Die Fra­ge, ob mit einem exter­nen Dienst­leis­ter ein Ver­trag zur Auf­trags­ver­ar­bei­tung (AV-Ver­trag oder AVV) erfor­der­lich ist, gehört zu den häu­figs­ten Unsi­cher­hei­ten im Daten­schutz­all­tag. Die gute Nach­richt: Wer die recht­li­chen Grund­la­gen kennt und eini­ge Grund­re­geln beach­tet, kann die­ses The­ma rechts­si­cher und prag­ma­tisch lösen.

In die­sem Bei­trag erfah­ren Sie:

  1. wann ein AV-Ver­trag ver­pflich­tend ist,
  2. was genau eine „Auf­trags­ver­ar­bei­tung“ ist,
  3. wel­che Dienst­leis­ter betrof­fen sind, und wel­che typi­schen Feh­ler Sie ver­mei­den soll­ten.

1. Was ist eine Auf­trags­ver­ar­bei­tung im Sin­ne der DSGVO?

Laut Art. 4 Nr. 8 DSGVO liegt eine Auf­trags­ver­ar­bei­tung vor, wenn ein exter­ner Dienst­leis­ter per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen ver­ar­bei­tet, ohne selbst über die Zwe­cke und Mit­tel der Ver­ar­bei­tung zu ent­schei­den.

Wich­tig: Der Dienst­leis­ter han­delt wei­sungs­ge­bun­den – er führt aus, was der Auf­trag­ge­ber vor­gibt.

2. AV-Ver­trag – Pflicht nach Art. 28 DSGVO

Wenn ein sol­cher Fall vor­liegt, muss ein schrift­li­cher oder elek­tro­ni­scher AV-Ver­trag geschlos­sen wer­den. In die­sem Ver­trag wer­den unter ande­rem fol­gen­de Punk­te gere­gelt:

  • Gegen­stand und Dau­er der Ver­ar­bei­tung
  • Art und Zweck der Ver­ar­bei­tung
  • Rech­te und Pflich­ten des Ver­ant­wort­li­chen
  • tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOMs)
  • Wei­sungs­recht
  • Unter­auf­trags­ver­hält­nis­se
  • Löschung oder Rück­ga­be der Daten am Ende des Auf­trags

Ohne AV-Ver­trag ist die Daten­ver­ar­bei­tung unzu­läs­sig – und kann als Daten­schutz­ver­stoß geahn­det wer­den.

3. Typi­sche Bei­spie­le für Dienst­leis­ter mit AV-Ver­trags­pflicht

Hier eini­ge kon­kre­te Anwen­dungs­fäl­le, in denen zwin­gend ein AV-Ver­trag abge­schlos­sen wer­den muss:

Dienst­leis­ter War­um AV-Ver­trag?
IT-Dienst­leis­ter / Sys­tem­be­treu­ung Hat oft Zugriff auf per­so­nen­be­zo­ge­ne Daten auf Ser­vern oder End­ge­rä­ten
Cloud-Anbie­ter (z. B. Micro­soft 365, Goog­le Workspace) Spei­chert oder ver­ar­bei­tet per­so­nen­be­zo­ge­ne Daten
Web­hos­ter Ver­wal­tet Web­sites mit Kon­takt­for­mu­la­ren, Nut­zer­pro­fi­len o. ä.
News­let­ter-Tools (z. B. Mailchimp, Cle­ver­Reach) Ver­ar­bei­ten Emp­fän­ger­da­ten im Auf­trag des Unter­neh­mens
exter­ne Lohn­buch­hal­tung / Gehalts­ab­rech­nung Zugriff auf beson­ders sen­si­ble Mit­ar­bei­ter­da­ten
exter­ner Akten­ver­nich­ter Ver­nich­tet per­so­nen­be­zo­ge­ne Daten im Auf­trag
Call­cen­ter / Help­desk Kom­mu­ni­ziert mit Kun­den im Namen des Unter­neh­mens
Online-Ter­min­bu­chungs­sys­te­me (z. B. Doc­to­lib, Calend­ly) Ver­ar­bei­tet Kun­den­da­ten zur Ter­min­ver­wal­tung
Back­up- und War­tungs­dienst­leis­ter Hat ggf. Ein­sicht in Daten­be­stän­de

 

4. Wann kein AV-Ver­trag erfor­der­lich ist

Nicht jede Zusam­men­ar­beit mit einem Dienst­leis­ter ist auto­ma­tisch eine Auf­trags­ver­ar­bei­tung. Kein AV-Ver­trag ist z. B. nötig bei:

  • Rechts­an­wäl­ten, Steu­er­be­ra­tern, Wirt­schafts­prü­fern: Sie gel­ten in der Regel als eigen­stän­dig Ver­ant­wort­li­che, da sie ihre Tätig­keit eigen­ver­ant­wort­lich und unab­hän­gig aus­üben.
  • Paket­diens­ten / Logis­tik­un­ter­neh­men: Die­se erhal­ten Adress­da­ten zur eige­nen Auf­ga­ben­er­fül­lung – kei­ne wei­sungs­ge­bun­de­ne Daten­ver­ar­bei­tung.
  • Ban­ken, Ver­si­che­run­gen, Kran­ken­kas­sen: Auch hier han­delt es sich meist um eige­ne Ver­ant­wort­li­che.
  • Wer­be­agen­tu­ren mit krea­ti­ver Ent­schei­dungs­frei­heit: Wenn sie eige­ne Inhal­te und Ziel­grup­pen bestim­men.

Tipp: Im Zwei­fel prü­fen, ob der Dienst­leis­ter nur Hilfs­funk­ti­on über­nimmt oder eige­ne Ent­schei­dungs­kom­pe­tenz hat.

5. Häu­fi­ge Feh­ler in der Pra­xis

  • Ver­trag ver­ges­sen: Vie­le Unter­neh­men ver­ges­sen, beim Dienst­leis­ter­wech­sel oder bei ein­ma­li­gen Pro­jek­ten einen AVV zu schlie­ßen.
  • Kein ech­ter Auf­trags­ver­ar­bei­ter: AV-Ver­trä­ge wer­den manch­mal unnö­tig mit eigen­ver­ant­wort­li­chen Part­nern geschlos­sen.
  • Ver­trag nicht geprüft: Vor­for­mu­lier­te AV-Ver­trä­ge inter­na­tio­na­ler Anbie­ter (z. B. US-Cloud­diens­te) genü­gen oft nicht den DSGVO-Anfor­de­run­gen – ins­be­son­de­re bei Daten­über­mitt­lun­gen in Dritt­län­der.
  • Feh­len­de Doku­men­ta­ti­on: Der AV-Ver­trag soll­te nach­weis­bar vor­han­den sein – für inter­ne Audits oder Prü­fun­gen durch die Auf­sichts­be­hör­de.

6. Was gehört zur Umset­zung in der Pra­xis?

  • Lis­te aller Auf­trags­ver­ar­bei­ter füh­ren (z. B. als Anla­ge zum Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten)
  • AV-Ver­trä­ge sys­te­ma­tisch ein­ho­len und archi­vie­ren
  • TOMs des Dienst­leis­ters prü­fen (Ver­schlüs­se­lung, Zugriffs­kon­trol­le etc.)
  • Dienst­leis­ter regel­mä­ßig prü­fen, ins­be­son­de­re bei sen­si­blen Daten

Fazit

Ein AV-Ver­trag ist kein büro­kra­ti­sches Übel, son­dern ein gesetz­lich vor­ge­schrie­be­ner Schutz­me­cha­nis­mus für die Betrof­fe­nen­rech­te und die Rechts­si­cher­heit Ihres Unter­neh­mens. Wer mit per­so­nen­be­zo­ge­nen Daten arbei­tet, kommt an der sau­be­ren ver­trag­li­chen Rege­lung nicht vor­bei.

Tipp zum Schluss: Prü­fen Sie Ihre Dienst­leis­ter­lis­te – ger­ne unter­stüt­zen wir Sie bei der Bewer­tung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, und stel­le rechts­si­che­re Ver­trags­mus­ter zur Ver­fü­gung