Musterverträge zur Auftragsverarbeitung regelmäßig rechtswidrig

Zuletzt aktualisiert am 7. April 2026

Mit vielen Dienstleistern müssen Unternehmen im Vorfeld einen Auftragsverarbeitungsvertrag abschließen. Laut der Datenschutzaufsichtsbehörde aus Berlin (BInBDI) sind die dabei verwendeten Musterverträge regelmäßig rechtswidrig, da sie nicht Art. 28 DSGVO entsprechen.

Was bei Auftragsverarbeitungsverträgen (AVV-Verträge) zu beachten ist, erfahren Sie hier.

Was ist Auftragsverarbeitung?

Der Auftragsverarbeiter wird in Art. 4 Nr. 8 DSGVO definiert als jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Es muss sich also um jemand anderen als den Verantwortlichen handeln und derjenige muss im Auftrag des Verantwortlichen handeln.

Der Auftragsverarbeiter ist nicht selbst Verantwortlicher. Er handelt allein auf Weisung des Verantwortlichen. Für die Einhaltung der datenschutzrechtlichen Vorschriften ist weiter der Verantwortliche verantwortlich.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen weisungsgebunden. Auftragsverarbeiter und Verantwortlicher schließen zu Beginn ihrer Geschäftsbeziehung einen sogenannten Auftragsverarbeitungsvertrag, der die Rechte und Pflichten des Auftragsverarbeiters insbesondere in Bezug auf die vom Verantwortlichen zur Verfügung gestellten personenbezogenen Daten regelt.

Musterverträge zur Auftragsverarbeitung

Auftragsverarbeiter werden meist für viele verschiedene Verantwortliche gleichzeitig tätig. Ein gängiges Beispiel für Auftragsverarbeiter sind Dienstleister im Bereich Webhosting. Um die Effizienz ihrer Arbeit aufrecht zu erhalten, nutzen solche Dienstleister oft Musterverträge. Es handelt sich um Vorlagen, in denen meist nur die Bezeichnung des Vertragspartners angepasst wird. Für die geschäftlichen Abläufe der Auftragsverarbeiter mag dies vorteilhaft sein, jedoch mangelt es diesen Vorlagen häufig an Rechtmäßigkeit.

Die Datenschutzaufsichtsbehörde aus Berlin (BInBDI) erreichen laut eigener Angaben regelmäßig Anfragen von Unternehmen, die Auftragsverarbeitungen (meist Webhosting-Dienste) in Anspruch nehmen wollen. Bei der Auswahl des passenden Dienstleisters stellen diese Unternehmen häufig fest, dass die Musterverträge zur Auftragsverarbeitung, die dieser Dienstleister verwendet, nicht den Anforderungen des Art. 28 DSGVO entsprechen.

Musterverträge überprüfen

Die Datenschutzaufsichtsbehörde aus Berlin (BInBDI) hat am Beispiel von Berliner Unternehmen eine Checkliste zur Überprüfung von Musterverträgen zur Auftragsverarbeitung erstellt. Die Grundlagen dieser Liste können sowohl für betroffene Verantwortliche als auch die jeweiligen Auftragsverarbeiter hilfreich sein. Zu der Checkliste gibt die BInBDI Interessierten auch Nutzungshinweise zu dieser Liste an die Hand.

Bei der Veröffentlichung dieser Hilfsmittel stellt die BInBDI klar: „Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Sie wollen Dokumente und Abläufe in Ihrem Unternehmen datenschutzkonform gestalten? Unser Team an Experten steht Ihnen mit Rat und Tat zur Seite!

Typische Mängel in Musterverträgen

Die Analyse der Berliner Datenschutzaufsichtsbehörde zeigt wiederkehrende Mängel, die in Musterverträgen zur Auftragsverarbeitung auftreten. Die häufigsten Verstöße betreffen unzureichende Regelungen zur Unterauftragsverarbeitung, fehlende Angaben zu den technisch-organisatorischen Maßnahmen und unklare Bestimmungen zur Löschung nach Beendigung der Auftragsverarbeitung.

Ein besonders kritischer Mangel ist die fehlende oder unzureichende Regelung zur Unterauftragsverarbeitung gemäß Art. 28 Abs. 2 DSGVO. Viele Musterverträge enthalten eine pauschale Genehmigung für den Einsatz von Unterauftragsverarbeitern, ohne dem Verantwortlichen ein Widerspruchsrecht einzuräumen. Dies widerspricht den Anforderungen der DSGVO, die entweder eine vorherige gesonderte oder allgemeine schriftliche Genehmigung verlangt — im letzteren Fall mit Informationspflicht und Widerspruchsmöglichkeit.

Pflichtinhalte eines AVV nach Art. 28 DSGVO

Ein rechtskonformer Auftragsverarbeitungsvertrag muss nach Art. 28 Abs. 3 DSGVO mindestens folgende Punkte regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Weisungsgebundenheit des Auftragsverarbeiters
• Vertraulichkeitsverpflichtung der mit der Verarbeitung befassten Personen
• Geeignete technisch-organisatorische Maßnahmen (TOMs)
• Regelungen zur Unterauftragsverarbeitung
• Unterstützungspflichten bei Betroffenenrechten
• Löschung oder Rückgabe der Daten nach Beendigung
• Nachweis- und Kontrollrechte des Verantwortlichen

Konsequenzen eines fehlerhaften AVV

Die Verwendung eines fehlerhaften oder fehlenden Auftragsverarbeitungsvertrags kann erhebliche Konsequenzen haben. Gemäß Art. 83 Abs. 4 lit. a DSGVO drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Dabei haftet sowohl der Verantwortliche als auch der Auftragsverarbeiter — beide Seiten haben ein Interesse an einem rechtskonformen Vertrag.

In der Praxis ist es daher dringend empfehlenswert, Musterverträge von Dienstleistern nicht ungeprüft zu akzeptieren. Lassen Sie jeden AVV durch einen qualifizierten Datenschutzbeauftragten prüfen. Die Erstellung und regelmäßige Aktualisierung von Auftragsverarbeitungsverträgen gehört zu den Kernaufgaben eines externen Datenschutzbeauftragten.

Praktische Tipps für Unternehmen

Um Risiken bei der Auftragsverarbeitung zu minimieren, sollten Unternehmen systematisch vorgehen: Führen Sie zunächst eine Bestandsaufnahme aller Dienstleister durch, mit denen personenbezogene Daten geteilt werden. Prüfen Sie dann für jeden Dienstleister, ob ein Auftragsverarbeitungsverhältnis vorliegt und ob ein entsprechender Vertrag geschlossen wurde. Nutzen Sie die Checkliste der BInBDI, um bestehende Verträge auf ihre Rechtmäßigkeit zu überprüfen.

Die DATUREX GmbH unterstützt Unternehmen in Dresden und Sachsen bei der Erstellung, Prüfung und Verwaltung von Auftragsverarbeitungsverträgen — für eine rechtssichere Zusammenarbeit mit Ihren Dienstleistern.

Standardvertragsklauseln und internationale Auftragsverarbeitung

Besondere Anforderungen gelten, wenn der Auftragsverarbeiter seinen Sitz außerhalb des Europäischen Wirtschaftsraums hat. In diesem Fall müssen neben dem AVV auch geeignete Garantien für den internationalen Datentransfer vorliegen — etwa Standardvertragsklauseln (SCCs) der EU-Kommission oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Seit dem Schrems-II-Urteil des EuGH ist zudem ein Transfer Impact Assessment (TIA) erforderlich, um das Datenschutzniveau im Drittland zu bewerten.

Gerade bei weit verbreiteten Cloud-Diensten wie AWS, Google Cloud oder Microsoft Azure ist die Prüfung der Auftragsverarbeitung komplex. Die Standardverträge dieser Anbieter sollten nicht ungeprüft akzeptiert werden. Ein qualifizierter Datenschutzbeauftragter kann diese Verträge bewerten und sicherstellen, dass alle rechtlichen Anforderungen erfüllt sind.