Datenschutz – Wann ist eine Auftragsverarbeitung nach Art. 28 DSGVO nötig?

25.07.2025, 13:27 Uhr in Service, Anzeige
Datenschutz pixabay
Foto: pixabay.com

Die Auftragsverarbeitung stellt einen zentralen Bestandteil des europäischen Datenschutzrechts dar. Sie beschreibt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen. Rechtlich ist sie in Art. 28 DSGVO geregelt und bildet die Grundlage für die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter. Entscheidend ist, dass der Auftragsverarbeiter die Daten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen verarbeitet und die Vorgaben der Datenschutz-Grundverordnung strikt einhält. Die Auftragsverarbeitung nach Art. 28 DSGVO verpflichtet beide Parteien zur vertraglichen Absicherung der datenschutzrechtlichen Pflichten, wie sie auch Anwalt und Datenschutzbeauftragter M. Giel in der Beratungspraxis regelmäßig betont.

Für Unternehmen und öffentliche Stellen besitzt die Thematik erhebliche praktische Bedeutung. Externe Dienstleister werden in nahezu allen Bereichen eingesetzt, etwa im IT-Betrieb, in der Personalverwaltung oder im Kundendienst. Eine fehlerhafte Einordnung der Datenverarbeitung oder das Fehlen eines ordnungsgemäßen Auftragsverarbeitungsvertrags kann schwerwiegende rechtliche und finanzielle Folgen haben. Daher ist die präzise Abgrenzung zwischen Auftragsverarbeitung und eigenständiger Verantwortlichkeit von besonderer Relevanz, um Bußgelder und Haftungsrisiken zu vermeiden.

Art. 28 DSGVO verfolgt das Ziel, ein hohes Maß an Kontrolle und Sicherheit bei der Auslagerung von Datenverarbeitungen zu gewährleisten. Der Artikel soll sicherstellen, dass personenbezogene Daten auch bei der Verarbeitung durch externe Stellen nach denselben strengen Datenschutzstandards geschützt bleiben. Durch die verbindliche Festlegung vertraglicher Pflichten und technischer sowie organisatorischer Maßnahmen schafft die Norm Transparenz, Nachvollziehbarkeit und Verantwortlichkeit im gesamten Verarbeitungsprozess.

Abgrenzung: Auftragsverarbeitung, gemeinsame Verantwortung und eigene Verantwortlichkeit

Die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter richtet sich maßgeblich nach den Definitionen in Art. 4 Nr. 7 und Nr. 8 DSGVO. Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung personenbezogener Daten, während der Auftragsverarbeiter die Daten ausschließlich nach den Weisungen des Verantwortlichen verarbeitet. Maßgebliche Kriterien für die Einordnung sind der Grad der Entscheidungsfreiheit, die tatsächliche Kontrolle über den Verarbeitungsprozess und die Eigenständigkeit bei der Bestimmung der Verarbeitungszwecke. Eine klare Trennung dieser Rollen ist unerlässlich, um datenschutzrechtliche Zuständigkeiten und Haftungsfragen rechtssicher festzulegen.

Typische Auftragsverarbeitungsverhältnisse bestehen etwa bei externen IT-Dienstleistern, Cloud-Anbietern, Rechenzentren oder Dienstleistern für Lohn- und Gehaltsabrechnungen. Auch Marketingagenturen, die personenbezogene Kundendaten im Auftrag eines Unternehmens verarbeiten, fallen regelmäßig unter diese Kategorie. Entscheidend ist, dass der Dienstleister keine eigenen Interessen an der Datenverarbeitung verfolgt, sondern ausschließlich im Rahmen des Auftrags handelt. Der Abschluss eines schriftlichen oder elektronischen Auftragsverarbeitungsvertrags ist in solchen Fällen zwingend erforderlich, um die rechtliche Grundlage für die Datenverarbeitung zu schaffen.

Von der Auftragsverarbeitung abzugrenzen ist die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Diese liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Beide Parteien sind in diesem Fall gleichrangig verantwortlich und müssen in einer Vereinbarung festlegen, wer welche Verpflichtungen nach der DSGVO erfüllt. Im Unterschied zur Auftragsverarbeitung erfolgt die Datenverarbeitung hier nicht einseitig im Auftrag, sondern auf Grundlage einer gemeinsamen Entscheidung, die eine abgestimmte Organisation und transparente Verantwortungsverteilung erfordert.

Voraussetzungen für eine zulässige Auftragsverarbeitung nach Art. 28 DSGVO

Eine zulässige Auftragsverarbeitung setzt stets eine vertragliche Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter voraus. Der Vertrag dient dazu, die Verarbeitung personenbezogener Daten klar zu regeln und die datenschutzrechtlichen Pflichten beider Parteien verbindlich festzulegen. Nach Art. 28 Abs. 3 DSGVO muss die Vereinbarung schriftlich oder in elektronischer Form geschlossen werden. Sie gewährleistet, dass der Auftragsverarbeiter die Daten ausschließlich nach Weisung des Verantwortlichen verarbeitet und geeignete technische sowie organisatorische Maßnahmen zum Schutz der Daten umsetzt. M. Giel, Fachanwalt für IT-Recht und TÜV-zertifizierter Datenschutzbeauftragter, weist darauf hin, dass die sorgfältige Ausgestaltung des Vertrags ein entscheidender Faktor für die Rechtmäßigkeit der Datenverarbeitung ist.

Der Auftragsverarbeitungsvertrag muss bestimmte Mindestinhalte enthalten, um den Anforderungen der DSGVO zu genügen. Dazu zählen insbesondere Angaben zum Gegenstand und zur Dauer der Verarbeitung, zur Art und zum Zweck der Datenverarbeitung sowie zu den Kategorien betroffener Personen und verarbeiteter Daten. Darüber hinaus sind Regelungen zur Vertraulichkeit, zur Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte und zu Sicherheitsmaßnahmen erforderlich. Auch die Bedingungen für den Einsatz von Unterauftragsverarbeitern müssen eindeutig festgelegt sein. Nur ein umfassend formulierter Vertrag stellt sicher, dass die Verarbeitung im Einklang mit den gesetzlichen Vorgaben erfolgt.

Der Verantwortliche bleibt trotz Übertragung einzelner Verarbeitungstätigkeiten weiterhin für die Einhaltung der Datenschutzvorschriften verantwortlich. Ihm obliegt die Pflicht, die Einhaltung der vereinbarten Maßnahmen regelmäßig zu kontrollieren und zu dokumentieren. Dazu gehört die Prüfung technischer und organisatorischer Sicherheitsvorkehrungen ebenso wie die Überwachung der Weisungstreue des Auftragsverarbeiters. Durch diese Kontrollrechte wird gewährleistet, dass die Verarbeitung personenbezogener Daten dauerhaft den Anforderungen des Datenschutzrechts entspricht und ein wirksames Schutzniveau für die Betroffenen erhalten bleibt.

Pflichten des Auftragsverarbeiters im Datenschutzrecht

Der Auftragsverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Maßnahmen müssen sowohl den aktuellen Stand der Technik als auch die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen. Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu sichern und unbefugten Zugriff zu verhindern. Die Verantwortung des Auftragsverarbeiters umfasst auch die regelmäßige Überprüfung und Anpassung der Maßnahmen, um den Schutz der Daten dauerhaft sicherzustellen.

Darüber hinaus unterliegt der Auftragsverarbeiter der Pflicht zur strikten Vertraulichkeit und Weisungsgebundenheit. Alle Personen, die im Auftrag des Verarbeiters Zugang zu personenbezogenen Daten erhalten, müssen zur Vertraulichkeit verpflichtet sein. Die Verarbeitung darf ausschließlich auf Grundlage der dokumentierten Weisungen des Verantwortlichen erfolgen. Eigene Entscheidungen über Zwecke oder Mittel der Datenverarbeitung sind ausgeschlossen. Diese Weisungsgebundenheit stellt sicher, dass die Kontrolle über die Datenverarbeitung beim Verantwortlichen verbleibt und die Verarbeitung ausschließlich im Rahmen der rechtlichen Vorgaben erfolgt.

Eine weitere wesentliche Verpflichtung betrifft die Mitwirkung des Auftragsverarbeiters bei Datenschutzverletzungen und der Wahrung von Betroffenenrechten. Im Fall einer Verletzung des Schutzes personenbezogener Daten muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren und alle erforderlichen Informationen zur Bewertung und Bewältigung des Vorfalls bereitstellen. Ebenso ist er verpflichtet, den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs- oder Löschungsersuchen zu unterstützen. Diese Mitwirkungspflichten tragen dazu bei, die Transparenz gegenüber den betroffenen Personen zu wahren und eine effektive Reaktion auf Datenschutzverstöße zu gewährleisten.

Praktische Beispiele und typische Fallkonstellationen

Cloud-Dienste, IT-Wartung und externe Lohnabrechnung zählen zu den häufigsten Anwendungsfällen der Auftragsverarbeitung. Bei Cloud-Diensten werden Daten auf Servern eines externen Anbieters gespeichert und verarbeitet, wodurch dieser Zugriff auf personenbezogene Informationen erhält. Gleiches gilt für IT-Dienstleister, die Wartungsarbeiten an Systemen durchführen oder Supportleistungen erbringen. Auch Unternehmen, die ihre Lohn- und Gehaltsabrechnungen an spezialisierte Dienstleister auslagern, übertragen personenbezogene Mitarbeiterdaten an einen Auftragsverarbeiter. In all diesen Fällen ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend erforderlich, um die Rechtmäßigkeit der Datenverarbeitung sicherzustellen.

Das Outsourcing der Kundendatenverarbeitung stellt ein weiteres typisches Beispiel dar. Unternehmen lagern dabei häufig Aufgaben wie Bestellabwicklung, Zahlungsmanagement oder Kundenbetreuung an externe Anbieter aus. Diese erhalten Zugang zu personenbezogenen Kundendaten, um im Auftrag des Unternehmens die jeweiligen Prozesse durchzuführen. Entscheidend ist, dass der externe Anbieter nicht selbst über die Zwecke der Verarbeitung entscheidet, sondern die Daten ausschließlich nach den Vorgaben des Auftraggebers verarbeitet. Durch die vertragliche Regelung wird gewährleistet, dass Datenschutz und Datensicherheit auch beim Outsourcing außerhalb der eigenen Unternehmensstrukturen eingehalten werden.

Besonders anspruchsvoll gestaltet sich die Abgrenzung in Graubereichen wie bei Kommunikations- und Marketingdienstleistern. Diese übernehmen oft Aufgaben, die sowohl Elemente der Auftragsverarbeitung als auch eigene Verantwortlichkeiten enthalten. Beispielsweise kann ein E-Mail-Marketing-Anbieter personenbezogene Daten im Auftrag eines Unternehmens verarbeiten, gleichzeitig aber eigene Analysen zur Optimierung seines Dienstes durchführen. In solchen Fällen ist eine genaue Prüfung erforderlich, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Nur eine sorgfältige rechtliche Bewertung ermöglicht es, die datenschutzrechtlichen Pflichten korrekt zuzuordnen und Risiken zu vermeiden.

Rechtsfolgen bei unzulässiger oder fehlender Auftragsverarbeitung

Ein Verstoß gegen die Anforderungen an die Auftragsverarbeitung kann erhebliche finanzielle und rechtliche Konsequenzen nach sich ziehen. Nach Art. 83 DSGVO drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, wenn eine unzulässige oder fehlende Auftragsverarbeitung festgestellt wird. Zusätzlich besteht ein Haftungsrisiko, wenn durch mangelhafte vertragliche Regelungen oder unzureichende Kontrollen personenbezogene Daten unrechtmäßig verarbeitet oder offengelegt werden. Neben der finanziellen Belastung kann auch der Reputationsschaden für die betroffenen Unternehmen beträchtlich sein, insbesondere wenn Datenschutzverstöße öffentlich bekannt werden.

Für Verantwortliche hat eine unzulässige Auftragsverarbeitung unmittelbare Auswirkungen auf die Erfüllung ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Sie müssen jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig und im Einklang mit den Datenschutzgrundsätzen erfolgt. Wird diese Nachweisfähigkeit durch einen fehlenden oder fehlerhaften Auftragsverarbeitungsvertrag beeinträchtigt, liegt ein Verstoß gegen die Rechenschaftspflicht vor. Verantwortliche tragen das volle Risiko für Versäumnisse ihrer Auftragsverarbeiter, da die datenschutzrechtliche Verantwortung nicht delegiert werden kann.

Entscheidungen der Aufsichtsbehörden verdeutlichen, dass Verstöße gegen die Vorgaben der Auftragsverarbeitung regelmäßig sanktioniert werden. So wurden Unternehmen in mehreren EU-Mitgliedstaaten mit hohen Geldbußen belegt, weil sie Daten an Dienstleister ohne gültigen Vertrag weitergegeben oder die Weisungsbefugnis nicht ausreichend dokumentiert hatten. In der Praxis zeigen diese Fälle, dass die Anforderungen an eine rechtskonforme Auftragsverarbeitung nicht nur formaler Natur sind, sondern einen wesentlichen Bestandteil eines wirksamen Datenschutzmanagements darstellen.

Fazit: Verantwortungsbewusste Gestaltung von Auftragsverarbeitungen

Die rechtliche Prüfung von Auftragsverarbeitungsverhältnissen besitzt zentrale Bedeutung für die datenschutzkonforme Unternehmenspraxis. Eine fehlerhafte Einordnung oder unzureichende Vertragsgestaltung kann schwerwiegende Folgen haben, die bis zu empfindlichen Sanktionen reichen. Daher ist es unerlässlich, jeden Verarbeitungsvorgang genau zu analysieren und die Rollenverteilung zwischen Verantwortlichem und Auftragsverarbeiter eindeutig festzulegen. Nur eine fundierte rechtliche Bewertung stellt sicher, dass die Anforderungen des Datenschutzrechts eingehalten und Haftungsrisiken vermieden werden.

Für eine effektive Umsetzung in der Praxis empfiehlt sich ein systematisches Compliance-Management, das die Prozesse der Auftragsverarbeitung strukturiert überwacht und dokumentiert. Dazu gehören standardisierte Vertragsvorlagen, regelmäßige Audits und Schulungen der verantwortlichen Mitarbeiter. Auch die Prüfung technischer und organisatorischer Maßnahmen sollte fest in den Kontrollablauf integriert sein. Unternehmen, die Datenschutz als Bestandteil ihrer Unternehmensethik verstehen, stärken nicht nur ihre rechtliche Position, sondern auch das Vertrauen von Kunden, Geschäftspartnern und Aufsichtsbehörden.

Die fortschreitende Digitalisierung und der Einsatz neuer Technologien wie Künstliche Intelligenz und Cloud-Computing stellen das Datenschutzrecht vor stetig wachsende Herausforderungen. Zukünftige Entwicklungen werden eine noch engere Verzahnung von technischer Sicherheit und rechtlicher Verantwortung erfordern. Eine verantwortungsbewusste Gestaltung von Auftragsverarbeitungen muss daher flexibel auf technologische Innovationen reagieren und gleichzeitig die Grundprinzipien des Datenschutzes wahren. Nur so lässt sich ein nachhaltiger Ausgleich zwischen wirtschaftlicher Effizienz und dem Schutz personenbezogener Daten erreichen.

Anzeige

Teilen auf

Mehr aus Service

Ausreichend trinken im Alltag: So verbessert moderne Technik die Hydration

vor einem Tag in Service, Anzeige

Digitalisierung im Arbeitsschutz: Moderne Lösungen für die UVV-Prüfung

vor 2 Tagen in Service, Anzeige

Bestattungsvorsorge in Mainfranken – Wie Sie Ihre Angehörigen wirklich entlasten

vor 2 Tagen in Service, Anzeige

Die Zukunft der Logistik: KI in der Flottenanalyse

vor 21 Tagen in Service, Anzeige

10 Maßnahmen, um Rutschunfälle im Betrieb zu verhindern

vor 22 Tagen in Service, Anzeige

Der Leinenanzug für Herren – Stilvoll und luftig durch den Sommer

vor 27 Tagen in Service, Anzeige