Auftragsverarbeitungsvertrag Deutschland

Der Auftragsverarbeitungsvertrag (AVV) in Deutschland (Germany) — auch Data Processing Agreement (DPA) oder Datenverarbeitungsvertrag genannt — ist ein nach DSGVO Art. 28 zwingend vorgeschriebenes Rechtsdokument, das zwischen dem Verantwortlichen (Controller) und dem Auftragsverarbeiter (Processor) abzuschliessen ist, wenn letzterer personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Das AVV ist damit eines der zentralen Compliance-Instrumente der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) und des Bundesdatenschutzgesetzes (BDSG) in Deutschland.

Die rechtliche Grundlage des Auftragsverarbeitungsvertrags ist DSGVO Art. 28 Abs. 3, der vorschreibt, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Art. 28 Abs. 3 legt einen Mindestinhaltskatalog fest, den das AVV enthalten muss: Weisungsgebundenheit des Auftragsverarbeiters, Vertraulichkeitspflicht, Sicherheitsmassnahmen (TOMs), Subauftragsverarbeiter-Regelungen, Unterstuetzungspflichten bei Betroffenenrechten, Loeschungs- und Rueckgabepflichten nach Vertragsende sowie Auditrechte.

Der Auftragsverarbeitungsvertrag ist in der deutschen Datenschutspraxis für eine Vielzahl von Konstellationen relevant: Jedes Unternehmen, das Cloud-Dienste (z.B. Microsoft 365, Google Workspace, Salesforce, AWS) nutzt, Daten an externe IT-Dienstleister, Steuerberater, Lohnbuchhalter, Druckereien, Newsletter-Dienstleister (Mailchimp, Brevo) oder sonstige externe Verarbeiter weitergibt, die im Auftrag und auf Weisung handeln, muss einen AVV abschliessen. Fehlt das AVV, liegt ein DSGVO-Verstoss vor, der nach Art. 83 Abs. 4 DSGVO mit Geldbussenn von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden kann. Die deutschen Datenschutzbehörden (Landesbeauftragte für Datenschutz und Informationsfreiheit, z.B. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht) haben in mehreren Bussgeldentscheidungen fehlende oder mangelhafte AVVs sanktioniert.

Der Auftragsverarbeitungsvertrag unterscheidet sich von der gemeinsamen Verantwortlichkeit (Joint Controllership) nach DSGVO Art. 26, bei der zwei oder mehr Verantwortliche gemeinsam uber Zweck und Mittel der Verarbeitung entscheiden. Beim AVV entscheidet ausschliesslich der Verantwortliche uber Zweck und Mittel; der Auftragsverarbeiter handelt strikt auf Weisung. Verarbeitet ein Dienstleister personenbezogene Daten auch für eigene Zwecke — etwa ein Analyse-Tool, das Daten für eigene Werbezwecke nutzt — liegt keine Auftragsverarbeitung mehr vor, sondern eigenverantwortliche Verarbeitung, für die der Auftragsverarbeiter selbst Verantwortlicher wird.

Die Europäische Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln (SCCs) für Auftragsverarbeitungsverhältnisse veröffentlicht (Durchführungsbeschluss (EU) 2021/915), die als Vorlage für AVVs bei Drittlandtransfers genutzt werden können. Der vorliegende Auftragsverarbeitungsvertrag basiert auf dem deutschen und europäischen Datenschutzrecht und ist für kleine und mittlere Unternehmen (KMU) optimiert.

Neben dem klassischen AVV zwischen zwei Unternehmen spielen Auftragsverarbeitungsverträge auch für Vereine, Behörden und öffentliche Stellen eine Rolle: Öffentliche Stellen müssen nach BDSG §62 bei der Beauftragung privater Dienstleister mit der Verarbeitung personenbezogener Daten ebenfalls einen AVV abschliessen. Die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzbehörden, hat Orientierungshilfen zum AVV veröffentlicht, die auf der Website der Datenschutzkonferenz (datenschutzkonferenz-online.de) abrufbar sind und praxisnahe Hinweise zur Ausgestaltung von Auftragsverarbeitungsverträgen enthalten.

Ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28 muss in Deutschland in folgenden Situationen abgeschlossen werden:

Nutzung von Cloud-Diensten und SaaS-Plattformen: Jede Nutzung von Cloud-Diensten, bei denen personenbezogene Daten (Kundendaten, Mitarbeiterdaten, Gesundheitsdaten) verarbeitet werden, erfordert einen AVV. Typische Konstellationen: Nutzung von Microsoft Azure, Google Cloud, Amazon AWS für Datenhosting; Nutzung von CRM-Systemen (Salesforce, HubSpot) mit Kundendaten; Nutzung von HR-Software (SAP SuccessFactors, Personio) für Mitarbeiterdaten; Nutzung von Buchhaltungssoftware (DATEV, lexoffice) mit Kunden- und Lieferantendaten.

E-Mail-Marketing und Newsletter: Unternehmen, die E-Mail-Marketing-Dienste (Mailchimp, Brevo/Sendinblue, CleverReach) nutzen und dabei personenbezogene Daten (E-Mail-Adressen, Namen) an diese Anbieter weitergeben, benötigen zwingend einen AVV. Die deutschen Datenschutzbehörden haben mehrfach klargestellt, dass die Nutzung von US-Diensten ohne AVV und ohne geeignete Drittlandtransfer-Grundlage (z.B. SCCs) einen DSGVO-Verstoss darstellt.

Externe IT-Dienstleister und Systemadministratoren: Wenn ein externes IT-Unternehmen Zugang zu Systemen hat, die personenbezogene Daten enthalten (Fernwartung, Server-Administration, Backup-Dienste), liegt Auftragsverarbeitung vor. Ein AVV ist zwingend abzuschliessen, bevor der IT-Dienstleister Zugang erhält.

Lohnbuchhaltung und Steuerberatung: Externe Lohnbuchhalter und Steuerberater, die Mitarbeiterdaten (Name, Gehalt, Sozialversicherungsnummer, Krankenversicherung) verarbeiten, sind Auftragsverarbeiter. Der Deutsche Steuerberaterverband (DStV) empfiehlt seinen Mitgliedern, standardisierte AVVs mit Mandanten zu schliessen.

Druckunternehmen und Lettershop: Wenn ein Unternehmen personalisierte Drucksachen (Serienbriefe mit Kundendaten) an eine Druckerei oder einen Lettershop weitergibt, handelt es sich um Auftragsverarbeitung. AVV erforderlich, bevor die Daten übermittelt werden.

Datenschutzrechtliche Überprüfung: Das Fehlen eines AVV kann von der zuständigen Datenschutzbehörde aufgedeckt werden — bei Beschwerden von Betroffenen (DSGVO Art. 77), bei Datenpannen (Art. 33) oder bei anlasslosen Kontrollen. Sanktionen nach Art. 83 DSGVO können erheblich sein.

Apps und Mobile-Anwendungen: Wenn ein Unternehmen eine Mobile App entwickelt oder betreibt, bei der personenbezogene Nutzerdaten verarbeitet werden, und dabei externe Dienste (Push-Notification-Provider, Analytics-Dienste wie Firebase oder Adjust) einbindet, sind mit diesen Dienstleistern AVVs abzuschliessen. Das Fehlen eines AVV mit einem Analytics-Dienst war Gegenstand mehrerer Entscheidungen der deutschen Datenschutzbehörden, darunter des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).

Der Auftragsverarbeitungsvertrag nach DSGVO Art. 28 Abs. 3 muss folgende Pflichtbestandteile enthalten:

1. Weisungsgebundenheit (Art. 28 Abs. 3 lit. a): Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten; eigenmächtige Verarbeitungen für eigene Zwecke sind verboten. Weisungen müssen schriftlich dokumentiert werden; mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Der Auftragsverarbeiter muss den Verantwortlichen informieren, wenn er der Ansicht ist, eine Weisung verstosse gegen DSGVO (Art. 28 Abs. 3 lit. h).

2. Vertraulichkeitspflicht (Art. 28 Abs. 3 lit. b): Alle Personen, die beim Auftragsverarbeiter Zugang zu den Daten haben, müssen auf Vertraulichkeit verpflichtet sein oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (z.B. Berufsgeheimnisträger nach StGB §203).

3. Technisch-organisatorische Massnahmen (TOMs) nach Art. 32 DSGVO: Der AVV muss die konkreten Sicherheitsmassnahmen des Auftragsverarbeiters beschreiben oder als Anlage beifügen. TOMs umfassen: Zugangs- und Zugriffskontrolle, Verschlüsselung (z.B. AES-256 für gespeicherte Daten, TLS 1.3 für Datenübertragung), Pseudonymisierung, Integritätssicherung, Verfugbarkeit und Belastbarkeit. Das Portal forms-legal.com stellt diesen Muster-AVV für KMU als Ausgangspunkt bereit, der auf die individuellen TOMs des Auftragsverarbeiters angepasst werden muss.

4. Regelungen zu Subauftragsverarbeitern (Art. 28 Abs. 2, 4): Der AVV muss festlegen, ob der Auftragsverarbeiter Subauftragsverarbeiter einsetzen darf (allgemeine oder spezifische Genehmigung) und wie der Verantwortliche informiert wird. Subauftragsverarbeiter müssen ebenfalls durch einen AVV mit dem gleichen Schutzniveau eingebunden werden (Art. 28 Abs. 4).

5. Unterstuetzungspflichten bei Betroffenenrechten (Art. 28 Abs. 3 lit. e-f): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfullung von Betroffenenrechten (Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17, Einschränkung Art. 18, Datenportabilität Art. 20, Widerspruch Art. 21) sowie bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

6. Datenpannenmeldung (Art. 28 Abs. 3 lit. f, Art. 33): Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich (in der Praxis: innerhalb von 24-48 Stunden) uber Verletzungen des Schutzes personenbezogener Daten informieren, damit der Verantwortliche seine 72-Stunden-Meldefrist nach Art. 33 gegenüber der Datenschutzbehörde einhalten kann.

7. Loeschungs- und Rueckgabepflichten nach Vertragsende (Art. 28 Abs. 3 lit. g): Nach Beendigung des AVV muss der Auftragsverarbeiter nach Wahl des Verantwortlichen alle Daten löschen oder zurückgeben und bestehende Kopien löschen, sofern kein gesetzlicher Aufbewahrungsauftrag entgegensteht.

8. Auditrechte (Art. 28 Abs. 3 lit. h): Der Verantwortliche hat das Recht, die Einhaltung des AVV durch den Auftragsverarbeiter zu überprüfen — durch eigene Inspektionen oder durch einen Dritten; Audits sind rechtzeitig anzukündigen und auf das erforderliche Mass zu beschranken.

9. Datenschutz-Folgenabschätzung (DSFA): Wenn die Verarbeitungstaetigkeit voraussichtlich ein hohes Risiko für betroffene Personen birgt, muss der Verantwortliche nach DSGVO Art. 35 eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Der Auftragsverarbeiter ist nach Art. 28 Abs. 3 lit. f DSGVO verpflichtet, den Verantwortlichen bei der DSFA zu unterstützen und alle relevanten Informationen zur Verarbeitung und zu den TOMs bereitzustellen. Der AVV sollte festlegen, wie diese Unterstützung in der Praxis geleistet wird und in welcher Frist der Auftragsverarbeiter auf DSFA-Anfragen reagiert.

Den Auftragsverarbeitungsvertrag schliessen Verantwortlicher und Auftragsverarbeiter gemeinsam ab. So gehen Sie vor:

Schritt 1 — Prüfen Sie, ob Auftragsverarbeitung vorliegt: Nicht jede Weitergabe von Daten an Dritte ist Auftragsverarbeitung. Prufen Sie: Handelt der Dritte ausschliesslich auf Ihre Weisung? Verarbeitet er die Daten nicht für eigene Zwecke? Wenn ja, liegt Auftragsverarbeitung vor und ein AVV ist Pflicht nach DSGVO Art. 28. Wenn der Dritte die Daten auch für eigene Zwecke nutzt, ist er eigenverantwortlicher Dritter (Art. 4 Nr. 10 DSGVO) und ein AVV genügt nicht.

Schritt 2 — Verantwortlichen und Auftragsverarbeiter identifizieren: Tragen Sie die vollständigen Angaben beider Parteien ein: Firmenname, Anschrift, Kontaktdaten des Datenschutzbeauftragten (DSB) nach DSGVO Art. 37 (sofern bestellt; bei Unternehmen mit mehr als 20 mitarbeitenden Beschäftigten in der regel-massigen automatisierten Verarbeitung nach BDSG §38 Pflicht). Prufen Sie, ob der Auftragsverarbeiter einen DSB benannt hat, da dies Aufschluss über seine Datenschutzkompetenz gibt.

Schritt 3 — Verarbeitungsgegenstand beschreiben: Beschreiben Sie prazise Zweck, Art, Gegenstand und Dauer der Auftragsverarbeitung sowie die Kategorien betroffener Personen und die Kategorien personenbezogener Daten. Unprazise Beschreibungen (»Datenverarbeitung im Rahmen der Geschaftsbeziehung«) genügen den Art. 28-Anforderungen nicht und erhohen das Risiko einer Bussgeldentscheidung.

Schritt 4 — TOMs des Auftragsverarbeiters prüfen und dokumentieren: Fordern Sie vom Auftragsverarbeiter eine aktuelle Beschreibung seiner technisch-organisatorischen Massnahmen (TOMs) an und prüfen Sie, ob diese dem Stand der Technik nach Art. 32 DSGVO entsprechen. Für Cloud-Dienste sind Zertifizierungen wie ISO/IEC 27001:2022, BSI C5:2020 oder SOC 2 Type II besonders relevant.

Schritt 5 — Drittlandtransfer regeln: Wenn der Auftragsverarbeiter oder Subauftragsverarbeiter personenbezogene Daten ausserhalb der EU/des EWR verarbeitet (z.B. US-Cloud-Anbieter), muss ein geeignetes Instrument für den Drittlandtransfer vorhanden sein: Angemessenheitsbeschluss der EU-Kommission (z.B. EU-US Data Privacy Framework für die USA, Beschluss vom 10.07.2023), EU-Standardvertragsklauseln (SCCs, Durchführungsbeschluss 2021/914) oder Binding Corporate Rules (BCR). Ohne geeignetes Instrument ist der Drittlandtransfer nach Art. 44 DSGVO unzulässig.

Schritt 6 — Subauftragsverarbeiter-Modell festlegen: Vereinbaren Sie im AVV, ob der Auftragsverarbeiter Subauftragsverarbeiter (»allgemeine Genehmigung« mit 30 Tage Vorankündigungspflicht oder »spezifische Genehmigung« für jeden einzelnen Subauftragsverarbeiter) einsetzen darf. Fordern Sie eine aktuelle Liste der Subauftragsverarbeiter an.

Schritt 7 — AVV unterzeichnen und archivieren: Beide Parteien unterzeichnen den AVV; er kann auch in elektronischer Form (z.B. qualifizierte elektronische Signatur nach eIDAS-VO oder schriftliche Form per E-Mail, wenn die Parteien dies so vereinbaren) abgeschlossen werden. Den AVV archivieren Sie fünf Jahre uber das Vertragsende hinaus, da er bei Datenschutzbehördenkontrollen oder Klagen nach DSGVO Art. 82 (Schadenersatz) als Nachweis dient.

Der Auftragsverarbeitungsvertrag unterliegt in Deutschland einem komplexen Normgeflecht aus EU-Datenschutzrecht und nationalem Recht:

DSGVO (Datenschutz-Grundverordnung, EU 2016/679): Kernnorm ist Art. 28, der den Mindestinhalt des AVV vorschreibt. Art. 28 Abs. 1: Verantwortlicher darf nur Auftragsverarbeiter einsetzen, die hinreichende Garantien bieten; Art. 28 Abs. 3: Mindestinhaltskatalog des AVV; Art. 28 Abs. 4: AVV für Subauftragsverarbeiter; Art. 28 Abs. 9: Vertrag kann in elektronischer Form geschlossen werden. Art. 32 DSGVO (technisch-organisatorische Massnahmen); Art. 33 (Meldepflicht bei Datenpannen gegenüber Aufsichtsbehörde, 72 Stunden); Art. 34 (Benachrichtigung betroffener Personen); Art. 35 (Datenschutz-Folgenabschätzung — DSFA); Art. 44-49 (Drittlandtransfer); Art. 82 (Schadenersatz bei Datenschutzverstössen); Art. 83 Abs. 4 (Bussgelder bis 10 Mio. EUR oder 2% Weltjahresumsatz für AVV-Verstosse).

BDSG (Bundesdatenschutzgesetz 2018): BDSG §38 (Pflicht zur Benennung eines Datenschutzbeauftragten — bei Unternehmen mit in der Regel mindestens 20 Beschäftigten, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind); BDSG §62 (Auftragsverarbeitung durch öffentliche Stellen — erganzt DSGVO für den öffentlichen Sektor); BDSG §§88-91 (besondere Vorschriften für Telekommunikation und Tele-medien).

Standard-Datenschutzklauseln (SCCs): Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 der EU-Kommission enthalt neue SCCs für Auftragsverarbeitungsverhältnisse und den Drittlandtransfer. Für Drittlandtransfers in Länder ohne Angemessenheitsbeschluss sind SCCs das haufigste Transferinstrument. SCCs können dem AVV als Anlage beigefügt werden.

Rechtsprechung und Aufsichtspraxis: EuGH C-311/18 (Schrems II, 16.07.2020) — hat Privacy Shield für US-Datentransfers für ungultig erklart und SCCs als Transferinstrument bestätigt, jedoch mit Prüfpflicht des Verantwortlichen; EuGH C-683/21 (25.01.2024) — zur gemeinsamen Verantwortlichkeit; Berliner Datenschutzbehörde (19.01.2021) — Bussgeld 14,5 Mio. EUR gegen Deutsche Wohnen wegen fehlerhafter Löschkonzepte (kein direkter AVV-Bezug, aber zeigt Sanktionsbereitschaft).

Orientierungshilfe der DSK: Die Datenschutzkonferenz (DSK) hat mehrere Orientierungshilfen zu AVVs veröffentlicht, die klären, welche Dienste Auftragsverarbeiter sind und welchen Mindestinhalt ein wirksamer AVV haben muss. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seiner Aufsichtspraxis mehrfach klargestellt, dass AVVs mit US-Anbietern ohne Drittlandtransfer-Mechanismus nach DSGVO Art. 44 unzulässig sind. forms-legal.com empfiehlt, AVVs mit allen wesentlichen Dienstleistern jährlich zu überprüfen und anzupassen.

Bei der Erstellung von Auftragsverarbeitungsverträgen in Deutschland treten folgende typische Fehler auf:

Fehler 1 — Kein AVV mit US-Cloud-Diensten abgeschlossen: Der haufigste Fehler in der Praxis ist die Nutzung von US-Cloud-Diensten (Microsoft 365, Google Workspace, Slack, Zoom, Mailchimp) ohne AVV. Grosse Cloud-Anbieter stellen standardisierte AVVs bereit, die in den Nutzungsbedingungen verlinkt oder als gesondertes Dokument abrufbar sind. Viele Unternehmen ubersehen, dass diese AVVs aktiv angenommen werden müssen.

Fehler 2 — Unzureichende TOM-Beschreibung: Viele AVVs enthalten nur allgemeine Floskeln zu TOMs ('angemessene Sicherheitsmassnahmen') ohne konkrete Angaben zu Verschlüsselungsstandards, Zugangskontrollen oder Zertifizierungen. Art. 32 DSGVO verlangt eine dem Risiko angemessene Sicherheit; im AVV muss beschrieben sein, wie der Auftragsverarbeiter dies gewährleistet. Fordern Sie vom Auftragsverarbeiter ein aktuelles TOM-Dokument und prüfen Sie es kritisch.

Fehler 3 — Drittlandtransfer ohne Rechtsgrundlage: Wenn der Auftragsverarbeiter oder ein Subauftragsverarbeiter personenbezogene Daten ausserhalb der EU/EWR verarbeitet (z.B. Serverstandort USA, Indien oder andere Drittstaaten), muss eine geeignete Transfergrundlage nach Art. 44-49 DSGVO bestehen. Fehlt diese, liegt ein schwerwiegender DSGVO-Verstoss vor, der von der Datenschutzbehörde als besonders schwer gewertet wird.

Fehler 4 — Veralteter oder nicht aktualisierter AVV: DSGVO und Datenschutzrecht entwickeln sich weiter; AVVs mussen regelmässig aktualisiert werden, wenn sich Verarbeitungsgegenstand, TOMs oder Subauftragsverarbeiter ändern. forms-legal.com empfiehlt, AVVs jahrlich zu überprüfen und bei wesentlichen Änderungen anzupassen.

Fehler 5 — AVV nicht schriftlich archiviert: Nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) muss der Verantwortliche nachweisen können, dass er einen wirksamen AVV abgeschlossen hat. Viele Unternehmen verlassen sich auf mündliche Zusagen oder nicht unterschriebene E-Mail-Korrespondenz. Stellen Sie sicher, dass alle AVVs unterzeichnet und mindestens fünf Jahre nach Vertragsende archiviert werden.

Fehler 6 — Fehlendes Verzeichnis von Verarbeitungstätigkeiten: Nach DSGVO Art. 30 muss jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen. Das Verzeichnis muss die Namen und Kontaktdaten aller eingesetzten Auftragsverarbeiter enthalten (Art. 30 Abs. 1 lit. d DSGVO). Viele Unternehmen pflegen ihr Verarbeitungsverzeichnis nicht regelmässig und vergessen neue Auftragsverarbeiter einzutragen. forms-legal.com empfiehlt, das Verarbeitungsverzeichnis bei jedem neuen AVV-Abschluss sofort zu aktualisieren.