Auftragsverarbeitung nach Art. 28 DSGVO: der AVV
Wer personenbezogene Daten durch einen Dienstleister verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag (AVV). Hier findest du, wann er Pflicht ist, welche acht Punkte er nach Art. 28 Abs. 3 DSGVO regeln muss und was für Unterauftragsverarbeiter gilt — jede Aussage mit Fundstelle.
Was ist Auftragsverarbeitung?
Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Typische Beispiele sind ein externer Cloud- oder Hosting-Anbieter, ein Lohnabrechnungsdienstleister, ein E-Mail-Marketing-Tool oder ein IT-Wartungsunternehmen. Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung; der Auftragsverarbeiter führt sie weisungsgebunden aus.
Merksatz: Sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet, muss die Verarbeitung nach Art. 28 Abs. 3 DSGVO auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach Unions- oder mitgliedstaatlichem Recht erfolgen — in der Praxis regelmäßig der Auftragsverarbeitungsvertrag (AVV). Der Verantwortliche bleibt dabei nach außen verantwortlich.
Sorgfältige Auswahl: hinreichende Garantien (Art. 28 Abs. 1)
Der Verantwortliche darf nach Art. 28 Abs. 1 DSGVO nur mit Auftragsverarbeitern arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) durchgeführt werden und die Verarbeitung im Einklang mit der DSGVO erfolgt. Die Auswahl eines Dienstleisters ist damit keine reine Formsache: Wer einen ungeeigneten Auftragsverarbeiter beauftragt, verletzt bereits seine eigene Pflicht. Welche Sicherheitsmaßnahmen konkret geeignet sind, richtet sich nach Art. 32 DSGVO; die Grundzüge der Verarbeitung erklären die DSGVO-Grundlagen.
Pflichtinhalte des AVV (Art. 28 Abs. 3 lit. a–h)
Der Vertrag — oder ein anderes Rechtsinstrument nach Unions- oder mitgliedstaatlichem Recht — muss den Auftragsverarbeiter in Bezug auf den Verantwortlichen binden und insbesondere die folgenden acht Punkte regeln:
- a) Weisungsgebundenheit: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen — auch bei Übermittlung in ein Drittland.
- b) Vertraulichkeit: Die zur Verarbeitung befugten Personen haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.
- c) Sicherheit: Der Auftragsverarbeiter trifft alle nach Art. 32 erforderlichen Sicherheitsmaßnahmen.
- d) Unterauftragsverarbeiter: Einhaltung der Bedingungen des Art. 28 Abs. 2 und 4 für die Inanspruchnahme weiterer Auftragsverarbeiter.
- e) Betroffenenrechte: Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen zur Wahrnehmung der Betroffenenrechte nach Kapitel III.
- f) Weitere Pflichten: Unterstützung bei der Einhaltung der Pflichten aus Art. 32 bis 36 — also Sicherheit, Meldung von Datenpannen und Datenschutz-Folgenabschätzung.
- g) Löschung oder Rückgabe: Nach Abschluss der Leistung nach Wahl des Verantwortlichen alle Daten löschen oder zurückgeben und vorhandene Kopien löschen — sofern keine Speicherpflicht nach Unions- oder mitgliedstaatlichem Recht besteht.
- h) Nachweis und Audits: Alle erforderlichen Informationen zum Nachweis der Einhaltung bereitstellen sowie Überprüfungen und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer ermöglichen und dazu beitragen.
Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4)
Ein Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter (Subunternehmer) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen (Art. 28 Abs. 2). Hat der Verantwortliche eine allgemeine Genehmigung erteilt, muss der Auftragsverarbeiter jede beabsichtigte Änderung — also die Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters — mitteilen und dem Verantwortlichen die Möglichkeit zum Einspruch geben.
Nach Art. 28 Abs. 4 DSGVO müssen dem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegt werden wie dem ersten Auftragsverarbeiter. Kommt der Unterauftragsverarbeiter diesen Pflichten nicht nach, haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung.
Wenn der Auftragsverarbeiter selbst entscheidet (Art. 28 Abs. 10)
Überschreitet ein Auftragsverarbeiter seine Weisungen und bestimmt er selbst über die Zwecke und Mittel der Verarbeitung, so gilt er nach Art. 28 Abs. 10 DSGVO in Bezug auf diese Verarbeitung als Verantwortlicher — mit allen damit verbundenen Pflichten. Die saubere Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter ist deshalb nicht nur akademisch, sondern entscheidet über die Rollen und Haftung.
Bußgeldrahmen bei Verstößen (Art. 83 Abs. 4)
Ein fehlender oder inhaltlich unzureichender AVV ist bußgeldbewehrt. Verstöße gegen die Pflichten des Auftragsverarbeiters nach Art. 28 fallen unter Art. 83 Abs. 4 lit. a DSGVO, der ausdrücklich die Artikel 25 bis 39 erfasst — und damit auch Art. 28.
Der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO beträgt bis zu 10 Millionen Euro oder — im Fall eines Unternehmens — bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Wer die Grundzüge der Verarbeitung wiederholen möchte, findet sie in den DSGVO-Grundlagen; die Rolle des Datenschutzbeauftragten erläutert der Artikel zur Fachkunde des DSB.
Häufige Fragen
Reicht ein mündlicher Auftrag ohne AVV aus?
Nein. Nach Art. 28 Abs. 3 DSGVO muss die Auftragsverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach Unions- oder mitgliedstaatlichem Recht erfolgen, und nach Art. 28 Abs. 9 ist dieser schriftlich abzufassen — zulässig ist auch ein elektronisches Format. Ein rein mündlicher Auftrag erfüllt die Anforderungen nicht.
Wer haftet, wenn der Subunternehmer patzt?
Der erste Auftragsverarbeiter. Nach Art. 28 Abs. 4 DSGVO haftet er gegenüber dem Verantwortlichen dafür, dass der von ihm eingeschaltete Unterauftragsverarbeiter seine Datenschutzpflichten einhält. Zusätzlich muss dem Unterauftragsverarbeiter derselbe Pflichtenkatalog vertraglich auferlegt werden.
Auftragsverarbeitung sicher beherrschen
Übe Art. 28 DSGVO und alle weiteren Themengebiete mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679). Keine Rechtsberatung.