässig.  

Laut Art. 28 Abs. 3 lit. c DSGVO ist der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Diese Maßnahmen richten sich nach Art. 32 DSGVO und umfassen z. B. Pseudonymisierung und Verschlüsselung, Zugriffskontrollen, Maßnahmen zur Sicherstellung der Integrität und Verfügbarkeit oder Verfahren zur regelmäßigen Überprüfung der Datensicherheit. Die Umsetzung dieser Maßnahmen muss dokumentiert werden – etwa durch Zertifizierungen oder Sicherheitsberichte. 

Der Auftragsverarbeiter muss den Verantwortlichen aktiv unterstützen – etwa bei Anfragen betroffener Personen nach Art. 15–22 DSGVO (z. B. Auskunft, Löschungpflichten, Datenübertragbarkeit). Auch bei der Meldung von Datenschutzverletzungen (Art. 33 DSGVO) oder bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) besteht eine Mitwirkungspflicht. Diese Unterstützungspflichten müssen ausdrücklich im AV-Vertrag geregelt sein. Verletzt der Auftragsverarbeiter diese Pflichten, kann er ebenfalls haftbar gemacht werden.

Wann liegt eine Auftragsverarbeitung vor (DSGVO)? 

Eine Auftragsverarbeitung liegt immer dann vor, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag eines Verantwortlichen verarbeitet – und dabei keinen eigenen Entscheidungsspielraum über Zweck und Mittel der Datenverarbeitung hat. Diese Voraussetzung ergibt sich unmittelbar aus Art. 28 Abs. 1 DSGVO

Das bedeutet: Die bloße Weitergabe von Daten an Dritte reicht noch nicht aus. Entscheidend ist, wer die Kontrolle über die Daten behält. Wird der Dienstleister rein unterstützend tätig – zum Beispiel, um bestimmte Prozesse im Unternehmen zu ermöglichen – und bleibt die Verantwortung für die Daten vollständig beim Auftraggeber, spricht vieles für eine Auftragsverarbeitung. 

Ein klassisches Beispiel ist das Outsourcing von IT-Diensten. Wenn ein externer Anbieter die Kundendaten eines Unternehmens auf seinen Servern speichert, aber keinen Zugriff auf die Inhalte hat, keine eigenen Zwecke verfolgt und sich strikt an die Weisungen des Unternehmens hält, liegt in der Regel eine Auftragsverarbeitung vor. 

Anders sieht es aus, wenn der Dienstleister selbst entscheidet, wofür und wie die Daten genutzt werden – etwa für eigene Zwecke, zur Analyse oder zu Werbezwecken. In diesem Fall handelt es sich nicht mehr um eine Auftragsverarbeitung, sondern um eine eigene Verantwortlichkeit oder – in manchen Fällen – um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Das Wichtigste auf einen Blick:  
Eine Auftragsverarbeitung liegt vor, wenn 
-ein Dienstleister personenbezogene Daten verarbeitet
-dies ausschließlich im Auftrag eines Verantwortlichen tut, 
-und keine eigenen Zwecke mit der Verarbeitung verfolgt. 

Beispiele für eine Auftragsverarbeitung 

Um zu erkennen, wann eine Auftragsverarbeitung vorliegt, hilft ein Blick in die Praxis. Viele Geschäftsprozesse werden heute ausgelagert – und oft ist dabei nicht auf den ersten Blick klar, ob es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO handelt. Die folgenden Beispiele zeigen typische Fälle auf, in denen ein AV-Vertrag erforderlich ist. 

Cloud-Dienste und Webhosting 

Speichert ein Unternehmen personenbezogene Daten – etwa von Kunden oder Mitarbeitenden – bei einem externen Cloud-Anbieter oder auf gehosteten Servern, handelt dieser Dienstleister in der Regel als Auftragsverarbeiter. Gleiches gilt für Anbieter von Webhosting-Services, wenn sie Zugriff auf Datenbanken mit personenbezogenen Informationen haben. 

E-Mail-Marketing und CRM-Systeme 

Dienstleister, die den Versand von Newslettern übernehmen oder ein Customer-Relationship-Management (CRM)-System zur Verfügung stellen, verarbeiten oft im Auftrag personenbezogene Daten (z. B. E-Mail-Adressen, Kaufhistorien, Nutzerverhalten). Auch hier liegt typischerweise eine Auftragsverarbeitung vor – besonders wenn die Daten allein auf Weisung des Auftraggebers verarbeitet werden. 

Externe Lohn- und Gehaltsabrechnung 

Outsourcet ein Unternehmen die Lohnbuchhaltung an einen externen Dienstleister, werden hierbei regelmäßig Daten von Mitarbeitenden übermittelt – etwa Sozialversicherungsnummern, Kontodaten oder Steuerklassen. Diese Verarbeitung erfolgt im Auftrag des Unternehmens, sodass ein AV-Vertrag (AVV) notwendig ist. 

IT-Support und Systemadministration 

Wird einem externen IT-Dienstleister Zugriff auf interne Systeme gewährt – etwa zur Fernwartung oder für Updates –, kann dies ebenfalls eine Auftragsverarbeitung darstellen. Insbesondere dann, wenn der Zugriff nicht nur theoretisch besteht, sondern aktiv genutzt wird oder potenziell personenbezogene Daten umfasst. 

Callcenter-Dienstleistungen 

Auch beim Einsatz externer Callcenter zur Kundenbetreuung liegt häufig eine Auftragsverarbeitung vor – zum Beispiel, wenn das Callcenter Zugriff auf Kundendaten erhält und telefonischen Support im Namen des Unternehmens anbietet. 

Fazit 

Die Auftragsverarbeitung ist einer der zentralen Anwendungsbereiche der DSGVO – und gleichzeitig ein häufiger Risikofaktor in der täglichen Unternehmenspraxis. Wer externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss genau prüfen, welche Rolle der jeweilige Anbieter datenschutzrechtlich einnimmt: Auftragsverarbeiter, eigener Verantwortlicher oder gemeinsamer Verantwortlicher. 

Die Praxis zeigt: Eine saubere Dokumentation, klare Verträge und eine präzise Abgrenzung der Rollen sind wichtig für eine rechtssichere Zusammenarbeit. Wer das Thema frühzeitig prüft und professionell umsetzt, reduziert rechtliche Risiken erheblich – und stärkt das Vertrauen von Kunden, Mitarbeitenden und Partnern. 

Sie benötigen Hilfe in Sachen DSGVO? Datenschutz muss kein Risiko sein. Erstellen Sie jetzt mit // PRIMA DSGVO-konforme Dokumentationen und behalten Sie alle Pflichten in unserem All-in-One-Tool im Blick. Jetzt 14 Tage kostenlos testen anfordern.  

Weitere Beiträge

Auftragsverarbeitung

Kaum ein Unternehmen kommt heute noch ohne externe Dienstleister aus – sei es für

Betroffenenrechte in der Praxis – Anträge richtig bearbeiten

Unternehmen müssen Anfragen zu Auskunft, Löschung, Widerspruch oder Datenübertragbarkeit fristgerecht, vollständig und nachweisbar beantworten.

Betroffenenrechte im Datenschutzmanagement – So gelingt die Umsetzung in Ihrem Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte betroffener Personen. Es reicht nicht aus, Anfragen von

Betroffenenrechte in der DSGVO – Überblick und Pflichten

Die DSGVO verankert umfassende Rechte für Personen, deren Daten verarbeitet werden. Diese Betroffenenrechte sichern

Was sind Betroffenenrechte? Bedeutung & Überblick

Die Digitalisierung hat die Art und Weise, wie Daten verarbeitet werden revolutioniert. Gleichzeitig wurden

Phishing im Rahmen von Black Friday

Der Black Friday ist für viele Verbraucherinnen und Verbraucher ein Highlight – Unternehmen locken

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten

Datenschutzbeauftragter Pflicht – Wann ist ein Datenschutzbeauftragter nach DSGVO und BDSG erforderlich?

Datenschutzbeauftragter Pflicht – diese Frage beschäftigt viele Unternehmen seit Inkrafttreten der DSGVO. Nach der

Kosten Datenschutzbeauftragter – Interner vs. Externer DSB im transparenten Kostenvergleich

Wann ist ein Datenschutzbeauftragter verpflichtend? Ein DSB ist erforderlich, wenn u. a.: Er kann

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024