Data Processing Agreement (DPA) Germany
DSGVO Art. 28 | BDSG §26 | TOMs nach Art. 32 DSGVO
Data Processing Agreement (AVV)
AUFTRAGSVERARBEITUNGSVERTRAG (AVV) gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO, EU 2016/679) zwischen [Verantwortlicher] [Verantwortlicher-Anschrift] Datenschutzbeauftragter: [DSB-Verantwortlicher] — nachfolgend "Verantwortlicher" genannt — und [Auftragsverarbeiter] [Auftragsverarbeiter-Anschrift] Datenschutzbeauftragter/Datenschutzkontakt: [DSB-Auftragsverarbeiter] — nachfolgend "Auftragsverarbeiter" genannt — wird folgender Auftragsverarbeitungsvertrag geschlossen:
§1 Subject of Processing
§1 GEGENSTAND, DAUER UND ART DER AUFTRAGSVERARBEITUNG 1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf dokumentierte Weisung des Verantwortlichen gemäß Art. 28 Abs. 3 DSGVO. 1.2 Zweck der Auftragsverarbeitung: [Verarbeitungszweck] 1.3 Kategorien personenbezogener Daten: [Datenkategorien] 1.4 Kategorien betroffener Personen: [Betroffenengruppen] 1.5 Dauer der Auftragsverarbeitung: [Vertragslaufzeit] 1.6 Drittlandtransfer: [Drittlandtransfer]
§2 Instructions and Obligations
§2 WEISUNGEN UND PFLICHTEN DES AUFTRAGSVERARBEITERS 2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen nach Art. 28 Abs. 3 lit. a DSGVO. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. 2.2 Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich mit, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 lit. h DSGVO). 2.3 Alle zur Verarbeitung befugten Personen des Auftragsverarbeiters wurden auf Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht (Art. 28 Abs. 3 lit. b DSGVO). 2.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Rechte betroffener Personen nach Art. 12–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) innerhalb einer angemessenen Frist.
§3 Technical and Organisational Measures
§3 TECHNISCH-ORGANISATORISCHE MAßNAHMEN (TOMs) NACH ART. 32 DSGVO 3.1 Der Auftragsverarbeiter trifft folgende technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Verschlüsselung: [Verschlüsselung] Zugangs- und Zugriffskontrolle: [Zugangssteuerung] Sicherheitszertifizierungen: [Zertifizierungen] 3.2 Die TOMs orientieren sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) — IT-Grundschutz-Kompendium (Edition 2023) und BSI C5:2020 Cloud Computing Compliance Criteria Catalogue. 3.3 Der Auftragsverarbeiter ist berechtigt und verpflichtet, die TOMs dem Stand der Technik anzupassen (Art. 32 Abs. 1 DSGVO), solange das Schutzniveau nicht unterschritten wird.
§4 Sub-processors
§4 SUBAUFTRAGSVERARBEITER 4.1 Der Auftragsverarbeiter setzt folgende Subauftragsverarbeiter ein: [Subauftragnehmer] 4.2 Genehmigungsmodell: [Genehmigungsmodell] 4.3 Subauftragsverarbeiter dürfen personenbezogene Daten nur auf Grundlage eines AVV einsetzen, der dem vorliegenden Vertrag mindestens gleichwertige Datenschutzpflichten auferlegt (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Erfüllung der Pflichten durch den Subauftragsverarbeiter.
§5 Data Breach
§5 DATENPANNEN UND MELDEPFLICHTEN NACH ART. 33–34 DSGVO 5.1 Der Auftragsverarbeiter informiert den Verantwortlichen über festgestellte Datenpannen (Verletzungen des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 DSGVO): [Meldefrist] 5.2 Meldekontakt des Verantwortlichen: [Meldekontakt] 5.3 Die Meldung muss mindestens folgende Informationen enthalten: Art der Datenpanne; Kategorien und ungefähre Zahl betroffener Personen; Kategorien und ungefähre Zahl betroffener Datensätze; voraussichtliche Folgen; ergriffene oder vorgeschlagene Maßnahmen zur Behebung (Art. 33 Abs. 3 DSGVO). 5.4 Der Auftragsverarbeiter dokumentiert alle Datenpannen nach Art. 33 Abs. 5 DSGVO und macht diese Dokumentation dem Verantwortlichen auf Verlangen zugänglich.
§6 Deletion and Return
§6 LÖSCHUNG UND RÜCKGABE NACH VERTRAGSENDE 6.1 Nach Beendigung dieses AVV löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück und löscht bestehende Kopien, sofern nicht eine unionsrechtliche oder mitgliedstaatliche Rechtsvorschrift die weitere Speicherung vorschreibt (Art. 28 Abs. 3 lit. g DSGVO). 6.2 Die Löschung ist schriftlich zu bestätigen und innerhalb von 30 Tagen nach Vertragsende durchzuführen. §7 AUDITRECHTE 7.1 Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO) — durch eigene Inspektionen oder durch einen vom Verantwortlichen beauftragten unabhängigen Prüfer. Audits sind mit einer Frist von mindestens 14 Tagen anzukündigen und auf das erforderliche Maß zu beschränken. [Vertragsort], den [Vertragsdatum] ___________________________ [Verantwortlicher] (Verantwortlicher) ___________________________ [Auftragsverarbeiter] (Auftragsverarbeiter)
Verantwortlicher
________________
Signature
Auftragsverarbeiter
________________
Signature
What Is a Data Processing Agreement (DPA) Germany?
Der Auftragsverarbeitungsvertrag (AVV) in Deutschland — auch als Datenverarbeitungsvertrag oder Data Processing Agreement (DPA) bezeichnet — ist ein zwingend vorgeschriebenes Rechtsinstrument nach Art. 28 der Datenschutz-Grundverordnung (DSGVO, EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016), das immer dann abgeschlossen werden muss, wenn ein Verantwortlicher (Controller) personenbezogene Daten durch einen Auftragsverarbeiter (Processor) verarbeiten lässt. Die DSGVO gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten einschließlich Deutschland und wird durch das Bundesdatenschutzgesetz (BDSG) in der Fassung vom 30. Juni 2017 (BGBl. I S. 2097) ergänzt.
Der AVV dokumentiert das sogenannte Auftragsverarbeitungsverhältnis: Der Verantwortliche bestimmt Zweck und Mittel der Datenverarbeitung; der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Diese strikte Weisungsgebundenheit unterscheidet den Auftragsverarbeiter von einem eigenständigen datenschutzrechtlichen Verantwortlichen. Nach Art. 28 Abs. 3 DSGVO muss der AVV mindestens folgende Inhalte haben: Gegenstand, Dauer, Art und Zweck der Verarbeitung; Art der personenbezogenen Daten und Kategorien betroffener Personen; die Pflichten und Rechte des Verantwortlichen; Weisungsrecht des Verantwortlichen; Vertraulichkeitspflicht des Auftragsverarbeiters und seiner Mitarbeiter; technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO; Regelungen zu Subauftragsverarbeitern nach Art. 28 Abs. 2 DSGVO; Unterstützungspflichten bei Betroffenenrechten (Art. 12–22 DSGVO); Meldepflichten bei Datenpannen nach Art. 33–34 DSGVO; Lösch- oder Rückgabepflichten; Auditrechte des Verantwortlichen.
In Deutschland überwachen die 16 Landesdatenschutzbehörden (Landesbeauftragte für den Datenschutz, z.B. der Bayerische Landesbeauftragte für den Datenschutz, BayLfD; der Berliner Beauftragte für Datenschutz und Informationsfreiheit, BlnBDI; der Hessische Beauftragte für Datenschutz und Informationsfreiheit, HBDI) sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Einhaltung der DSGVO. Das Fehlen eines wirksamen AVV kann nach Art. 83 Abs. 4 DSGVO mit Geldbußen bis zu 10.000.000,00 Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens geahndet werden — je nachdem, welcher Betrag höher ist.
Typische Konstellationen der Auftragsverarbeitung in Deutschland, für die ein AVV erforderlich ist: Cloud-Dienste (SaaS, IaaS, PaaS) bei Anbietern wie AWS (Rechenzentren Frankfurt, AWS EMEA SARL), Microsoft Azure (Rechenzentren Frankfurt und Berlin), Google Cloud Platform; Lohn- und Gehaltsabrechnung durch externe Dienstleister (Datev eG, Lexware); E-Mail-Marketing und Newsletter-Tools (Mailchimp, CleverReach); IT-Support und Fernwartung; Marktforschung und Meinungsumfragen; Call-Center-Dienstleistungen; Aktenvernichtung und Datenschredder. Gemäß Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur Auftragsverarbeiter einsetzen, die hinreichende Garantien bieten, dass geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO durchgeführt werden und die Verarbeitung DSGVO-konform erfolgt.
When Do You Need a Data Processing Agreement (DPA) Germany?
Der Auftragsverarbeitungsvertrag in Deutschland ist immer dann erforderlich, wenn ein Unternehmen oder eine Behörde (als Verantwortlicher nach Art. 4 Nr. 7 DSGVO) personenbezogene Daten von natürlichen Personen an einen externen Dienstleister (Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO) zur Verarbeitung übergibt. Wichtig: Der AVV ist kein optionales Gestaltungsmittel, sondern eine gesetzliche Pflicht — seine Nichterfüllung stellt eine eigenständige Datenschutzverletzung dar, die unmittelbar bußgeldbewehrt ist.
Cloud Computing und SaaS-Dienste: Jede Nutzung von Cloud-Diensten zur Verarbeitung personenbezogener Daten erfordert einen AVV. Dies betrifft CRM-Systeme (Salesforce, HubSpot), ERP-Systeme (SAP Cloud, Microsoft Dynamics 365), HR-Software (Personio, Workday), Videokonferenz-Tools (Zoom, Microsoft Teams, Google Meet) und Buchhaltungssoftware (Lexoffice, DATEV). Die Datenschutzkonferenz (DSK) — das Gremium der deutschen Landesdatenschutzbehörden — hat in verschiedenen Beschlüssen die Anforderungen an Cloud-AVV konkretisiert.
Lohn- und Gehaltsabrechnung: Externe Lohnbuchhaltungsbüros und Steuerberater (StB), die im Auftrag von Unternehmen Lohnabrechnungen erstellen und dabei auf Arbeitnehmerdaten (Name, Adresse, Steueridentifikationsnummer, Sozialversicherungsnummer, Bankverbindung, Krankheitsdaten) zugreifen, sind Auftragsverarbeiter. Nach BDSG §26 genießen Beschäftigtendaten besonderen Schutz — der AVV muss dies berücksichtigen.
Webseiten-Dienstleistungen und Online-Marketing: Google Analytics 4 (GA4), Meta Pixel (Facebook Pixel), Hotjar und ähnliche Web-Analyse-Tools erheben personenbezogene Daten (IP-Adressen, Cookie-IDs, Nutzungsprofile). Soweit diese Tools im Auftrag des Webseitenbetreibers handeln, ist ein AVV abzuschließen; bei eigenverantwortlicher Verarbeitung durch den Plattformanbieter liegt hingegen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor — die Abgrenzung ist im Einzelfall zu prüfen.
Gesundheitssektor: Praxisverwaltungssoftware, Abrechnungsdienstleister und telemedizinische Plattformen verarbeiten besonders schutzwürdige Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Für diese Kategorie sind über den AVV hinaus zusätzliche Anforderungen nach Art. 9 Abs. 2 lit. h DSGVO und dem Patientenrechtegesetz (PatRG, §630f BGB) zu erfüllen.
Öffentliche Verwaltung und Behörden: Auch Behörden auf Bundes- und Landesebene sind zur DSGVO-Konformität verpflichtet. Wenn z.B. ein Kommunalverwaltungssystem durch einen IT-Dienstleister betrieben wird, ist ein AVV nach Art. 28 DSGVO i.V.m. dem jeweiligen Landesdatenschutzgesetz (z.B. Bayerisches Datenschutzgesetz, BayDSG; Berliner Datenschutzgesetz, BlnDSG) abzuschließen.
Drittlandtransfers (Art. 44–49 DSGVO): Werden Daten an Auftragsverarbeiter in Drittstaaten (außerhalb der EU/des EWR) übermittelt, muss der AVV durch EU-Standarddatenschutzklauseln (SCC — Standard Contractual Clauses, Durchführungsbeschluss EU 2021/914 der Kommission vom 4. Juni 2021) oder durch ein angemessenes Schutzniveau nach Art. 45 DSGVO (z.B. EU-US Data Privacy Framework, Angemessenheitsbeschluss der Kommission vom 10. Juli 2023) ergänzt werden.
What to Include in Your Data Processing Agreement (DPA) Germany
Ein wirksamer Auftragsverarbeitungsvertrag (AVV) in Deutschland muss nach Art. 28 Abs. 3 DSGVO alle gesetzlich vorgeschriebenen Mindestinhalte abdecken und zusätzlich den Anforderungen der deutschen Datenschutzbehörden und der Datenschutzkonferenz (DSK) entsprechen.
Parteien und Definitionen (Art. 4 DSGVO): Der AVV benennt klar den Verantwortlichen (Controller), den Auftragsverarbeiter (Processor) und — falls eingesetzt — Subauftragsverarbeiter (Sub-Processors). Die Definitionen von "personenbezogenen Daten" (Art. 4 Nr. 1 DSGVO), "Verarbeitung" (Art. 4 Nr. 2 DSGVO), "Datenpanne" (Art. 4 Nr. 12 DSGVO) und "betroffener Person" (Art. 4 Nr. 1 DSGVO) sind zu verwenden.
Gegenstand, Art, Zweck und Dauer der Verarbeitung (Art. 28 Abs. 3 DSGVO): Der AVV beschreibt präzise, welche personenbezogenen Daten (z.B. Name, E-Mail-Adresse, Kaufhistorie) von welchen Kategorien betroffener Personen (z.B. Kunden, Mitarbeiter, Nutzer) für welche Zwecke (z.B. Rechnungsstellung, Lohnabrechnung, Kundenbetreuung) und für welche Dauer (Vertragslaufzeit plus Aufbewahrungsfristen nach §§238, 257 HGB — 10 Jahre für Jahresabschlüsse, 6 Jahre für Handelsbriefe; §147 AO — 10 Jahre für steuerlich relevante Dokumente) verarbeitet werden.
Weisungsrecht und -recht (Art. 28 Abs. 3 lit. a DSGVO): Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Jede Änderung der Verarbeitungszwecke oder -methoden bedarf einer dokumentierten Weisung. Widerspricht der Auftragsverarbeiter einer Weisung aus datenschutzrechtlichen Gründen, hat er den Verantwortlichen unverzüglich zu unterrichten.
Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO): Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (schriftliche Vertraulichkeitsvereinbarung oder gesetzliche Verschwiegenheitspflicht). In Deutschland können Beschäftigte nach §26 BDSG auf Verschwiegenheit verpflichtet werden.
Technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO: Der AVV enthält als Anlage eine detaillierte Beschreibung der TOMs des Auftragsverarbeiters: Zugangskontrolle (Passwortrichtlinien, Zwei-Faktor-Authentifizierung), Zugriffskontrolle (Role-Based Access Control, RBAC), Weitergabekontrolle (Verschlüsselung nach AES-256, TLS 1.3), Eingabekontrolle (Audit Logs), Verfügbarkeitskontrolle (Backups, Business Continuity Management nach ISO 22301), Trennungsgebot (logische oder physische Trennung von Daten verschiedener Verantwortlicher). Die TOMs sind bei Bedarf dem Stand der Technik anzupassen (Art. 32 Abs. 1 DSGVO — Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung).
Subauftragsverarbeiter (Art. 28 Abs. 2 DSGVO): Der Auftragsverarbeiter darf Subauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Der AVV regelt, ob eine allgemeine Genehmigung (mit Änderungsmitteilung) oder eine spezifische Genehmigung für jeden Subauftragsverarbeiter erforderlich ist. Subauftragsverarbeiter müssen den gleichen Datenschutzpflichten unterliegen wie der Hauptauftragsverarbeiter (Art. 28 Abs. 4 DSGVO).
Betroffenenrechte (Art. 12–22 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen: Auskunftsrecht (Art. 15 DSGVO), Berichtigungsrecht (Art. 16), Löschrecht (Art. 17 — Recht auf Vergessenwerden), Einschränkungsrecht (Art. 18), Datenübertragbarkeitsrecht (Art. 20), Widerspruchsrecht (Art. 21). Die gesetzliche Antwortfrist beträgt gemäß Art. 12 Abs. 3 DSGVO einen Monat (verlängerbar um zwei weitere Monate bei komplexen Anfragen).
Datenübertragbarkeit und Löschung nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO): Nach Beendigung des AVV hat der Auftragsverarbeiter alle personenbezogenen Daten entweder zurückzugeben oder zu löschen und die Löschung schriftlich zu bestätigen.
Das Portal forms-legal.com stellt dieses AVV-Muster als strukturierten Ausgangspunkt zur Verfügung. Da die TOMs-Anlage auf die spezifische IT-Infrastruktur des Auftragsverarbeiters abgestimmt sein muss und die Subauftragsverarbeiter-Liste regelmäßig zu aktualisieren ist, empfiehlt sich die Hinzuziehung eines Datenschutzbeauftragten (DSB) nach Art. 37 DSGVO. Verwandte Dokumente auf forms-legal.com: Datenschutzerklärung (Website) nach Art. 13 DSGVO und B2B-Rahmenvertrag.
How to Fill Out Your Data Processing Agreement (DPA) Germany
Das Ausfüllen des Auftragsverarbeitungsvertrags (AVV) in Deutschland erfordert präzise Angaben zu den Vertragsparteien, dem Gegenstand der Verarbeitung und den technisch-organisatorischen Maßnahmen (TOMs), da die DSGVO in Art. 28 Abs. 3 eine schriftliche Vereinbarung mit konkreten Mindestinhalten vorschreibt.
Erster Schritt: Vertragsparteien identifizieren. Tragen Sie vollständige Angaben zum Verantwortlichen (Controller) ein: Name/Firma, Anschrift, Handelsregisternummer (sofern vorhanden), Datenschutzbeauftragte/r (Name, Kontaktdaten gemäß Art. 37 Abs. 7 DSGVO). Ebenso zum Auftragsverarbeiter: vollständige Firmendaten, Name des zuständigen Datenschutzbeauftragten oder Datenschutzansprechpartners.
Zweiter Schritt: Gegenstand der Verarbeitung präzise beschreiben. Führen Sie alle Datenkategorien auf (z.B. Kontaktdaten: Name, E-Mail, Telefonnummer; Vertragsdaten: Kundenkontonummer, Rechnungsadresse; Nutzungsdaten: IP-Adresse, Cookie-ID, Nutzungsstatistiken). Benennen Sie die Kategorien betroffener Personen (Kunden, Interessenten, Mitarbeiter, Webseitenbesucher). Beschreiben Sie den Verarbeitungszweck klar (z.B. "Hosting und Betrieb der E-Commerce-Plattform", "Durchführung der monatlichen Lohnabrechnung").
Dritter Schritt: TOMs-Anlage ausfüllen. Die technisch-organisatorischen Maßnahmen (Anlage 1 des AVV) müssen konkret und überprüfbar sein. Vage Formulierungen wie "angemessene Sicherheitsmaßnahmen" genügen den Anforderungen der deutschen Datenschutzbehörden nicht. Orientieren Sie sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) — insbesondere dem IT-Grundschutz-Kompendium (BSI-Standard 200-1 bis 200-4) und den BSI-Leitfäden für Cloud-Sicherheit (C5-Kriterienkatalog).
Vierter Schritt: Subauftragsverarbeiter-Liste. Erstellen Sie eine vollständige Liste aller eingesetzten Subauftragsverarbeiter mit Name, Sitz, Zweck der Weitergabe und Kategorien übermittelter Daten. Typische Subauftragsverarbeiter: Amazon Web Services EMEA SARL (Luxemburg, Hosting), Stripe Payments Europe (Dublin, Zahlungsabwicklung), Twilio Inc. (USA + SCCs, SMS-Versand). Bei Drittlandtransfers: Nachweis des Schutzniveaus (Angemessenheitsbeschluss nach Art. 45 DSGVO oder SCCs nach Durchführungsbeschluss 2021/914).
Fünfter Schritt: Meldepflichten definieren. Legen Sie die Meldefrist für Datenpannen fest: Der Auftragsverarbeiter muss den Verantwortlichen nach Art. 33 DSGVO unverzüglich — möglichst innerhalb von 24 Stunden nach Bekanntwerden der Panne — informieren, damit der Verantwortliche seiner gesetzlichen 72-Stunden-Meldefrist gegenüber der zuständigen Landesdatenschutzbehörde nachkommen kann.
Sechster Schritt: Unterzeichnung und Aufbewahrung. Der AVV muss von beiden Parteien unterzeichnet werden. Eine elektronische Signatur (qualifizierte elektronische Signatur, QES, nach eIDAS-VO Art. 25) ist zulässig und gleichwertig. Bewahren Sie den unterzeichneten AVV für die Dauer des Auftragsverarbeitungsverhältnisses plus mindestens drei Jahre auf (Verjährungsfrist nach §195 BGB für vertragliche Ansprüche).
Legal Requirements for Data Processing Agreement (DPA) Germany
Die rechtlichen Anforderungen an den Auftragsverarbeitungsvertrag (AVV) in Deutschland ergeben sich primär aus der DSGVO und werden durch nationales Recht (BDSG) und behördliche Leitlinien der Datenschutzkonferenz (DSK) sowie des Europäischen Datenschutzausschusses (EDSA/EDPB) konkretisiert.
Schriftlichkeitspflicht (Art. 28 Abs. 3 DSGVO): Der AVV muss schriftlich oder in einem elektronischen Format abgefasst sein. "Schriftlich" im Sinne der DSGVO umfasst auch digitale Formate (E-Mail-Austausch, eingebettete Vertragsklauseln in Online-Plattformen), sofern beide Parteien ihre Zustimmung dokumentieren. Eine eigenhändige Unterschrift im Sinne des §126 BGB ist nicht zwingend; eine qualifizierte elektronische Signatur (QES) nach Art. 3 Nr. 12 eIDAS-VO ist gleichwertig.
Mindestinhalte nach Art. 28 Abs. 3 DSGVO: Der AVV muss alle in Art. 28 Abs. 3 lit. a–h DSGVO genannten Punkte abdecken. Ein AVV, der wesentliche Inhalte auslässt — z.B. keine TOMs-Anlage enthält oder die Subauftragsverarbeiterkette nicht regelt — ist nach Art. 83 Abs. 4 DSGVO bußgeldbewehrt.
Datenschutzfolgenabschätzung (DSFA/DPIA) nach Art. 35 DSGVO: Bei Verarbeitungen mit hohem Risiko für Rechte und Freiheiten natürlicher Personen — insbesondere bei Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft), bei systematischer Überwachung öffentlicher Bereiche (CCTV), bei automatisierter Entscheidungsfindung nach Art. 22 DSGVO — ist eine Datenschutzfolgenabschätzung (DSFA) vor Beginn der Verarbeitung durchzuführen. Die deutschen Datenschutzbehörden (DSK-Beschluss vom 26. April 2018) haben Listen von Verarbeitungen veröffentlicht, für die eine DSFA zwingend ist.
Datenschutzbeauftragter (DSB) nach Art. 37–39 DSGVO: In Deutschland ist die Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 DSGVO verpflichtend, wenn die Kerntätigkeit in der Verarbeitung besonderer Datenkategorien besteht oder wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§38 Abs. 1 BDSG — niedrigerer Schwellenwert als in Art. 37 DSGVO, spezifisch für Deutschland). Der DSB überwacht die Einhaltung der DSGVO und des BDSG und ist Anlaufstelle für die zuständige Datenschutzbehörde.
Bußgeldrahmen (Art. 83 DSGVO): Verstöße gegen Art. 28 DSGVO (kein wirksamer AVV; unzureichende TOMs; ungenehmigte Subauftragsverarbeiter) werden nach Art. 83 Abs. 4 DSGVO mit Geldbußen bis zu 10.000.000,00 Euro oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens geahndet. Schwerwiegendere Verstöße — z.B. unrechtmäßige Verarbeitung, Verletzung von Grundrechten — werden nach Art. 83 Abs. 5 DSGVO mit bis zu 20.000.000,00 Euro oder 4 % des Jahresumsatzes geahndet. In Deutschland haben die Landesbeauftragten für den Datenschutz (z.B. LfDI Baden-Württemberg: 180.000 Euro gegen ein Krankenhaus 2019; BayLfD: mehrfach Bußgelder wegen fehlender oder mangelhafter AVV) aktiv Bußgelder verhängt.
Common Mistakes to Avoid in Your Data Processing Agreement (DPA) Germany
Fehler beim Auftragsverarbeitungsvertrag (AVV) in Deutschland sind in der Praxis häufig und führen zu erheblichen Bußgeldrisiken durch die Landesbeauftragten für den Datenschutz.
Fehlender oder veralteter AVV: Der häufigste Fehler ist das vollständige Fehlen eines AVV bei bestehenden Auftragsverarbeitungsverhältnissen — z.B. wenn Cloud-Dienste oder externe IT-Dienstleister ohne AVV eingesetzt werden. Ebenso problematisch ist ein AVV, der nach dem 25. Mai 2018 (DSGVO-Geltungstag) nicht auf die neuen Anforderungen aktualisiert wurde und noch alte EU-Standardvertragsklauseln nach dem Recht vor Inkrafttreten der DSGVO enthält.
Unzureichende TOMs-Anlage: Viele AVV enthalten nur allgemeine und nichtssagende Formulierungen in der TOMs-Anlage ("angemessene Sicherheitsmaßnahmen" oder "Verschlüsselung und Zugangskontrolle"). Die deutschen Datenschutzbehörden erwarten konkrete technische Beschreibungen: Verschlüsselungsstandards (AES-256, TLS 1.3), Backup-Zyklen und Recovery-Zeiten (RTO/RPO), Zertifizierungen (ISO 27001, BSI IT-Grundschutz, SOC 2 Type II), Penetrationstests und Schwachstellenscans.
Fehlende oder lückenhafte Subauftragsverarbeiter-Genehmigung: Oft fehlt die vorherige schriftliche Genehmigung für neue Subauftragsverarbeiter (z.B. wenn der Cloud-Anbieter seinen Rechenzentrumsbetrieb auf einen neuen Subdienstleister auslagert, ohne den Verantwortlichen zu informieren). Nach Art. 28 Abs. 2 DSGVO ist jede Änderung bei Subauftragsverarbeitern mitzuteilen; der Verantwortliche hat ein Widerspruchsrecht.
Unzureichende Regelung von Drittlandtransfers: Werden personenbezogene Daten in die USA, nach Indien oder in andere Drittstaaten übermittelt (z.B. durch Nutzung von US-Cloud-Diensten, US-CRM-Systemen), muss der AVV durch aktuelle EU-Standarddatenschutzklauseln (SCCs, Durchführungsbeschluss EU 2021/914) oder durch einen Angemessenheitsbeschluss der Kommission ergänzt werden. Die veralteten Safe-Harbor- und Privacy-Shield-Mechanismen sind seit den Entscheidungen des Europäischen Gerichtshofs (EuGH, C-362/14 Schrems I, 2015; C-311/18 Schrems II, 2020) ungültig.
Fehlende oder zu späte Datenpannenmeldung: Der Auftragsverarbeiter muss den Verantwortlichen nach Art. 33 Abs. 2 DSGVO unverzüglich — in der deutschen Praxis innerhalb von 24 Stunden — über eine Datenpanne informieren, damit der Verantwortliche seine 72-Stunden-Meldepflicht gegenüber der Landesdatenschutzbehörde nach Art. 33 Abs. 1 DSGVO einhalten kann. Ein AVV, der keine oder nur unzureichende Meldepflichten regelt, erhöht das Risiko verspäteter Meldungen erheblich.
Sources & Citations
Statutory citations link to official government sources.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Data Processing Agreement (DPA) Germany (Germany) [Legal document template]. Forms Legal. https://forms-legal.com/deutschland/business/policies/data-processing-agreement-germany
"Data Processing Agreement (DPA) Germany (Germany)." Forms Legal, 2026, https://forms-legal.com/deutschland/business/policies/data-processing-agreement-germany.
@misc{formslegal-data-processing-agreement-germany,
author = {{Forms Legal}},
title = {Data Processing Agreement (DPA) Germany (Germany)},
year = {2026},
howpublished = {\url{https://forms-legal.com/deutschland/business/policies/data-processing-agreement-germany}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Ein Auftragsverarbeitungsvertrag (AVV) ist in Deutschland gemäß Art. 28 Abs. 3 DSGVO immer dann zwingend erforderlich, wenn ein Verantwortlicher (z.B. ein Unternehmen, eine Behörde oder eine Non-Profit-Organisation) personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt, der dabei ausschließlich nach dessen Weisung handelt. Dies umfasst praktisch alle Formen der Auslagerung von IT-Dienstleistungen: Cloud-Hosting, SaaS-Plattformen, externe Lohnabrechnung, IT-Support mit Fernzugriff, Rechenzentrum-Dienstleistungen, E-Mail-Marketing, Web-Analyse-Dienste, Druckdienstleistungen mit Zugriff auf Kundendaten, Vernichtung von Datenträgern sowie Call-Center-Dienstleistungen. Nicht unter die Auftragsverarbeitung fallen: Dienstleister, die personenbezogene Daten für eigene Zwecke und unter eigener datenschutzrechtlicher Verantwortung verarbeiten (z.B. Banken im Zahlungsverkehr nach Art. 6 Abs. 1 lit. b DSGVO); Anwaltskanzleien und Steuerberater, die ihrer eigenen Berufsverschwiegenheitspflicht unterliegen und eigenverantwortlich handeln; sowie Stellen, mit denen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO besteht. Das Fehlen eines erforderlichen AVV ist ein eigenständiger Datenschutzverstoß, der nach Art. 83 Abs. 4 DSGVO mit Geldbußen bis zu 10.000.000,00 Euro geahndet werden kann.
Technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO sind alle Sicherheitsvorkehrungen, die der Auftragsverarbeiter treffen muss, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Der AVV muss die TOMs als Anlage konkret beschreiben — vage Formulierungen reichen nicht aus. Folgende TOMs-Kategorien sollte der AVV abdecken: Zugangskontrolle (wer hat physischen Zutritt zu Rechenzentren? — Chipkarten, biometrische Kontrollen, Sicherheitspersonal); Zugriffskontrolle (wer hat Zugriff auf IT-Systeme? — Passwortrichtlinien, Zwei-Faktor-Authentifizierung, Role-Based Access Control, RBAC); Weitergabekontrolle (wie werden Daten übertragen? — Verschlüsselung nach TLS 1.3, Ende-zu-Ende-Verschlüsselung, VPN); Eingabekontrolle (wer hat wann welche Daten eingegeben oder verändert? — Audit Logs, Logging-Systeme nach SIEM-Standard); Auftragskontrolle (nur Weisung des Verantwortlichen wird ausgeführt — vertragliche Weisungsbindung, Schulung der Mitarbeiter); Verfügbarkeitskontrolle (Schutz vor Datenverlust — Backup nach 3-2-1-Regel, Disaster Recovery, Service Level Agreements mit RTO/RPO-Werten); Trennungsgebot (Daten verschiedener Verantwortlicher werden getrennt verarbeitet — logische oder physische Trennung). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im IT-Grundschutz-Kompendium (Edition 2023) und im Cloud Computing Compliance Criteria Catalogue (C5:2020) detaillierte Mindeststandards veröffentlicht, an denen sich TOMs-Anlagen orientieren sollten.
Bei fehlendem, unvollständigem oder nicht DSGVO-konformem Auftragsverarbeitungsvertrag (AVV) drohen in Deutschland Geldbußen nach Art. 83 Abs. 4 DSGVO in Höhe von bis zu 10.000.000,00 Euro oder — bei Unternehmen — bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Die deutschen Landesdatenschutzbehörden (Landesbeauftragte für den Datenschutz) haben in der Vergangenheit aktiv Bußgelder wegen Verstößen gegen Art. 28 DSGVO verhängt: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte Bußgelder gegen Unternehmen, die Cloud-Dienste ohne AVV nutzten; der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) beanstandete fehlende AVV bei Auftragsverarbeitungsverhältnissen im Gesundheitsbereich. Neben Bußgeldern können die Datenschutzbehörden nach Art. 58 Abs. 2 DSGVO auch Verwarnungen erteilen, Verarbeitungen vorübergehend oder dauerhaft untersagen sowie Anordnungen zur Berichtigung oder Löschung von Daten treffen. Darüber hinaus besteht ein Schadensersatzanspruch betroffener Personen nach Art. 82 DSGVO bei Datenschutzverletzungen, die auf einem mangelhaften AVV beruhen.
Ja, grundsätzlich muss bei jeder Nutzung von Cloud-Diensten zur Verarbeitung personenbezogener Daten ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Dies gilt für SaaS-Plattformen (Software as a Service) wie Salesforce, HubSpot, Mailchimp, Microsoft 365, Google Workspace; IaaS-Anbieter (Infrastructure as a Service) wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform, OVHcloud; sowie PaaS-Anbieter (Platform as a Service). Die großen Cloud-Anbieter stellen standardisierte AVV-Muster zur Verfügung: AWS bietet den AWS Data Processing Addendum (DPA) an, der automatisch bei Abschluss eines AWS-Nutzungsvertrags gilt, wenn personenbezogene Daten verarbeitet werden; Microsoft bietet den Microsoft Products and Services Data Protection Addendum (DPA) an; Google bietet den Google Cloud Data Processing Addendum an. Diese Standard-AVV decken die Mindestanforderungen der DSGVO ab, können jedoch im Einzelfall ergänzt werden müssen — insbesondere was die spezifischen TOMs, die Subauftragsverarbeiter-Liste und etwaige Drittlandtransfer-Garantien betrifft. Für Drittlandtransfers in die USA gilt seit dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Kommission vom 10. Juli 2023) ein vereinfachtes Verfahren für zertifizierte US-Unternehmen; jedoch sollten Unternehmen angesichts des laufenden politischen Diskurses in den USA die Entwicklung verfolgen und bei Bedarf auf EU-Standarddatenschutzklauseln (SCCs) zurückgreifen.
Der Auftragsverarbeitungsvertrag (AVV) muss nach deutschen Datenschutzanforderungen mindestens für die Dauer des Auftragsverarbeitungsverhältnisses sowie zusätzlich aufbewahrt werden. Art. 28 Abs. 3 DSGVO schreibt vor, dass alle Informationen zur Verfügung gestellt werden müssen, die zur Überprüfung der DSGVO-Konformität erforderlich sind (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO). Datenschutzbehörden können im Rahmen von Prüfungen und Ermittlungen AVV anfordern — deshalb empfiehlt sich eine Aufbewahrung von mindestens drei Jahren nach Vertragsende (allgemeine Verjährungsfrist nach §195 BGB) bis zu zehn Jahren (bei steuerrechtlicher Relevanz der verarbeiteten Daten nach §147 AO). Für die steuerliche Betriebsprüfung nach §194 AO empfiehlt es sich, AVV als Teil der GoBD-konformen Dokumentation (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff — BMF-Schreiben vom 28. November 2019) für zehn Jahre aufzubewahren. Dies gilt insbesondere, wenn der AVV im Zusammenhang mit steuerlich relevanten Verarbeitungsvorgängen steht (z.B. Lohnabrechnung, Buchhaltung, Rechnungsstellung). Das Verfahrensverzeichnis nach Art. 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten) sollte alle AVV referenzieren und für die gesamte Dauer der Aufbewahrungspflicht vorgehalten werden.
Ja, auch kleine und mittelständische Unternehmen (KMU) in Deutschland sind uneingeschränkt verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen, wenn sie externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen. Die DSGVO kennt keine Ausnahme für Unternehmen ab einer bestimmten Mindestgröße — lediglich das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 5 DSGVO ist für Unternehmen mit weniger als 250 Mitarbeitern nur unter bestimmten Bedingungen verpflichtend (wenn die Verarbeitung ein Risiko für Rechte und Freiheiten birgt, nicht nur gelegentlich erfolgt oder besondere Datenkategorien betrifft). Für Kleinstunternehmen mit unter 10 Mitarbeitern gilt ebenfalls: Sobald ein externer Dienstleister auf Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten zugreift — sei es ein Web-Hosting-Anbieter, ein Steuerberater-Tool oder eine externe Buchhaltungssoftware — ist ein AVV abzuschließen. Die Landesdatenschutzbehörden haben betont, dass die Unternehmensgröße kein Faktor bei der Festsetzung der Pflicht zum AVV-Abschluss ist; sie kann lediglich bei der Bußgeldbemessung nach Art. 83 Abs. 1 DSGVO berücksichtigt werden (Effektivität, Verhältnismäßigkeit, Abschreckungswirkung). Die Mittelstandsinitiative Energiewende und Klimaschutz (BMWi) sowie die IHK bieten KMU kostenlose Beratungsangebote zu Datenschutzpflichten an.
Der Unterschied zwischen Auftragsverarbeitung nach Art. 28 DSGVO und gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO liegt in der Frage, wer die Zwecke und Mittel der Datenverarbeitung bestimmt. Bei der Auftragsverarbeitung bestimmt ausschließlich der Verantwortliche (Controller) Zweck und Mittel; der Auftragsverarbeiter handelt nur nach dessen dokumentierter Weisung. Beispiel: Ein Unternehmen (Verantwortlicher) beauftragt einen IT-Dienstleister (Auftragsverarbeiter) mit dem Hosting seiner Kundendatenbank. Der IT-Dienstleister hat keinen eigenen Zweck für die Nutzung der Kundendaten. Bei der gemeinsamen Verantwortlichkeit bestimmen hingegen zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung. Beispiel: Ein Unternehmen betreibt eine Facebook-Seite (Facebook Business Page). Laut EuGH (C-210/16, Wirtschaftsakademie Schleswig-Holstein, 2018) sind sowohl das Unternehmen als auch Facebook Ireland Ltd. gemeinsam Verantwortliche für die Verarbeitung von Besucher-Daten über Facebook Insights. In diesem Fall ist nach Art. 26 DSGVO eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement) abzuschließen, kein AVV. Die Abgrenzung ist im Einzelfall zu prüfen — fehlerhafte Einordnung (AVV statt Joint Controller Agreement) schützt nicht vor Bußgeldern. Das Europäische Datenschutzbehörde (EDPB) hat in Leitlinien 07/2020 zur gemeinsamen Verantwortlichkeit Kriterien für die Abgrenzung formuliert.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Datenschutzerklärung Website Deutschland
Datenschutzerklärung für Websites in Deutschland gemäß DSGVO Art. 13/14, BDSG und TTDSG mit Angaben zu Datenverarbeitung, Cookies, Analytics und Betroffenenrechten.
GmbH-Gesellschaftsvertrag Deutschland
Gesellschaftsvertrag für eine GmbH in Deutschland — geregelt durch das GmbHG §§2–4 sowie das BGB §705 ff. und das HGB §§17–37. Erfordert notarielle Beurkundung und Eintragung im Handelsregister beim Amtsgericht.
Unbefristeter Arbeitsvertrag Deutschland
Unbefristeter Arbeitsvertrag für Deutschland — geregelt durch BGB §611a, KSchG, ArbZG, NachwG, MiLoG §1 (Mindestlohn 12,82 €/Std. 2025), BUrlG und EFZG. Enthält alle Pflichtangaben des Nachweisgesetzes.