Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Auftragsverarbeitung · DSGVO Art. 28

Auftragsverarbeitungsvertrag (AVV) — Checkliste vor der Unterschrift

Jeder externe Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Cloud-Hoster, Newsletter-Tool, Fakturierungs-SaaS, Personaldienstleister — alle.

Die folgende Liste hilft Ihnen, einen vorgelegten AVV in 10 Minuten zu prüfen. Wenn an drei oder mehr Stellen ein Nein steht, ist der Vertrag noch nicht unterschriftsreif.

Pflichtinhalte nach Art. 28 Abs. 3

  • Gegenstand und Dauer der Verarbeitung sind klar benannt.
  • Art und Zweck der Verarbeitung sind so beschrieben, dass jemand Außenstehendes versteht, was technisch passiert.
  • Kategorien betroffener Personen und personenbezogener Daten sind aufgezählt (nicht nur “alle Daten”).
  • Weisungsgebundenheit: Der Auftragsverarbeiter handelt nur auf dokumentierte Weisung.
  • Vertraulichkeit der eingesetzten Personen (Verpflichtung auf Vertraulichkeit oder gesetzliche Verschwiegenheit).
  • Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 — als Anlage oder mit konkreter Liste.
  • Subunternehmer (Sub-Auftragsverarbeiter): vollständige Liste, Genehmigungsregelung, Recht auf Einspruch bei Neuen.
  • Betroffenenrechte: Unterstützung bei der Beantwortung von Auskunfts-/Löschanträgen.
  • Meldepflichten bei Datenpannen: Frist, an wen, mit welchen Inhalten.
  • Löschung oder Rückgabe der Daten am Vertragsende — und Nachweis darüber.
  • Audit-Rechte: Recht auf Prüfung beim Auftragsverarbeiter, ggf. durch beauftragten Dritten (typisch: alle 24 Monate).

Typische rote Flaggen

  • “Wir orientieren uns an der DSGVO” — kein verbindlicher Inhalt, sondern Marketing.
  • Subunternehmer-Liste fehlt oder verweist auf eine “jederzeit änderbare URL”. Wirksam ist nur, was im Vertrag (oder als Anhang mit Versionsstand) steht.
  • Drittland-Transfer ohne Standardvertragsklauseln oder ohne Risikobewertung (Transfer Impact Assessment).
  • TOMs als vage Aufzählung (“modernste Verschlüsselung”) statt konkreter Maßnahmen.
  • Haftungsausschluss geht über die DSGVO-Grenzen hinaus (z.B. “Haftung höchstens 100 €”).
  • Ungeplanter US-Provider ohne EU-Datenstandort-Klausel.

Bei Microsoft, Google, AWS, …

Die AVVs der großen Hyperscaler sind grundsätzlich brauchbar — aber:

  1. Lesen Sie die EU-Standardvertragsklauseln (SCC) mit. Sie sind oft als separater Anhang verlinkt.
  2. Prüfen Sie das Data Processing Addendum (DPA) auf Ihre konkret abonnierten Dienste — Excel und Outlook haben jeweils eigene Anhänge.
  3. Daten-Standort muss explizit auf EU/EEA gesetzt sein (im Admin-Panel oder per SKU). Standard ist es nicht.
  4. Microsoft 365 EU Data Boundary, Google Workspace Data Regions, AWS European Sovereign Cloud — die existieren, sind aber nicht alle gleich belastbar.

Was wir liefern

  • AVV-Mustertext (FS/CS-Vorlage) für eigene Dienstleister.
  • Review bestehender AVVs mit schriftlichem Kurz-Gutachten (≤ 1 Seite pro AVV).
  • Begleitung bei Verhandlungen mit Anbietern, die unsere Punkte ablehnen.

Schreiben Sie uns das Ticket im Portal oder per Mail an xdsb@xdsb.eu.

Quelle: FS/CS GmbH