EuroComply
Konto erstellen
Back to blog
DSGVO 9 min read

Wie Sie Drittanbieter-Auftragsverarbeiter gemäß DSGVO auditieren

What you need to know: Wie Sie Drittanbieter-Auftragsverarbeiter gemäß DSGVO auditieren

Artikel 28 DSGVO verpflichtet Organisationen, ausschließlich Auftragsverarbeiter einzusetzen, die hinreichende Garantien bieten. Dieser Leitfaden erklärt, wie Sie Anbieter auditieren und konforme Auftragsverarbeitungsverträge (AVV) abschließen.

Source: EuroComply Editorial (2024-11-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Jede Organisation, die einen externen Anbieter mit der Verarbeitung personenbezogener Daten in ihrem Auftrag betraut, muss sicherstellen, dass dieser Anbieter gemäß Artikel 28 DSGVO „hinreichende Garantien" bietet. Dies ist keine bloße vertragliche Formalität — es handelt sich um eine materielle Rechenschaftspflicht. Aufsichtsbehörden werten ein mangelhaftes Auftragsverarbeitermanagement als schwerwiegendes Compliance-Versagen, das Rückschlüsse auf das gesamte Datenschutzmanagementsystem des Verantwortlichen zulässt.

Dieser Leitfaden erläutert, was ein Auftragsverarbeiter ist, was Artikel 28 vorschreibt, wie Sie Auftragsverarbeiter effektiv auditieren und wie Sie die laufenden Pflichten aus Ihren Auftragsverarbeitungsverhältnissen erfüllen.

Was ist ein Auftragsverarbeiter?

Artikel 4 Nr. 8 DSGVO definiert einen Auftragsverarbeiter als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet." Das entscheidende Merkmal ist „im Auftrag" — ein Auftragsverarbeiter handelt nach den Weisungen des Verantwortlichen und verarbeitet die Daten für dessen Zwecke, nicht für eigene.

Typische Beispiele für Auftragsverarbeiter sind: Cloud-Hosting-Anbieter, Lohnbuchhaltungsbüros, E-Mail-Marketing-Plattformen, CRM-Systeme, Personalverwaltungssoftware, Kundensupport-Tools sowie Analyseplattformen, die personenbezogene Daten verarbeiten, die Sie bereitstellen oder erzeugen. Ein Anbieter, der personenbezogene Daten ausschließlich für eigene Zwecke verarbeitet — z. B. ein Analysedienstleister, der Ihre Daten mit Daten anderer Kunden für sein eigenes Produktportfolio aggregiert — ist kein Auftragsverarbeiter; er ist gemeinsamer Verantwortlicher oder eigenständiger Verantwortlicher, und es gelten andere Regelungen.

Diese Unterscheidung ist wesentlich, da die Anforderungen aus Artikel 28 speziell an Auftragsverarbeitungsverhältnisse anknüpfen. Eine fehlerhafte Einordnung — die Behandlung eines eigenständigen Verantwortlichen als Auftragsverarbeiter — führt zu falschen Vertragsstrukturen und potenziell falsch zugeordneter Haftung.

Anforderungen aus Artikel 28

Artikel 28 legt Verantwortlichen zwei primäre Pflichten auf:

1. Ausschließlich Auftragsverarbeiter einsetzen, die hinreichende Garantien bieten. Vor der Beauftragung eines Auftragsverarbeiters müssen Sie prüfen, ob dieser „hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet". Was „hinreichend" bedeutet, ist in der Verordnung nicht definiert — es bedarf einer echten Prüfung, keiner bloßen Abhakübung.

2. Einen Auftragsverarbeitungsvertrag (AVV) abschließen. Jedes Auftragsverarbeitungsverhältnis muss durch einen Vertrag oder eine andere Rechtsgrundlage geregelt werden, durch die der Auftragsverarbeiter gegenüber dem Verantwortlichen gebunden ist.

Was ein AVV enthalten muss (8 Pflichtklauseln)

Artikel 28 Abs. 3 DSGVO schreibt vor, dass der AVV festlegen muss, dass der Auftragsverarbeiter:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet — einschließlich in Bezug auf Übermittlungen in Drittländer — es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet (in diesem Fall informiert er den Verantwortlichen, sofern kein Verbot besteht).
  2. Sicherstellt, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Geeignete technische und organisatorische Maßnahmen nach Artikel 32 umsetzt.
  4. Die Voraussetzungen für die Hinzuziehung weiterer Auftragsverarbeiter einhält — insbesondere die vorherige schriftliche Genehmigung des Verantwortlichen sowie die Weitergabe gleichwertiger Pflichten an jeden weiteren Auftragsverarbeiter.
  5. Den Verantwortlichen bei der Erfüllung seiner Pflichten unterstützt, auf Anfragen betroffener Personen zu reagieren (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch), soweit dies angesichts der Art der Verarbeitung möglich ist.
  6. Den Verantwortlichen bei den Pflichten im Zusammenhang mit Sicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung (DSFA) und vorheriger Konsultation unterstützt, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
  7. Nach Abschluss der Verarbeitungsdienstleistungen alle personenbezogenen Daten löscht oder zurückgibt und vorhandene Kopien vernichtet, sofern nicht das Unionsrecht oder das Recht der Mitgliedstaaten eine Speicherung vorschreibt.
  8. Alle erforderlichen Informationen zur Verfügung stellt, um die Einhaltung der Vorschriften nachweisen zu können, und Audits und Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer ermöglicht und dazu beiträgt.

Diese acht Klauseln sind das Minimum. Viele AVV enthalten darüber hinaus Regelungen zu Reaktionszeiten bei Sicherheitsvorfällen, zur Benachrichtigung bei Datenschutzverletzungen sowie zu konkreten Sicherheitsstandards.

Wie Sie Auftragsverarbeiter auditieren

Auditrechte in einem AVV sind wertlos, wenn sie nicht ausgeübt werden. Ein praxistaugliches Auftragsverarbeiter-Auditprogramm umfasst drei Komponenten:

Vorvertragliche Prüfung

Führen Sie vor dem Abschluss eines AVV eine fragebogengestützte Prüfung durch, die folgende Bereiche abdeckt: Sicherheitsrichtlinien und Zertifizierungen des Anbieters; Speicher- und Verarbeitungsort personenbezogener Daten (Datenhaltungsort); Liste der Unterauftragsverarbeiter und deren Verwaltung; Reaktionsfähigkeit bei Datenpannen und bisherige Vorfallhistorie; Schulungen des Personals und Hintergrundprüfungsverfahren; sowie Verfahren zur Datenlöschung oder -rückgabe.

Auf folgende Zertifizierungen sollten Sie achten: ISO 27001 (Informationssicherheitsmanagementsystem) und SOC 2 Typ II (Kontrollen für Sicherheit, Verfügbarkeit und Vertraulichkeit) sind die zwei wichtigsten. Eine ISO-27001-Zertifizierung durch eine akkreditierte Zertifizierungsstelle ist ein starkes Indiz für ein ausgereiftes Sicherheitsprogramm. SOC-2-Typ-II-Berichte sollten sorgfältig geprüft und nicht nur zur Kenntnis genommen werden — prüfen Sie insbesondere den Ausnahmeabschnitt, nicht nur das Prüfungsurteil.

Diese Zertifizierungen verringern die Notwendigkeit einer direkten Prüfung, ersetzen sie aber nicht. Ein Anbieter kann ISO-27001-zertifiziert sein und gleichzeitig DSGVO-spezifische Lücken aufweisen.

Vertragliche Auditrechte

Stellen Sie sicher, dass der AVV klare Auditrechte enthält — das Recht, Audits der Verarbeitungstätigkeiten und Sicherheitsmaßnahmen des Auftragsverarbeiters durchzuführen, entweder direkt oder durch einen beauftragten Dritten. Große Auftragsverarbeiter (Cloud-Hyperscaler, große SaaS-Plattformen) lehnen direkte Audits häufig ab und stellen stattdessen Auditberichte (SOC 2, ISO-27001-Zertifikate) als Nachweis bereit. Dies ist in vielen Fällen gemäß Artikel 28 Abs. 3 lit. h DSGVO akzeptabel, sollten Sie jedoch das vertragliche Recht auf direkte Audits behalten, wenn die Umstände dies erfordern.

Jährliche Überprüfung

Überprüfen Sie mindestens einmal jährlich den Compliance-Status des Auftragsverarbeiters: Ist seine Zertifizierung abgelaufen? Gab es Sicherheitsvorfälle? Hat sich die Unterauftragsverarbeiterliste in einer Weise geändert, die eine Prüfung erforderlich macht? Haben sich die Vertragsbedingungen geändert? Viele Anbieter informieren Kunden über Änderungen an AVV und Unterauftragsverarbeiterlisten — etablieren Sie einen Prozess zur Prüfung dieser Benachrichtigungen, anstatt sie automatisch zu akzeptieren.

Unterauftragsverarbeiter-Management (Artikel 28 Abs. 2)

Artikel 28 Abs. 2 DSGVO verpflichtet Auftragsverarbeiter, vor der Hinzuziehung eines weiteren Auftragsverarbeiters eine Genehmigung des Verantwortlichen einzuholen. Es gibt zwei Genehmigungsmodelle:

Spezifische Genehmigung: Der Verantwortliche genehmigt jeden Unterauftragsverarbeiter einzeln, bevor der Auftragsverarbeiter ihn beauftragt. Dies bietet maximale Kontrolle, ist aber für Auftragsverarbeiter mit langen oder häufig wechselnden Unterauftragsverarbeiterlisten operativ aufwendig.

Allgemeine Genehmigung: Der Verantwortliche erteilt vorab eine Genehmigung für Kategorien von Unterauftragsverarbeitern oder gestattet dem Auftragsverarbeiter, Unterauftragsverarbeiter nach vorheriger Ankündigung hinzuzuziehen. Die meisten großen SaaS-Anbieter nutzen dieses Modell. Entscheidend ist, dass der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern informiert und der Verantwortliche das Recht behält, Einwände zu erheben.

Führen Sie ein Unterauftragsverarbeiterregister als Teil Ihres Auftragsverarbeitermanagements. Wenn ein Auftragsverarbeiter Sie über eine Änderung bei Unterauftragsverarbeitern informiert, prüfen Sie den Compliance-Status des neuen Unterauftragsverarbeiters, bevor das 30-tägige Widerspruchsfenster abläuft.

Internationale Datenübermittlungen (Standardvertragsklauseln nach Artikel 46)

Verarbeitet ein Auftragsverarbeiter (oder Unterauftragsverarbeiter) personenbezogene Daten außerhalb des EWR, ist ein Übermittlungsmechanismus nach Artikel 46 DSGVO erforderlich. Die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCC, angenommen im Juni 2021) sind der Standardmechanismus. Die SCC-Modul-2-Klauseln (Verantwortlicher an Auftragsverarbeiter) sollten in den AVV aufgenommen oder ihm als Anhang beigefügt werden.

Die Einbeziehung der SCC ist für sich genommen nicht ausreichend — Sie müssen für jedes Übermittlungsziel zusätzlich eine Übermittlungs-Folgenabschätzung (Transfer Impact Assessment, TIA) durchführen und prüfen, ob das Rechtssystem des Empfängerlandes einen dem EWR gleichwertigen Schutz bietet. Dokumentieren Sie Ihre TIA-Methodik und die daraus gezogenen Schlussfolgerungen.

Führen eines Auftragsverarbeiterverzeichnisses

Im Rahmen Ihres Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO sollten Sie ein Auftragsverarbeiterverzeichnis führen, das folgende Angaben enthält: Name und Kontaktdaten des Auftragsverarbeiters; Kategorien der durchgeführten Verarbeitungen; eingesetzte Unterauftragsverarbeiter; Ziele der Datenübermittlungen und die verwendeten Übermittlungsmechanismen; Referenz und Version des AVV; sowie das Datum der letzten Überprüfung. Dieses Verzeichnis ist das Rechenschaftsdokument, mit dem Sie Aufsichtsbehörden gegenüber nachweisen, dass Ihr Auftragsverarbeitermanagement funktioniert.

Eine jährliche Überprüfung ist das Minimum — integrieren Sie Auslöser in Ihren Beschaffungs- und Anbieterprüfungsprozess, damit das Verzeichnis aktualisiert wird, sobald ein neuer Auftragsverarbeiter beauftragt, ein AVV geändert oder eine Benachrichtigung über eine Änderung bei Unterauftragsverarbeitern erhalten wird.


Zuletzt aktualisiert: Mai 2026. Ausschließlich zu Informationszwecken — keine Rechtsberatung.

Häufig gestellte Fragen

Wir nutzen Hunderte von SaaS-Tools — benötigen wir mit allen einzelne AVV?

Ja, sofern diese Tools personenbezogene Daten in Ihrem Auftrag verarbeiten. In der Praxis stellen die meisten SaaS-Anbieter Standard-AVV-Dokumentation bereit, die über ihre Website zugänglich ist oder auf Anfrage zur Verfügung gestellt wird. Sie sollten diese AVV unterzeichnen oder akzeptieren, bevor die Tools aktiv mit personenbezogenen Daten eingesetzt werden. Der Maßstab bei der Prüfung eines AVV ist, ob er alle acht Elemente gemäß Artikel 28 Abs. 3 DSGVO enthält. Einige Anbieter-AVV sind unzureichend — es fehlen ordentliche Auditrechte, das Unterauftragsverarbeiter-Management ist nicht geregelt oder die Datenlöschungspflicht fehlt. Wenn ein Standard-AVV eines Anbieters wesentliche Lücken aufweist, sollten Sie Änderungen aushandeln oder — wenn der Anbieter dies ablehnt — prüfen, ob das Verarbeitungsrisiko ein Vorgehen rechtfertigt, und Ihre Einschätzung dokumentieren.

Was bedeutet „hinreichende Garantien" in der Praxis bei einem kleinen Anbieter ohne Zertifizierungen?

Bei Anbietern ohne ISO 27001 oder SOC 2 müssen „hinreichende Garantien" auf anderem Weg nachgewiesen werden. Fordern Sie Nachweise zu Sicherheitsrichtlinien (zulässige Nutzung, Zugangskontrolle, Patch-Management, Incident Response), Angaben dazu, wie personenbezogene Daten bei der Übertragung und im Ruhezustand geschützt werden, Informationen zu Schulungspraktiken sowie etwaige Ergebnisse von Penetrationstests an. Die Leitlinien des Europäischen Datenschutzausschusses (EDPB) zu Artikel 28 erkennen an, dass kleinere Anbieter möglicherweise keine formellen Zertifizierungen besitzen, aber dennoch substanzielle Nachweise für angemessene Sicherheitsmaßnahmen erbringen müssen. Dokumentieren Sie Ihre Prüfung — das Vorhandensein einer begründeten Einschätzung ist selbst Teil der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO, auch wenn als Ergebnis feststeht, dass ein bestimmtes Restrisiko verbleibt.

Was passiert, wenn einem Auftragsverarbeiter eine Datenpanne widerfährt?

Gemäß Artikel 28 Abs. 3 lit. f DSGVO muss der Auftragsverarbeiter Sie unverzüglich benachrichtigen, nachdem ihm eine Datenschutzverletzung bekannt geworden ist. Ihr AVV sollte einen Benachrichtigungszeitraum — in der Regel 24 oder 48 Stunden — sowie den Inhalt der Benachrichtigung festlegen (Art der Datenpanne, Kategorien und ungefähre Anzahl der betroffenen Datensätze, Ansprechpartner beim Auftragsverarbeiter, voraussichtliche Folgen, ergriffene Maßnahmen). Nach Erhalt der Benachrichtigung trifft Sie als Verantwortlicher die Pflicht aus Artikel 33 DSGVO, zu prüfen, ob die Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, und — falls ja — Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu benachrichtigen. Die Benachrichtigung des Auftragsverarbeiters an Sie setzt Ihre 72-Stunden-Frist in Gang.

Quellen

  • EUR-Lex, Verordnung (EU) 2016/679 (DSGVO), Artikel 4 Nr. 8, 28 und 46: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Europäischer Datenschutzausschuss (EDPB), Leitlinien 07/2020 zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter": https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en
  • Europäische Kommission, Standardvertragsklauseln für internationale Datenübermittlungen (2021): https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
  • ICO (UK), Contracts and liabilities between controllers and processors — detailed guidance: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/contracts-and-liabilities/contracts-and-liabilities-between-controllers-and-processors-multi-topic-guide/

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Wie Sie Drittanbieter-Auftragsverarbeiter gemäß DSGVO auditieren

This article covers: Was ist ein Auftragsverarbeiter?, Anforderungen aus Artikel 28, Was ein AVV enthalten muss (8 Pflichtklauseln).

  • Was ist ein Auftragsverarbeiter?
  • Anforderungen aus Artikel 28
  • Was ein AVV enthalten muss (8 Pflichtklauseln)
  • Wie Sie Auftragsverarbeiter auditieren
  • Unterauftragsverarbeiter-Management (Artikel 28 Abs. 2)
Source: EuroComply Editorial (2024-11-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.