Eine Verarbeitung von Daten im Auftrag liegt in der Regel dann vor, wenn Sie personenbezogene Daten von einem Dienstleister weisungsgebunden bearbeiten lassen – selbst, wenn dieser nur Zugriff auf die Daten erhalten könnte. In dieser kompakten Einleitung zeigen wir typische Beispiele, erklären Pflichten beider Seiten und diskutieren den Einsatz von Dienstleistern außerhalb der EU!
Gesetzliche Grundlagen für die Auftragsverarbeitung
Rechtsgrundlage der beauftragten Verarbeitung
Eines der datenschutzrechtlichen Grundprinzipien ist das sogenannte Verbot mit Erlaubnisvorbehalt. Danach ist jeglicher Umgang mit personenbezogenen Daten ohne Rechtsgrundlage verboten. Eine solche Rechtsgrundlage kann im jeweiligen Fall insbesondere sein:
- eine gesetzliche Erlaubnis oder
- eine Einwilligung des Betroffenen.
Eine eigene Rechtsgrundlage des Verantwortlichen berechtigt unter Umständen eine Verarbeitung personenbezogener Daten auf einen Dienstleister (Auftragnehmer) zu übertragen.
Das dahinterliegende juristische Prinzip ist die sogenannte Privilegierung des Datenaustauschs zwischen Unternehmen und Dienstleistern. Die Privilegierung ergibt sich aus Art. 4 Nr. 10 DSGVO, wonach Auftragsverarbeiter keine Dritten sind, sondern die Verarbeitung im rechtlichen Sinne innerhalb der Sphäre des Verantwortlichen erfolgt.
Sonderregelungen bei konzerninterner Datenverarbeitung
Zu betonen ist, dass im Datenschutzrecht kein allgemeines Konzernprivileg existiert. Die DSGVO erleichtert jedoch den Datentransfer zwischen selbstständigen Unternehmen einer zusammengehörenden Unternehmensgruppe: Eine gesetzliche Erlaubnis zur Datenverarbeitung liegt nach Art. 6 Abs. 1 lit. f DSGVO vor, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.
Nach Erwägungsgrund 48 S. 1 DSGVO kann der konzerninterne Datenaustausch für „interne Verwaltungszwecke“ ein derartiges berechtigtes Interesse darstellen. Es bedarf jedoch einer Abwägung mit den entgegenstehenden schutzwürdigen Interessen der Betroffenen stattfinden muss. Besteht im Einzelfall kein solches berechtigte Interesse, weil die schutzwürdigen Interessen der Betroffenen. Überwiegen diese, kann ein konzerninterner Datentransfer nur mittels Einwilligung des Betroffenen oder einer anderen Rechtsgrundlage erfolgen.
Tipp: Weitere Informationen zum Konzerndatenschutz finden Sie in unseren Artikeln Rechtsgrundlagen für den konzerninternen Datentransfer und Datenübermittlung zwischen Unternehmen (Anleitung).
Auftragsverarbeitung in Drittstaaten
Eine bedeutsame Neuerung der DSGVO betrifft die Auftragsverarbeitung in Drittländern, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Nach DSGVO gilt die Privilegierung grundsätzlich auch für Drittländer – dennoch sind bestimmte Voraussetzungen nötig: Personenbezogene Daten dürfen nur übertragen werden, wenn die Anforderungen aus Art. 44–49 DSGVO beachtet werden, etwa durch:
Tipp: Lesen Sie auch unseren Ratgeber zur Übermittlung von personenbezogenen Daten in Drittländer.
Im Übrigen müssen Verantwortliche oder Auftragsverarbeiter, die keine Niederlassung in der EU haben, aber Daten von Unionsbürgern verarbeiten, nach Art. 27 DSGVO schriftlich einen Vertreter in der Union benennen. Dieser muss auch in der Union niedergelassen sein und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen bezüglich der Datenverarbeitung.
Wann liegt eine Auftragsverarbeitung vor?
Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag des Verantwortlichen bzw. Auftraggebers (Art. 29 DSGVO). Eine Ausnahme (Öffnungsklausel) besteht nur, wenn der Auftragsverarbeiter kraft Unions- oder nationalem Recht selbst zur Verarbeitung verpflichtet ist.
Der Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“. Ausschlaggebend ist also, wer faktisch und tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet.
Eine solche Konstellation kann nicht etwa erst durch Vertrag begründet werden. Vielmehr folgt die Pflicht einen Vertrag nach Maßgabe des Art. 28 DSGVO schließen zu müssen, dem Umstand, ob eine Verarbeitung im Auftrag vorliegt oder nicht.
Verletzt der Auftragsverarbeiter die Voraussetzungen für die Auftragsverarbeitung, indem er selbst wie ein Verantwortlicher auftritt und über Zweck und Mittel der Datenverarbeitung entscheidet, ist dieser gleich einem Verantwortlichen zu behandeln (Art. 28 Abs. 10 DSGVO).
Klassische Anwendungsfälle für eine Auftragsverarbeitung in der Praxis sind beispielsweise der Einsatz von Cloudsoftware zur Personaladministration, das externe Hosting eines CRM (Customer Relationship Management) oder einer Marketing-Automation-Software zur automatisierten Aussendung von E-Mail-Kampagnen.
Wann liegt keine Auftragsverarbeitung vor?
Wenn der Dienstleister eigenverantwortlich Daten verarbeitet, das Unternehmen keine Weisungs-/Kontrollrechte hat, liegt keine Auftragsverarbeitung vor. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung. Der Datenempfänger braucht stets eine eigene Rechtsgrundlage, um Daten verarbeiten zu dürfen.
Zuständigkeit und Auswahlverantwortung
Der Verantwortliche trägt die Hauptverantwortung (Art. 24 DSGVO) und muss Umfang, Risiken und technische und organisatorische Maßnahmen (TOM) berücksichtigen. Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die gem. Art. 28 Abs. 1 DSGVO hinreichend garantieren können, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.
Umsetzung der Auftragsverarbeitung
Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig. Mit dem Dienstleister ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu schließen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen. Die einzelnen Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet werden.
Die DSGVO sieht – anders als das BDSG – keine ausdrückliche fortwährende Prüfungspflicht vor. Auswahlpflicht und Garantien gelten jedoch dauerhaft. Fallen Garantien weg oder werden nicht eingehalten, entfällt die Privilegierung.
Tipp: In unserem Special zum Thema Auftragsverarbeitung finden Sie eine kostenlose Vertragsvorlage, eine Checkliste und andere Hilfsmittel für Ihre DSGVO-Compliance!
Wichtige Neuerungen und Urteile zur Auftragsverarbeitung
- Das OLG Karlsruhe (Urteil vom 7. September 2022, Az.: 15 Verg 8/22) entschied, dass sich Verantwortliche unter bestimmten Bedingungen auf vertragliche Zusagen von Auftragsverarbeitern verlassen dürfen, wonach personenbezogene Daten ausschließlich innerhalb der EU verarbeitet werden. Dabei reicht der bloße Standort eines Rechenzentrums oder der Sitz des Unternehmens in der EU nicht aus – es braucht eine klare und vertraglich festgelegte Zusicherung, dass keinerlei Datenübermittlung in unsichere Drittländer erfolgt. Fehlt eine solche Zusicherung oder behält sich der Dienstleister internationale Zugriffe vor, greift Art. 44 ff. DSGVO mit allen zugehörigen Anforderungen. Die Entscheidung korrigiert eine pauschale Auslegung der Vergabekammer Baden-Württemberg und betont die Notwendigkeit einer differenzierten datenschutzrechtlichen Bewertung. Mehr hierzu in der Urteilsbesprechung bei activeMind.legal Rechtsanwälte.
- Seit Ende 2022 gibt es eine Zertifizierung für Auftragsverarbeiter (§ 28 DSGVO) über die DSZ Datenschutz Zertifizierungsgesellschaft mbH (initiiert vom BvD e.V. und GDD e.V.) die jährliche Prüfungen und Kontrollpflichten systematisiert. Diese ist mit Gebühren verbunden. Mehr hierzu in unserem Artikel: Trusted Data Processor – die Verhaltensregel für Auftragsverarbeiter.
- Der Europäische Datenschutzausschuss (EDSA) konkretisierte im Oktober 2024 in einer Stellungnahme, dass Verantwortliche stets aktuelle Informationen zur Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten müssen – unabhängig vom Risiko oder Bedeutung der Verarbeitung. Mehr hierzu finden Sie bei legal Rechtsanwälte.
- Empfehlungen deutscher Landesbeauftragter (u. BayLfD, DSK) betonen regelmäßig den risikobasierten Ansatz: Auswahl geeigneter AV, angemessene Audits, Kontrolle von Unterauftragsverarbeitern, kontinuierliche Dokumentation, Schulungen und etablierte Prozesse zur Auswahl und Überwachung – z. B. im DSK‑Kurzpapier Nr. 13 sowie kommunizierten Orientierungshilfen.
- Der Bayerische Landesbeauftragte (BayLDA) aktualisierte im März 2025 eine „Abgrenzungshilfe Auftragsverarbeitung/Verantwortlichkeit“. Die Kriterien für eine Auftragsverarbeitung beziehen sich nun stärker auf den Zugriff des Dienstleisters auf personenbezogene Daten. Es wird klargestellt, dass auch „nebensächlicher Zugriff“ durch Dienstleister bereits eine Auftragsverarbeitung auslösen kann.
Fazit
Die DSGVO-konforme Auftragsverarbeitung erfordert klare rechtliche, technische und organisatorische sowie vertragliche Rahmenbedingungen, sobald externe Dienstleister personenbezogene Daten im Auftrag verarbeiten. Entscheidend ist dabei das Weisungsverhältnis, das den Auftragsverarbeiter rechtlich vom Verantwortlichen abgrenzt.
Besondere Sorgfalt gilt bei Drittlandübermittlungen sowie der Auswahl geeigneter Partner, die nachweislich Datenschutzstandards einhalten. Ein AV-Vertrag nach Art. 28 DSGVO ist dabei unverzichtbar – ebenso wie die fortlaufende Kontrolle. Für Unternehmen bleibt es essenziell, ihre Prozesse regelmäßig zu prüfen und rechtlich abzusichern.