Art. 28 DSGVO — Auftragsverarbeitung

Was regelt Art. 28 DSGVO?

Art. 28 DSGVO ist die zentrale Vorschrift der Datenschutz-Grundverordnung zur Auftragsverarbeitung. Sie regelt die Anforderungen an die Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt, müssen beide Parteien einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Die Vorschrift stellt sicher, dass personenbezogene Daten auch bei der Auslagerung an Dritte nach den strengen Vorgaben der DSGVO geschützt bleiben. Der Verantwortliche bleibt dabei stets in der Pflicht — er muss den Auftragsverarbeiter sorgfältig auswählen und kontrollieren.

Die wichtigsten Grundsätze des Art. 28 DSGVO im Überblick:

• Nur Auftragsverarbeiter mit hinreichenden Garantien dürfen beauftragt werden
• Ein schriftlicher Vertrag (AVV) ist zwingend erforderlich
• Der Auftragsverarbeiter handelt ausschließlich auf Weisung des Verantwortlichen
• Unterauftragnehmer dürfen nur mit vorheriger Genehmigung eingesetzt werden
• Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen (TOMs) umsetzen

Die DATUREX GmbH unterstützt Sie als Datenschutzberater bei der rechtssicheren Gestaltung Ihrer Auftragsverarbeitungsverhältnisse — von der Prüfung bestehender AVVs bis zur Neuaufstellung.

Art. 28 DSGVO im Wortlaut — Zusammenfassung aller Absätze

Der vollständige Art. 28 DSGVO umfasst zehn Absätze, die zusammen ein lückenloses System für die Auftragsverarbeitung bilden. Hier eine strukturierte Zusammenfassung:

Absatz 1 — Auswahl des Auftragsverarbeiters

Der Verantwortliche darf nur solche Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Die Verarbeitung muss im Einklang mit der DSGVO erfolgen und den Schutz der Rechte der betroffenen Personen gewährleisten.

Absatz 2 — Verbot der Unterauftragsverarbeitung ohne Genehmigung

Der Auftragsverarbeiter darf ohne vorherige schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuziehen. Bei einer allgemeinen schriftlichen Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über Änderungen informieren.

Absatz 3 — Pflichtinhalte des AVV

Die Verarbeitung durch einen Auftragsverarbeiter muss auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen. Dieser muss Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegen.

Absatz 4 — Pflichten des Unterauftragsverarbeiters

Dem Unterauftragsverarbeiter sind dieselben Datenschutzpflichten aufzuerlegen wie dem Auftragsverarbeiter. Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung.

Absatz 5 — Genehmigte Verhaltensregeln und Zertifizierungen

Die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder eines Zertifizierungsverfahrens (Art. 42 DSGVO) kann als Nachweis hinreichender Garantien herangezogen werden.

Absatz 6 — Form des Vertrags

Der AVV-Vertrag kann schriftlich oder in einem elektronischen Format abgefasst werden.

Absatz 7 bis 8 — Standardvertragsklauseln

Die EU-Kommission und die Aufsichtsbehörden können Standardvertragsklauseln für die Auftragsverarbeitung festlegen, die als Grundlage für den AVV dienen können.

Absatz 9 — Schriftform und elektronisches Format

Der Vertrag muss in schriftlicher Form vorliegen — auch ein elektronisches Format wird anerkannt.

Absatz 10 — Eigenständige Verantwortlichkeit bei Verstoß

Wenn ein Auftragsverarbeiter selbst über Zwecke und Mittel der Verarbeitung entscheidet, wird er in Bezug auf diese Verarbeitung als Verantwortlicher angesehen. Dies hat weitreichende haftungsrechtliche Konsequenzen.

Was ist Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen (der Verantwortliche) einen externen Dienstleister (den Auftragsverarbeiter) damit beauftragt, personenbezogene Daten in seinem Auftrag und nach seiner Weisung zu verarbeiten. Der Auftragsverarbeiter hat dabei keinen eigenen Entscheidungsspielraum über die Zwecke der Datenverarbeitung.

Die Abgrenzung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) ist in der Praxis oft schwierig: Bei der gemeinsamen Verantwortlichkeit entscheiden zwei oder mehr Parteien gemeinsam über Zwecke und Mittel der Verarbeitung. Bei der Auftragsverarbeitung gibt hingegen ausschließlich der Verantwortliche die Richtung vor — der Auftragsverarbeiter ist weisungsgebunden.

Ebenfalls abzugrenzen ist die eigenständige Verantwortlichkeit: Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte oder Ärzte verarbeiten Daten in eigener Verantwortung und sind keine Auftragsverarbeiter.

Typische Beispiele für Auftragsverarbeitung

Dienstleister	AVV erforderlich?	Begründung
Cloud-Hosting (AWS, Hetzner, IONOS)	Ja	Speichert und verarbeitet personenbezogene Daten im Auftrag
Webhosting-Anbieter	Ja	Server-Logfiles enthalten IP-Adressen und Zugriffsdaten
Newsletter-Tools (Mailchimp, CleverReach)	Ja	Verarbeitung von E-Mail-Adressen, Namen und Klickverhalten
Externe Lohnbuchhaltung	Ja	Verarbeitung sensibler Mitarbeiterdaten im Auftrag
IT-Support und Fernwartung	Ja	Potenzieller Zugriff auf personenbezogene Daten
Google Analytics / Tracking-Tools	Ja	Verarbeitung von Nutzerdaten im Auftrag
Aktenvernichtung	Ja	Umgang mit personenbezogenen Daten auf Papier
Steuerberater	Nein	Berufsgeheimnisträger, eigene Verantwortlichkeit
Rechtsanwalt	Nein	Berufsgeheimnisträger nach § 203 StGB
Inkassounternehmen	Nein	Handelt in der Regel in eigener Verantwortung

Wann brauche ich einen AVV?

Die Frage „Brauche ich einen Auftragsverarbeitungsvertrag?“ stellt sich bei jeder Zusammenarbeit mit externen Dienstleistern, bei der personenbezogene Daten fließen. Die Antwort hängt davon ab, ob der Dienstleister weisungsgebunden handelt oder eigenverantwortlich.

Wann ein AVV erforderlich ist

• Externes Hosting Ihrer Website — Der Hoster speichert IP-Adressen, Formulardaten und ggf. Kundendaten
• Cloud-Speicher — Dokumente mit personenbezogenen Daten werden auf fremden Servern gespeichert
• E-Mail-Marketing — Newsletter-Tools verarbeiten Empfängerlisten mit Namen und E-Mail-Adressen
• CRM-Systeme als SaaS — Kundendaten werden beim Anbieter verarbeitet
• Externe Personalabrechnung — Sensible Mitarbeiterdaten werden an den Dienstleister übermittelt
• Call-Center — Kundendaten werden im Auftrag verarbeitet und Gespräche ggf. aufgezeichnet
• Videoüberwachung durch externe Sicherheitsfirma — Personenbezogene Bilddaten entstehen
• Werbeagenturen mit Datenzugriff — Wenn die Agentur Zugriff auf Kundendatenbanken hat

Wann kein AVV nötig ist

• Steuerberater und Wirtschaftsprüfer — Eigenständige Verantwortlichkeit kraft Berufsrecht
• Rechtsanwälte — Berufsgeheimnisträger nach § 203 StGB
• Banken — Verarbeiten Daten als eigenständig Verantwortliche
• Postdienstleister — Unterliegen dem Postgeheimnis
• Reine Warenlieferanten — Keine Verarbeitung personenbezogener Daten
• Handwerker vor Ort — Kein systematischer Datenzugriff

Tipp: Im Zweifelsfall empfehlen wir, einen AVV abzuschließen. Die Kosten sind gering, aber die Risiken bei fehlendem AVV sind erheblich. Lassen Sie Ihre Dienstleisterverträge von einem Datenschutzbeauftragten prüfen.

Pflichtinhalte eines AVV nach Art. 28 DSGVO

Art. 28 Abs. 3 DSGVO definiert die Mindestinhalte, die jeder Auftragsverarbeitungsvertrag enthalten muss. Ein AVV ohne diese Pflichtangaben ist unvollständig und kann zu Bußgeldern führen.

1. Gegenstand und Dauer der Verarbeitung

Der AVV-Vertrag muss klar beschreiben, welche Datenverarbeitungstätigkeiten durchgeführt werden und wie lange das Vertragsverhältnis besteht. Die Dauer sollte an den Hauptvertrag gekoppelt sein.

2. Art und Zweck der Verarbeitung

Es muss eindeutig festgelegt werden, warum und wie die Daten verarbeitet werden. Beispiel: „Speicherung und Bereitstellung von Kundendaten im Rahmen des Webhosting-Vertrags.“

3. Art der personenbezogenen Daten

Welche Datenkategorien werden verarbeitet? Typische Kategorien sind: Namen, E-Mail-Adressen, IP-Adressen, Zahlungsdaten, Gesundheitsdaten, Beschäftigtendaten. Besonders bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) sind erhöhte Schutzmaßnahmen erforderlich.

4. Kategorien betroffener Personen

Wessen Daten werden verarbeitet? Mögliche Kategorien: Kunden, Interessenten, Mitarbeiter, Bewerber, Lieferanten, Website-Besucher, Patienten.

5. Pflichten und Rechte des Verantwortlichen

Der Verantwortliche behält die volle Kontrolle über die Datenverarbeitung. Er erteilt Weisungen und hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu überprüfen.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter ist verpflichtet:

• Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• Beschäftigte zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen umzusetzen
• Unterauftragsverarbeiter nur mit Genehmigung einzusetzen
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
• Nach Beendigung alle personenbezogenen Daten zu löschen oder zurückzugeben
• Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis zur Verfügung zu stellen

7. Technische und organisatorische Maßnahmen (TOMs)

Der AVV muss die konkreten TOMs nach Art. 32 DSGVO beschreiben oder als Anlage beifügen. Dazu gehören Maßnahmen zur Pseudonymisierung, Verschlüsselung, Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme sowie regelmäßige Überprüfung.

8. Regelungen zu Unterauftragsverarbeitern

Der AVV muss festlegen, ob und unter welchen Bedingungen der Auftragsverarbeiter Unterauftragnehmer einsetzen darf. Alle aktuellen Unterauftragsverarbeiter sollten in einer Liste als Anlage aufgeführt werden.

AVV-Muster und Vorlage — Gliederung eines Auftragsverarbeitungsvertrags

Ein professioneller Auftragsverarbeitungsvertrag sollte folgende Gliederung enthalten. Diese Struktur entspricht den Anforderungen des Art. 28 DSGVO und den Empfehlungen der deutschen Aufsichtsbehörden:

1. Präambel — Benennung der Vertragsparteien, Verweis auf den Hauptvertrag
2. Gegenstand und Dauer — Beschreibung der Datenverarbeitung und Vertragslaufzeit
3. Art und Zweck der Verarbeitung — Konkrete Beschreibung der Verarbeitungstätigkeiten
4. Art der personenbezogenen Daten — Auflistung der Datenkategorien
5. Kategorien betroffener Personen — Wessen Daten verarbeitet werden
6. Weisungsbefugnis — Regelung der Weisungserteilung und -dokumentation
7. Vertraulichkeit — Verpflichtung der Mitarbeiter des Auftragsverarbeiters
8. Technische und organisatorische Maßnahmen — Verweis auf TOM-Anlage
9. Unterauftragsverarbeitung — Genehmigungsverfahren und aktuelle Liste
10. Rechte der betroffenen Personen — Unterstützungspflichten
11. Meldepflichten bei Datenpannen — Benachrichtigungsfristen und -wege
12. Löschung und Rückgabe — Regelung nach Vertragsende
13. Kontrollrechte und Audits — Prüfungsrechte des Verantwortlichen
14. Haftung — Regelung der Haftungsverteilung
15. Anlagen — TOMs, Liste der Unterauftragsverarbeiter, Weisungsberechtigte

Wichtig: Verwenden Sie niemals einen AVV „von der Stange“, ohne ihn an Ihre konkrete Situation anzupassen. Jeder AVV-Vertrag muss die tatsächlichen Verarbeitungstätigkeiten widerspiegeln. Die DATUREX GmbH erstellt und prüft individuelle AVVs für Ihr Unternehmen. Ergänzend empfehlen wir die Pflege eines Verarbeitungsverzeichnisses.

Unterauftragsverarbeiter nach Art. 28 DSGVO

Die Einbindung von Unterauftragsverarbeitern ist in der Praxis der Normalfall — kaum ein Dienstleister arbeitet vollständig ohne Dritte. Art. 28 Abs. 2 und 4 DSGVO regeln die Voraussetzungen im Detail.

Genehmigungspflicht

Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Es gibt zwei Formen:

• Spezifische Genehmigung: Der Verantwortliche genehmigt jeden einzelnen Unterauftragsverarbeiter namentlich. Dies bietet maximale Kontrolle.
• Allgemeine Genehmigung: Der Verantwortliche erteilt eine generelle Zustimmung. Der Auftragsverarbeiter muss dann über jede beabsichtigte Änderung (Hinzufügung oder Ersetzung) informieren. Der Verantwortliche hat ein Einspruchsrecht.

In der Praxis verwenden die meisten Cloud-Anbieter und SaaS-Dienste die allgemeine Genehmigung mit Informationspflicht.

Durchreichung der Pflichten

Dem Unterauftragsverarbeiter müssen dieselben Datenschutzpflichten auferlegt werden, die auch im Hauptvertrag zwischen Verantwortlichem und Auftragsverarbeiter vereinbart sind (Art. 28 Abs. 4 DSGVO). Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung.

Kontrolle des Auftragsverarbeiters — Auditrecht und Zertifizierungen

Der Verantwortliche ist nicht nur berechtigt, sondern verpflichtet, seinen Auftragsverarbeiter regelmäßig zu kontrollieren. Art. 28 Abs. 3 lit. h DSGVO sieht ausdrücklich vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung stellt und Überprüfungen ermöglicht.

Formen der Kontrolle

• Vor-Ort-Audits: Der Verantwortliche oder ein von ihm beauftragter Prüfer führt eine Inspektion beim Auftragsverarbeiter durch
• Fragebögen und Selbstauskünfte: Der Auftragsverarbeiter beantwortet standardisierte Fragen zu seinen Datenschutzmaßnahmen
• Zertifizierungen: Gültige Zertifikate nach Art. 42 DSGVO oder anerkannte Standards wie ISO 27001, SOC 2 oder BSI C5 können die Kontrollpflicht erleichtern — ersetzen sie aber nicht vollständig
• Prüfberichte Dritter: Wirtschaftsprüfer oder spezialisierte Auditoren können im Auftrag des Verantwortlichen prüfen

Die Kontrollpflicht besteht nicht nur bei Vertragsabschluss, sondern während der gesamten Vertragslaufzeit. Wir empfehlen, Kontrollen mindestens jährlich durchzuführen. Als Datenschutzbeauftragter für Ihr Unternehmen übernehmen wir die regelmäßige Überprüfung Ihrer Auftragsverarbeiter.

Bußgelder bei Verstößen gegen Art. 28 DSGVO

Verstöße gegen die Anforderungen der Auftragsverarbeitung nach Art. 28 DSGVO können empfindliche Bußgelder nach sich ziehen. Nach Art. 83 Abs. 4 DSGVO drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Praxisbeispiele für Bußgelder

Fall	Verstoß	Bußgeld
Deutsche Wohnen SE (2019)	Fehlende Löschkonzepte bei Auftragsverarbeitern	14,5 Mio. €
1&1 Telecom (2019)	Unzureichende Authentifizierung bei Auftragsverarbeitern	9,55 Mio. €
Österreichische Post (2019)	Unrechtmäßige Datenweitergabe an Auftragsverarbeiter	18 Mio. €
Krankenhaus in Portugal (2018)	Fehlende Kontrolle der Zugriffsrechte	400.000 €
Griechisches Unternehmen (2022)	Fehlender AVV mit Cloud-Anbieter	150.000 €

Hinweis: Auch ohne Bußgeld können Verstöße zu Schadensersatzansprüchen betroffener Personen (Art. 82 DSGVO) und Abmahnungen durch Wettbewerber führen. Ein fehlender oder unvollständiger AVV ist einer der häufigsten Datenschutzverstöße in der Praxis.

Checkliste Art. 28 DSGVO — 10 Punkte für Ihre Compliance

Mit dieser Checkliste prüfen Sie, ob Ihre Auftragsverarbeitungsverhältnisse den Anforderungen des Art. 28 DSGVO entsprechen:

1. Bestandsaufnahme: Haben Sie alle Dienstleister identifiziert, die personenbezogene Daten in Ihrem Auftrag verarbeiten?
2. AVV vorhanden: Liegt für jeden Auftragsverarbeiter ein schriftlicher oder elektronischer Auftragsverarbeitungsvertrag vor?
3. Pflichtinhalte vollständig: Enthält jeder AVV alle nach Art. 28 Abs. 3 DSGVO erforderlichen Mindestangaben?
4. TOMs dokumentiert: Sind die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters als Anlage beigefügt und aktuell?
5. Unterauftragsverarbeiter gelistet: Kennen Sie alle Unterauftragsverarbeiter und haben Sie der Einbindung zugestimmt?
6. Weisungsrecht gesichert: Ist klar geregelt, wie Weisungen erteilt, dokumentiert und umgesetzt werden?
7. Kontrollrechte vereinbart: Haben Sie das Recht, Audits und Inspektionen durchzuführen?
8. Meldepflichten geregelt: Weiß der Auftragsverarbeiter, dass er Datenpannen unverzüglich melden muss?
9. Löschkonzept vorhanden: Ist geregelt, was nach Vertragsende mit den Daten geschieht (Löschung oder Rückgabe)?
10. Regelmäßige Überprüfung: Kontrollieren Sie Ihre Auftragsverarbeiter mindestens einmal jährlich?

Wenn Sie bei einem oder mehreren Punkten unsicher sind, kontaktieren Sie uns für eine kostenlose Erstberatung. Als externer Datenschutzbeauftragter übernehmen wir die Prüfung und Aktualisierung Ihrer AVVs.

Häufige Fragen zu Art. 28 DSGVO (FAQ)

Was passiert, wenn kein AVV abgeschlossen wurde?

Ein fehlender Auftragsverarbeitungsvertrag stellt einen Verstoß gegen Art. 28 DSGVO dar. Dies kann zu Bußgeldern von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes führen. Zudem können betroffene Personen Schadensersatz verlangen. Auch bei Datenschutzprüfungen durch Aufsichtsbehörden fällt ein fehlender AVV sofort negativ auf.

Reicht ein Standard-AVV des Dienstleisters aus?

Viele Cloud-Anbieter und SaaS-Dienste stellen eigene AVV-Vorlagen bereit. Diese erfüllen oft die Mindestanforderungen des Art. 28 DSGVO, sollten aber immer geprüft werden. Achten Sie besonders auf die Regelungen zu Unterauftragsverarbeitern, Drittlandtransfers und Löschfristen. Ein pauschales Akzeptieren ohne Prüfung kann problematisch sein.

Brauche ich einen AVV für US-amerikanische Cloud-Dienste?

Ja, und zusätzlich müssen Sie den Drittlandtransfer absichern. Seit dem EU-US Data Privacy Framework (DPF) ist dies für zertifizierte US-Unternehmen wieder einfacher möglich. Prüfen Sie, ob Ihr Anbieter DPF-zertifiziert ist, und ergänzen Sie den AVV ggf. um Standardvertragsklauseln (SCCs) und eine Datentransfer-Folgenabschätzung (TIA).

Wie oft muss ich meinen Auftragsverarbeiter kontrollieren?

Die DSGVO nennt keinen festen Rhythmus, verlangt aber eine angemessene Überprüfung. In der Praxis empfehlen die Aufsichtsbehörden eine mindestens jährliche Kontrolle. Bei Auftragsverarbeitern, die besonders sensible Daten verarbeiten oder bei denen ein hohes Risiko besteht, sollten Kontrollen häufiger stattfinden.

Kann ich als Auftragsverarbeiter selbst haftbar gemacht werden?

Ja. Art. 28 Abs. 10 DSGVO stellt klar: Wenn ein Auftragsverarbeiter eigenständig über Zwecke und Mittel der Verarbeitung entscheidet und damit gegen Weisungen verstößt, wird er selbst zum Verantwortlichen. Er haftet dann unmittelbar nach Art. 82 und 83 DSGVO — sowohl für Bußgelder als auch für Schadensersatzansprüche betroffener Personen.

DATUREX — Ihr Partner für AVV-Beratung und Auftragsverarbeitung

Die korrekte Umsetzung des Art. 28 DSGVO ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Als zertifizierter externer Datenschutzbeauftragter unterstützt die DATUREX GmbH Unternehmen in Dresden und ganz Sachsen bei:

• Erstellung und Prüfung von Auftragsverarbeitungsverträgen
• Bewertung und Auswahl geeigneter Auftragsverarbeiter
• Durchführung von Audits und Kontrollen
• Pflege des Verarbeitungsverzeichnisses
• Schulung Ihrer Mitarbeiter zum Datenschutz im Unternehmen

Weiterführend: DSB Aufgaben | TOM Datenschutz | Verarbeitungsverzeichnis | Datenschutz-Beratung | Datenschutz im Unternehmen