Textvorlagen

Lade … ← Übersicht Vorgänge
Hinweis. Diese Vorlage ist eine allgemeine Hilfestellung. Sie ersetzt keine einzelfallbezogene Prüfung. Vor dem Versand ist die konkrete Situation mit Ihrem Datenschutzbeauftragten abzustimmen.

TPL-008 · v1.0 · Stand: 30.5.2026 · Freigegeben durch DSB · Review-Zyklus 12 Monate · Status freigegeben

Information Verantwortliche über Subprozessor-Wechsel

Vorlage ausfüllen → Variablen im Formular eintragen, Live-Vorschau, Text kopieren oder als .txt herunterladen.

Anlass
Auftragsverarbeitung
Empfänger
Verantwortliche/Auftraggeber
Absender
Auftragsverarbeiter (Geschäftsführung)
Kanal
E-Mail, Brief
Rechtsregime
DSGVO
Schwierigkeit
mittel
Schlagwörter
av, subprozessor, art-28, vertrag
Rechtsgrundlage
  • Art. 28 Abs. 2 DSGVO (Information über beabsichtigte Subprozessor-Änderungen mit Einspruchsfrist)

Anwendungsbereich

Vorab-Information an Verantwortliche, dass ein Subprozessor neu aufgenommen oder ausgetauscht wird. Pflicht aus Art. 28 Abs. 2 Satz 2 DSGVO — der Verantwortliche muss vor dem Einsatz neuer Subprozessoren informiert werden und hat Einspruchsmöglichkeit.

Eine pauschale Generalermächtigung im AV-Vertrag ersetzt diese Information NICHT — sie ist nur die Rechtsgrundlage dafür, dass keine ausdrückliche Einzel-Genehmigung mehr erforderlich ist. Die Informations­pflicht bleibt.

Voraussetzungen

  • Auswahl des Subprozessors abgeschlossen — Lieferanten­bewertung, Sicherheits­prüfung, AVV mit dem Subprozessor unterschrieben.
  • TIA durchgeführt, falls Drittland (Transfer Impact Assessment).
  • DSB der eigenen Firma hat zugestimmt.
  • Mindestens 30 Tage Vorlauf zur geplanten Umstellung — kürzere Vorlauf­zeiten machen die Einspruchs­frist illusorisch und gelten vor Aufsichts­behörden als Umgehung.
  • Einspruchs­frist klar definiert — idR 14 Tage vor Wirksamkeit.
  • Plan B bereit, falls einzelne Verantwortliche Einspruch erheben: alternative technische Lösung oder Trennung des Mandats.

Variablen

PlatzhalterBeschreibung
{anrede}Anrede
{name_kunde}Nachname bei persönlicher Anrede (optional)
{kunde_firma}Firmenname des Verantwortlichen
{av_vertrag_ref}Referenz / Datum des AV-Vertrags
{bestehender_subprozessor}Bisheriger Subprozessor (optional)
{neuer_subprozessor}Neuer Subprozessor
{subprozessor_sitz}Sitz und ggf. Datenstandort
{leistung}Beschreibung der Leistung und betroffenen Daten
{drittland}Drittlandsverarbeitung ja/nein
{drittland_garantien}Garantien bei Drittland (optional)
{wirksamkeit_ab}Datum der Umstellung
{einspruchsfrist}Frist für Einspruch
{kontakt_email}Kontaktadresse für Rückfragen
{unterzeichner}Unterzeichnende Person
{avv_anbieter}Eigene Firma (Auftragsverarbeiter)

Vorlagentext

{anrede} {name_kunde},

als Auftragsverarbeiter im Sinne von Art. 28 DSGVO informieren wir Sie über eine geplante Änderung bei unseren Subprozessoren.

Diese Information bezieht sich auf den zwischen Ihnen ({kunde_firma}) und {avv_anbieter} bestehenden Auftragsverarbeitungs­vertrag ({av_vertrag_ref}).

Worum geht es:

Wir beabsichtigen, {bestehender_subprozessor} ab dem {wirksamkeit_ab} durch {neuer_subprozessor} (Sitz: {subprozessor_sitz}) zu ersetzen.

Welche Leistung übernimmt der neue Subprozessor:

{leistung}

Drittlandsverarbeitung:

Drittlandsverarbeitung: {drittland}. {drittland_garantien}

Ihr Einspruchsrecht:

Nach Art. 28 Abs. 2 Satz 2 DSGVO haben Sie das Recht, dieser Änderung zu widersprechen. Bitte teilen Sie uns einen etwaigen Einspruch bis spätestens {einspruchsfrist} mit. Ohne Eingang eines Einspruchs bis zu diesem Datum gehen wir davon aus, dass Sie der Änderung zustimmen, und die Umstellung erfolgt zum {wirksamkeit_ab}.

Im Fall eines Einspruchs werden wir gemeinsam mit Ihnen prüfen, ob eine alternative Lösung gefunden werden kann oder eine Vertragsanpassung erforderlich ist.

Den vollständigen Sicherheits- und Datenschutz-Bewertungs­bericht sowie den AVV mit dem neuen Subprozessor stellen wir Ihnen auf Anfrage zur Verfügung.

Für Rückfragen erreichen Sie uns unter {kontakt_email}.

Mit freundlichen Grüßen

{unterzeichner} {avv_anbieter}

Verbotene Inhalte

Folgendes darf NICHT in die Information aufgenommen werden:

  • Zu kurze Frist. Ein „mit Wirkung von übermorgen” macht das Einspruchsrecht zur Farce — und wird von der Aufsichts­behörde als Vertragsverletzung gewertet.
  • „Schweigen gilt als Zustimmung” ohne Frist. Die fingierte Zustimmung muss an ein konkretes Datum geknüpft sein, sonst funktioniert das rechtlich nicht.
  • Verharmlosung von Drittlandsverarbeitung. „Die Daten verlassen die EU technisch gesehen kurzfristig, sind aber jederzeit nur EU-Mitarbeitern zugänglich” — entweder es ist eine Drittland-Verarbeitung, oder es ist keine. Mit US-Cloud-Anbietern reicht der Konzern-Sitz aus, auch wenn die EU-Region gewählt wurde (Stichwort CLOUD Act).
  • Pauschale Berufung auf Standardvertragsklauseln ohne TIA-Verweis. Seit Schrems II reicht das nicht — eine konkrete Risiko­bewertung muss benannt werden.
  • Auslagerung der Bewertung auf den Kunden. „Bitte prüfen Sie selbst, ob der neue Subprozessor für Sie akzeptabel ist” — die Sicherheits­prüfung ist Pflicht des Auftrags­verarbeiters, nicht des Verantwortlichen.
  • Reine Kosten- oder Marketing-Argumentation. „Der neue Subprozessor ist effizienter und günstiger” — irrelevant für die datenschutzrechtliche Bewertung, und ein irreführender Eindruck der Pflicht zur Zustimmung.

Beispiel einer fehlerhaften Formulierung (nicht verwenden):

„Mit Wirkung von Montag wechseln wir auf den US-amerikanischen Cloud-Anbieter X. Da die Server in Frankfurt stehen, gilt dies nicht als Drittlandsübermittlung. Wir gehen von Ihrer Zustimmung aus.”

Begründung: zu kurze Frist (kein Einspruch möglich), falsche rechtliche Einschätzung (US-Konzern + CLOUD Act = Drittlandsproblematik trotz EU-Standort), fingierte Zustimmung ohne klare Frist.

Versandhinweise

  • Kanal: E-Mail an die vertraglich vereinbarte Kontakt­adresse des Verantwortlichen; bei größeren Verträgen zusätzlich postalisch.
  • Bestätigungs­wunsch: Bitte um Lesebestätigung — der Verantwortliche muss nachweisen können, dass er die Information erhalten hat.
  • Anlagen: AVV-Auszug mit dem neuen Subprozessor, Sicherheits­bericht, bei Drittland die TIA-Zusammenfassung.
  • Vorab-Kommunikation: Bei wichtigen Kunden vorab telefonisch ankündigen, dass eine solche Mail kommt — verhindert Reflex-Einsprüche.

Aufbewahrung

  • Versendete Fassung pro Verantwortlichem im Vertrags­ordner ablegen.
  • Versand­liste mit Datum und Zustellungs­bestätigung pro Empfänger.
  • Aufbewahrung: Vertrags­lebenszeit + 10 Jahre (allgemeine Vertrags­aufbewahrungs­pflicht nach § 257 HGB plus 4 Jahre Verjährungsfrist nach DSGVO-Verstößen).

Changelog

VersionDatumÄnderungAutor
1.02026-05-30ErstfassungFS/CS