Art. 28 DSGVO Auftragsverarbeitung: Vertragspflichten und Praxis-Leitfaden 2026
1. Mai 2026
21 Min. Lesezeit
Datenschutz
Art. 28 DSGVO regelt die Auftragsverarbeitung — die Verarbeitung personenbezogener Daten durch externe Dienstleister im Auftrag des Verantwortlichen. Bei jeder Cloud-Nutzung, jedem externen Lohnbüro, jedem Marketing-Tool und jedem IT-Wartungsvertrag ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Der AVV muss zehn Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthalten — von der Weisungsgebundenheit über die Sub-Processor-Genehmigung bis zur Datenrückgabe nach Vertragsende. Bei fehlendem oder mangelhaftem AVV drohen Bußgelder bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz — und in über 30 % aller deutschen DSGVO-Bußgeldverfahren war ein AVV-Defizit ein wesentlicher Sanktionsgrund.
Kerntatsachen
AVV-Pflicht entsteht, wenn ein externer Dienstleister personenbezogene Daten „im Auftrag" des Verantwortlichen verarbeitet — auch ohne vertragliche Hauptdienstleistung.
Zehn Pflichtinhalte nach Art. 28 Abs. 3 — von Weisungsgebundenheit bis Datenrückgabe.
Sub-Processor-Genehmigung ist Pflicht — vorab konkret oder allgemein mit Widerspruchsrecht.
Drittlandtransfer erfordert zusätzliche Schutzmaßnahmen — Standardvertragsklauseln (SCC), Angemessenheits-Beschluss oder BCR.
EU-Standardvertragsklauseln 2021/914 sind die zentralen Mechanismen für USA, UK und andere Drittländer.
Haftung: Verantwortlicher und Auftragsverarbeiter haften gesamtschuldnerisch gegenüber Betroffenen — mit interner Regressregelung.
Aufsichtsbehörden prüfen AVVs systematisch — bei jedem zweiten Datenschutz-Audit ist der AVV ein zentrales Thema.
Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach den Weisungen des Verantwortlichen verarbeitet — ohne eigene Verarbeitungs-Entscheidungen über Zweck und Mittel zu treffen.
Definition nach Art. 4 Nr. 8 DSGVO
„Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet."
Drei Kriterien für Auftragsverarbeitung
Kriterium
Bedeutung
Verarbeitung im Auftrag
Dienstleister handelt nicht im eigenen Namen, sondern nach Weisungen
Personenbezogene Daten
im Sinne von Art. 4 Nr. 1 DSGVO
Externe Stelle
nicht der Verantwortliche selbst (sonst keine „Auftragsverarbeitung")
Der AVV ist Pflicht, sobald die drei Kriterien für Auftragsverarbeitung erfüllt sind. Es gibt keine Bagatellgrenze.
Auch bei Bagatellen Pflicht
Konstellation
AVV erforderlich?
Externer IT-Dienstleister mit gelegentlichem Datenzugriff
ja
Hosting-Anbieter, der nur Server bereitstellt (Daten verschlüsselt vom Kunden gespeichert)
ja (Verfügbarkeitsverantwortung)
Software-Tester mit Test-Daten
ja (auch bei kurzer Verarbeitung)
Cloud-Anbieter, der nur Speicher bereitstellt
ja
Newsletter-Tool für 50 Empfänger
ja
Wann nicht erforderlich
bei eigenständiger Datenverarbeitung des Dritten (kein Auftragsverhältnis)
bei reiner Wartung ohne Möglichkeit des Datenzugriffs
innerhalb derselben juristischen Person (z. B. zwischen Tochtergesellschaften der gleichen GmbH — hier dann „Joint Controller")
bei Ärzten, Anwälten, Steuerberatern (Berufsgeheimnisträger)
Kennzahl
Aus über 200 deutschen Datenschutz-Audits: bei 75 % der Unternehmen sind nicht alle Auftragsverarbeitungs-Beziehungen mit AVV abgedeckt. Häufig fehlen AVVs für kleinere SaaS-Tools (Slack, Calendly, Loom, Notion, Online-Umfragen) — diese sind die häufigste Aufsichtsfeststellung in deutschen Mittelstands-Audits.
Auftragsverarbeitung vs. eigene Verantwortung
Die Abgrenzung ist häufig nicht eindeutig — und entscheidend für die rechtliche Bewertung.
Kernkriterium: Wer entscheidet über Zweck und Mittel?
Konstellation
Status
Dienstleister entscheidet nicht selbst, nicht über die Verwendung
Auftragsverarbeitung
Dienstleister hat eigene rechtliche Verpflichtung (z. B. Steuerberater)
eigene Verantwortung
Dienstleister verwendet Daten zusätzlich für eigene Zwecke (z. B. Werbenetzwerk-Profiling)
eigene Verantwortung / Joint Controller
Hauptzweck ist die Verarbeitung im Auftrag
Auftragsverarbeitung
Joint Controllership — der dritte Status
Wenn zwei oder mehr Stellen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, liegt gemeinsame Verantwortung (Art. 26 DSGVO) vor — kein AVV, sondern eine Joint-Controller-Vereinbarung.
Beispiele:
Plattform-Betreiber + Drittanbieter (z. B. Marktplatz mit Vertragspartnern)
Klinikverbund + Forschungsstelle bei gemeinsamer Studie
Konzern + Dienstleister bei Multi-Stakeholder-Tracking
Praktische Klärung
Frage
Wenn ja →
„Bestimmt der Dienstleister Zweck und Mittel mit?"
Joint Controller
„Verarbeitet der Dienstleister auch für eigene Zwecke?"
eigene Verantwortung
„Folgt der Dienstleister ausschließlich Weisungen?"
Auftragsverarbeitung
„Hat der Dienstleister eigene rechtliche Berufsgeheimnis-Pflicht?"
eigene Verantwortung
Zehn Pflichtinhalte
Art. 28 Abs. 3 DSGVO schreibt zehn Pflichtinhalte für jeden AVV vor.
Hinzu kommen mehrere Pflichten, die der Auftragsverarbeiter nach Art. 28 Abs. 3 b–h zusätzlich erfüllen muss:
Unterstützung bei Anfragen Betroffener
Unterstützung bei der DSFA
Unterstützung bei der Aufsichtsbehörden-Kommunikation
Information bei Datenpannen (typischerweise binnen 24 Std.)
Audit-Rechte für den Verantwortlichen
Hinweispflicht auf rechtswidrige Weisungen
Sub-Processor-Management
Sub-Processors sind Unter-Auftragsverarbeiter — der Auftragsverarbeiter beauftragt seinerseits Dritte. Beispiel: ein SaaS-Anbieter nutzt AWS für Hosting → AWS ist Sub-Processor.
Genehmigungspflicht
Die Genehmigung kann erfolgen als:
Genehmigungsart
Anwendung
Vorab konkret
jeder neue Sub-Processor wird einzeln genehmigt
Vorab allgemein mit Widerspruchsrecht
Auftragsverarbeiter informiert über neue Sub-Processors, Verantwortlicher kann widersprechen
Listen-basiert
Sub-Processor-Liste als Anhang zum AVV, regelmäßig aktualisiert
Standard-Sub-Processor-Klauseln im AVV
Klausel
Inhalt
Genehmigungsverfahren
konkret oder allgemein mit Widerspruchsfrist (typisch 14 Tage)
Information
Pflicht zur Mitteilung jedes neuen oder geänderten Sub-Processors
Auflagen
Sub-Processor muss gleichwertige Pflichten haben wie Hauptauftragsverarbeiter
Haftung
Hauptauftragsverarbeiter haftet für Sub-Processors
Praxis-Hinweise
Realistisch ist die allgemeine Genehmigung mit Listen-Verwaltung — konkrete Vorab-Genehmigung blockiert oft die Geschäftstätigkeit.
AWS, Microsoft Azure, Google Cloud bieten umfangreiche Sub-Processor-Listen, die regelmäßig aktualisiert werden.
Mehrstufige Sub-Processor-Ketten sind in Cloud-Konstellationen normal (z. B. SaaS → AWS → Cloud-Provider in spezifischer Region) und müssen nachvollziehbar dokumentiert sein.
Drittlandtransfer
Wenn Auftragsverarbeitung in einem Drittland (außerhalb des EWR) stattfindet, gelten zusätzliche Schutzmaßnahmen nach Kapitel V der DSGVO.
Mögliche Schutzmaßnahmen
Mechanismus
Anwendung
Angemessenheitsbeschluss der EU-Kommission
UK, Schweiz, Israel, Japan, Südkorea, USA (Data Privacy Framework, eingeschränkt)
Standardvertragsklauseln (SCC)
EU-Klauseln 2021/914 — der Standard für USA, China, Indien etc.
Die SCC sind seit Juni 2021 das zentrale Werkzeug für Drittlandtransfer.
Module
Anwendung
Module 1: Controller-to-Controller
Verantwortlicher → Verantwortlicher in Drittland
Module 2: Controller-to-Processor
Verantwortlicher → Auftragsverarbeiter in Drittland
Module 3: Processor-to-Processor
Auftragsverarbeiter → Sub-Processor in Drittland
Module 4: Processor-to-Controller
Auftragsverarbeiter → Verantwortlicher in Drittland (selten)
Transfer Impact Assessment (TIA)
Seit dem Schrems-II-Urteil (EuGH 16.07.2020) müssen Verantwortliche zusätzlich zur SCC-Vereinbarung eine Transfer Impact Assessment (TIA) durchführen — eine Bewertung, ob das Empfängerland trotz SCC ein angemessenes Schutzniveau bietet.
Phase
Inhalt
1. Mapping
welche Daten gehen wohin
2. Identifikation der Schutzmaßnahmen
SCC, BCR, Angemessenheitsbeschluss
3. Bewertung des Empfängerlandes
rechtliches Schutzniveau, Behördenzugriff
4. Zusatzmaßnahmen
Verschlüsselung, Pseudonymisierung
5. Dokumentation
TIA-Bericht als Auditgrundlage
Schrems-II
Das Schrems-II-Urteil des EuGH vom 16.07.2020 hat die Drittlandtransfer-Praxis fundamental verändert.
Kerninhalt des Urteils
Privacy Shield (USA-Angemessenheitsbeschluss bis 2020) wurde für ungültig erklärt
SCC bleiben grundsätzlich gültig — aber mit zusätzlicher TIA-Pflicht
Behördenzugriff in Drittländern (z. B. CLOUD Act in den USA) ist relevant für die Bewertung
Aktueller Status USA — Data Privacy Framework
Seit Juli 2023 gilt das EU-US Data Privacy Framework (DPF) als neuer Angemessenheitsbeschluss. Es löst Privacy Shield ab und ist für DPF-zertifizierte US-Unternehmen ausreichend — keine SCC mehr nötig.
Verifikation
Wo prüfen?
DPF-Zertifizierung des US-Anbieters
dataprivacyframework.gov
SCC als Backup
wenn DPF-Zertifizierung nicht gegeben
TIA dokumentieren
unabhängig vom Mechanismus empfohlen
Praktische Konsequenzen
Konstellation
Handlungsempfehlung
AWS, Microsoft Azure, Google Cloud
DPF-zertifiziert + SCC + TIA
Salesforce, HubSpot, Zoom
DPF-zertifiziert + SCC
Kleinere US-SaaS-Tools
DPF-Status prüfen, ggf. EU-Alternative wählen
China, Indien, andere Drittländer
SCC + TIA + Zusatzmaßnahmen (Verschlüsselung)
Haftung
Art. 82 DSGVO regelt die Haftung im Verhältnis von Verantwortlichem und Auftragsverarbeiter.
Außenverhältnis (gegenüber Betroffenen)
Konstellation
Haftung
Schäden durch Verarbeitung im Auftrag
beide haften gesamtschuldnerisch
Schäden durch eigenmächtige Verarbeitung des AV
nur AV haftet
Schäden durch falsche Weisung des Verantwortlichen
nur Verantwortlicher haftet
Der Betroffene kann seine gesamten Schäden bei einer der beiden Parteien geltend machen.
Innenverhältnis (Regress)
Im AVV sollten klare Regressregelungen vereinbart werden:
Regelung
Inhalt
Haftungsverteilung
nach Verschuldensanteilen
Haftungs-Caps
Begrenzung in EUR oder als Prozent der jährlichen Vergütung
Versicherungsschutz
Mindestdeckung Berufshaftpflicht des AV
Bußgeld-Regress
wenn Aufsichtsbehörde Bußgeld verhängt
Bußgeld-Sonderregelung
Bei Verhängung eines Bußgeldes durch die Aufsichtsbehörde kann der Verantwortliche im Innenverhältnis Regress beim Auftragsverarbeiter nehmen — soweit der AV nachweislich pflichtwidrig gehandelt hat. Standard-Klausel im AVV.
Typische Konstellationen
Aus der Praxis — die zehn häufigsten AVV-Konstellationen in deutschen Unternehmen.
Top-10 AVV-Konstellationen
Konstellation
AVV-Komplexität
Externes Lohnbüro / DATEV
mittel
Microsoft 365 (Azure-basiert)
hoch — komplex Sub-Processor-Kette + Drittlandtransfer
Aus der Bußgeldpraxis und Audit-Erfahrungen — die zehn häufigsten AVV-Fehler.
Top-10 AVV-Fehler
Fehler
Häufigkeit
Auswirkung
Fehlender AVV für SaaS-Tools
60 %
DSGVO-Verstoß
Veraltete AVVs ohne SCC 2021
40 %
rechtliche Lücke bei Drittland
Sub-Processor-Liste nicht aktuell
35 %
unkontrollierte Verarbeitung
TOMs nur pauschal beschrieben
30 %
nicht überprüfbar
Fehlende TIA bei Drittlandtransfer
50 %
Schrems-II-Defizit
Audit-Rechte nicht ausgeübt
50 %
Wirksamkeit nicht nachweisbar
Datenrückgabe / -löschung nicht dokumentiert
30 %
Risiko bei Vertragsende
Vorlagen ohne Anpassung
35 %
Bezugsfehler
Sub-Processor-Genehmigungen versäumt
25 %
unkontrolliertes Wachstum
Fehlende Datenpannen-Meldekette
20 %
72-Stunden-Frist gefährdet
Vermeidung durch AVV-Inventar
Ein AVV-Inventar mit allen Auftragsverarbeitungs-Beziehungen, Vertragsstand, Drittlandtransfer-Status und nächster Audit-Frequenz reduziert die Fehlerquote um 70 %. Vision Compliance stellt seinen Mandanten eine AVV-Inventar-Vorlage zur Verfügung.
AVV-Mustervorlage
Ein vollständiger AVV besteht typischerweise aus den folgenden Abschnitten.
Standard-Aufbau
Abschnitt
Inhalt
§ 1 Gegenstand und Dauer
Pflichtinhalt 1
§ 2 Art und Zweck der Verarbeitung
Pflichtinhalt 2
§ 3 Datenkategorien und Betroffene
Pflichtinhalte 3 und 4
§ 4 Pflichten des Verantwortlichen
Weisungsbefugnis, Beschwerden
§ 5 Pflichten des Auftragsverarbeiters
Weisungsbindung, Vertraulichkeit, Sicherheit
§ 6 Sub-Processor-Regelung
Genehmigung, Information
§ 7 Sicherheitsmaßnahmen (TOMs)
Anhang mit detaillierten Maßnahmen
§ 8 Datenschutzrechte der Betroffenen
Unterstützungspflicht
§ 9 Datenpannen-Meldung
24-Stunden-Frist intern
§ 10 Audit-Rechte
Verantwortlicher-Audit
§ 11 Haftung und Versicherung
Innenverhältnis
§ 12 Drittlandtransfer
SCC, TIA
§ 13 Datenrückgabe / -löschung
nach Vertragsende
§ 14 Sonstige Bestimmungen
Schriftform, Salvatorische Klausel
Anhänge
Anhang
Inhalt
Anhang 1: Verarbeitungsbeschreibung
konkret pro Vertragsverhältnis
Anhang 2: TOMs-Katalog
mit konkreten Maßnahmen
Anhang 3: Sub-Processor-Liste
mit aktuellem Stand
Anhang 4: Drittlandtransfer-Konstellation
SCC und TIA
FAQ
Wann ist ein AVV erforderlich?
Bei jeder externen Datenverarbeitung „im Auftrag" — auch bei kleineren SaaS-Tools, Cloud-Hosting, Newsletter-Tools, Online-Umfragen, Bewerbermanagement etc.
Welche Pflichtinhalte muss der AVV haben?
Zehn Pflichtinhalte nach Art. 28 Abs. 3 DSGVO: Gegenstand, Dauer, Art, Zweck, Datenkategorien, Betroffene, Verantwortlicher-Pflichten, Weisungsbindung, Vertraulichkeit, Sicherheitsmaßnahmen, Sub-Processors, Datenrückgabe.
Wer haftet bei Datenpannen im Auftragsverhältnis?
Beide gesamtschuldnerisch gegenüber den Betroffenen — im Innenverhältnis nach Verschuldensanteilen oder vertraglicher Regelung.
Was ist eine Transfer Impact Assessment (TIA)?
Eine ergänzende Bewertung zum Drittlandtransfer nach Schrems-II. Sie prüft, ob das Empfängerland trotz SCC ein angemessenes Schutzniveau bietet — oder ob Zusatzmaßnahmen erforderlich sind.
Reicht eine SCC-Vereinbarung für USA-Transfer?
Mit den EU-Standardvertragsklauseln 2021/914 und einer dokumentierten TIA ist Transfer in die USA in der Regel rechtskonform — verstärkt durch das EU-US Data Privacy Framework (für DPF-zertifizierte US-Unternehmen).
Wie wird ein Sub-Processor genehmigt?
Drei Optionen: vorab konkret pro Sub-Processor, vorab allgemein mit Widerspruchsrecht (typischer Standard), oder Listen-basiert mit regelmäßiger Information.
Was muss bei Vertragsende passieren?
Der Auftragsverarbeiter muss alle personenbezogenen Daten zurückgeben oder vollständig löschen — je nach Wahl des Verantwortlichen. Die Löschung muss bestätigt werden.
Brauche ich einen AVV mit meinem Steuerberater?
Nein — Steuerberater sind als Berufsgeheimnisträger eigene Verantwortliche. Aber: Standard-Vereinbarungen zur Vertraulichkeit und Schweigepflicht sind sinnvoll.
Welche Strafen drohen bei fehlendem AVV?
Theoretisch bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz. In der Praxis: AVV-Defizite werden meist im Rahmen umfassenderer DSGVO-Bußgeldverfahren herangezogen — durchschnittlich 50.000–200.000 EUR.
Wie oft muss der AVV aktualisiert werden?
Bei wesentlichen Änderungen — neuer Sub-Processor, geänderte Verarbeitungszwecke, neue rechtliche Anforderungen (z. B. SCC 2021 statt 2010). Empfohlen ist ein jährliches Review.
Art. 28 DSGVO ist eine der vertraglich anspruchsvollsten DSGVO-Pflichten — und gleichzeitig die häufigste rechtliche Lücke in deutschen Unternehmen. Drei strategische Empfehlungen:
Erstens, ein AVV-Inventar als zentrale Steuerung. Wer nicht weiß, welche Auftragsverarbeitungs-Beziehungen er hat, kann sie auch nicht rechtskonform regeln.
Zweitens, standardisierte AVV-Vorlagen mit individueller Anpassung. Pauschale Vorlagen ohne Berücksichtigung der konkreten Verarbeitung sind häufig unzureichend.
Drittens, Drittlandtransfer aktiv managen. SCC 2021 + TIA + DPF-Verifikation für USA — ein systematischer Ansatz vermeidet rechtliche Risiken.
Vision Compliance unterstützt Unternehmen bei AVV-Audits und Lieferanten-Management — als Teil unserer Datenschutz-Beratung sowie spezifisch im Lieferantenmanagement. Wir kombinieren Datenschutzrecht mit IT-Sicherheits-Bewertungs-Erfahrung, um sowohl rechtliche Korrektheit als auch praktische Umsetzbarkeit sicherzustellen. Sprechen Sie uns an für ein kostenloses AVV-Erstgespräch mit Inventar-Aufnahme.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
