Ein Auftragsdatenverarbeitungsvertrag (ADV) regelt, wie ein Dienstleister Daten in deinem Auftrag DSGVO-konform verarbeitet. Diese Verträge sind Pflicht, sobald externe Anbieter (z. B. Cloud-Services, Marketing-Agenturen, IT-Dienstleister) Zugriff auf personenbezogene Daten haben. Damit schützt du nicht nur die Privatsphäre deiner Kunden oder Mitarbeiter, sondern sicherst dich auch rechtlich ab. In diesem Artikel erfährst du, was in einen ADV unbedingt hineinmuss, wie du Subunternehmer-Einsatz regelst und worauf du beim Abschluss achten solltest, um auch in Krisenfällen (z. B. Datenpannen) gut aufgestellt zu sein.
Bulletpoints – Auftragsdatenverarbeitungsvertrag
- Art & Zweck der Verarbeitung: klar definieren
- Weisungsrecht: Du bleibst Chef über die Daten
- Subunternehmer-Einsatz: Zustimmungspflichtig
- Lösch- oder Rückgabeklausel: Daten am Vertragsende regeln
1. Bedeutung und Pflicht eines ADV
Die DSGVO schreibt in Art. 28 vor, dass du mit jedem Dienstleister, der personenbezogene Daten nur „in deinem Auftrag“ verarbeitet, einen schriftlichen Vertrag abschließen musst. Typische Beispiele:
- Hosting-Provider: Speichert deine Kundendatenbank.
- Newsletter-Tools: Verarbeitet E-Mail-Adressen für Werbezwecke.
- Agenturen: Bekommen Zugriff auf Tracking-Daten für Analysen.
Ohne ADV drohen Bußgelder, da die Verantwortlichkeit weiterhin bei dir liegt. Selbst wenn der Dienstleister einen Fehler macht, haftest du mit, wenn kein korrekter Vertrag vorliegt.
2. Kerninhalte eines Auftragsdatenverarbeitungsvertrag
- Art und Zweck der Verarbeitung: Welche Daten werden erhoben, zu welchem Zweck, in welchem Umfang?
- Weisungsrecht: Der Dienstleister darf nur nach deinen Anweisungen handeln.
- Technische und organisatorische Maßnahmen (TOMs): Z. B. Verschlüsselung, Zugriffsbeschränkungen, Firewall.
- Subunternehmer: Dürfen weitere Unterauftragnehmer beauftragt werden? Nur mit deiner Zustimmung.
- Rückgabe oder Löschung nach Auftragsende: Wie werden die Daten am Vertragsende behandelt?
- Kontrollrechte: Du solltest Audits oder Prüfungen durchführen können.
3. Typische Fehler bei Auftragsdatenverarbeitungsvertrag
- Fehlende Konkretisierung: Wenn nur pauschal drinsteht „verarbeitet Daten DSGVO-konform“, reicht das nicht.
- Unterschätzte Subunternehmer: Viele Anbieter greifen auf Cloud-Services in Drittländern zurück – prüfe, ob das dokumentiert ist.
- Kein Löschkonzept: Wenn der Dienstleister Daten ewig speichert, verstößt das gegen die DSGVO.
- Veraltete Standardvorlagen: Manche ADV-Muster sind von vor 2018 und ignorieren DSGVO-Anforderungen.
4. So setzt du einen Auftragsdatenverarbeitungsvertrag richtig auf
- Vorlage nutzen: Datenschutzbehörden bieten teils Musterverträge, die du anpassen kannst.
- Individuelle Anpassung: Trage Datenkategorien, Verarbeitungstätigkeiten und Sicherheitsmaßnahmen konkret ein.
- Subunternehmerklausel: Stell sicher, dass du bei jedem Subunternehmer zustimmen musst.
- Anhang zu technischen Maßnahmen: Genaue Beschreibung (z. B. Verschlüsselungsstandards, Zugriffskontrollen).
- Dokumentation & Unterschriften: Beide Parteien müssen den ADV unterzeichnen, digital oder auf Papier.
5. Kontrolle und Monitoring
Ein ADV ist kein Selbstläufer. Du bist laut DSGVO verpflichtet zu prüfen, ob der Dienstleister die vereinbarten Standards einhält. Tools oder Berichte können dir Einblick geben:
- Audit-Berichte (z. B. ISO 27001-Zertifizierung)
- Sicherheits-Logs bei Hostern
- Regelmäßige Kommunikation mit dem Provider, ob neue Subunternehmer dazukommen
Ohne Kontrolle verlierst du schnell den Überblick und riskierst Bußgelder, sollte es zu einem Vorfall kommen.
FAQ
Ja, sobald externe Firmen deine personenbezogenen Daten in deinem Auftrag verarbeiten (z. B. E-Mail-Marketing, Hosting).
Bußgelder oder Untersagung der Datenverarbeitung. Du stehst in der Verantwortung, nicht der Dienstleister.
Führe Audits durch oder verlange Zertifizierungen und Nachweise. Bei Zweifeln kannst du auch Vor-Ort-Kontrollen vereinbaren.
