Compliance-Lexikon · DSGVO
Auftragsverarbeitung
auch: AVV, Auftragsverarbeitungsvertrag, Data Processing Agreement (DPA)
Auftragsverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen Dienstleister (Auftragsverarbeiter) im Auftrag und nach Weisung des Verantwortlichen -- geregelt durch einen verbindlichen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
Warum Auftragsverarbeitung wichtig ist
Jedes Unternehmen, das personenbezogene Daten an Dienstleister weitergibt -- Cloud-Anbieter, E-Mail-Marketing-Plattformen, HR-Systeme, externe IT-Dienstleister -- ist verpflichtet, einen Auftragsverarbeitungsvertrag abzuschliessen. Ohne AVV liegt eine unzulaessige Datenweitergabe vor, die als Datenpanne meldepflichtig sein kann und Bussgeldrisiken traegt. In Audits und bei Datenschutzbehoerden ist das fehlende oder mangelhafte AVV einer der haeufigsten Befunde.
Wo Auftragsverarbeitung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 28 | Auftragsverarbeiter: Vertrag ueber Auftragsverarbeitung ist Pflicht, AVV muss alle in Art. 28 Abs. 3 genannten Inhalte enthalten. |
| DSGVO | Art. 29 | Weisungsgebundenheit: Auftragsverarbeiter darf Daten nur nach Weisung des Verantwortlichen verarbeiten. |
| DSGVO | Art. 30 Abs. 2 | Verzeichnis der Verarbeitungstaetigkeiten: Auftragsverarbeiter muss eigenes VVT fuehren. |
| DSGVO | Art. 44ff. | Drittlandsuebermittlung: Bei Auftragsverarbeitern in Drittlaendern gelten Zusatzanforderungen (SCCs, Angemessenheitsbeschluss). |
| BDSG | § 62 ff. | Ergaenzende nationale Regelungen zur Auftragsverarbeitung in Deutschland. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein AVV mit Cloud-Anbietern (AWS, Microsoft 365, Google Workspace)
- AVV existiert, enthaelt aber nicht alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
- Auftragsverarbeiter in Drittlaendern ohne Standardvertragsklauseln
- Kein Verzeichnis aller Auftragsverarbeiter
Pflichtinhalte eines AVV nach Art. 28 Abs. 3 DSGVO
Ein AVV muss mindestens regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen. Darueber hinaus muss der AVV verpflichten: Verarbeitung nur nach Weisung, Vertraulichkeitsverpflichtung der Mitarbeiter, technisch-organisatorische Massnahmen (TOMs), Einsatz von Unterauftragsverarbeitern nur mit Genehmigung, Unterstuetzung bei Betroffenenrechten und Datenpannen, Rueckgabe oder Loeschung der Daten nach Auftragsende, Mitwirkung bei Audits.
Abgrenzung: Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit
Nicht jede Datenweitergabe an Dritte ist Auftragsverarbeitung. Bei gemeinsamer Verantwortlichkeit (Joint Controllership, Art. 26 DSGVO) bestimmen zwei Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung -- hier ist statt eines AVV eine Vereinbarung nach Art. 26 DSGVO erforderlich. Die Unterscheidung ist praxisrelevant: Wer irrtuemlicherweise einen AVV abschliesst, wo eine Art.-26-Vereinbarung geboten waere, hat die falsche Rechtsgrundlage.
Naechste Ebene
Auftragsverarbeitung in der Praxis: Audit-Anforderungen und AVV-Checkliste
Was Datenschutzbehoerden und Auditoren pruefen -- AVV-Inhalte, Drittlandsthematik und Evidence.