Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Auftragsverarbeitung · DSGVO Art. 28

Unterauftragsverhältnis (Sub-Auftragsverarbeitung)

Jeder größere SaaS-Anbieter beauftragt seinerseits Sub-Auftragsverarbeiter — typischerweise ein US-Cloud-Hoster, ein E-Mail-Versender, ein Support-Tool. Damit das DSGVO-konform bleibt, brauchen Sie als Verantwortlicher klare Spielregeln.

Zwei Modelle (Art. 28 Abs. 2)

Modell A: Spezifische schriftliche Genehmigung

Jeder neue Sub-Auftragsverarbeiter braucht eine schriftliche Einzelfreigabe vor Inbetriebnahme.

  • Vorteil: maximale Kontrolle.
  • Nachteil: Bei großen SaaS-Anbietern mit häufigen Änderungen administrativ aufwendig — und für den Anbieter oft nicht akzeptabel.

Modell B: Allgemeine schriftliche Genehmigung mit Widerspruchsrecht

Der Verantwortliche genehmigt allgemein, der Auftragsverarbeiter führt eine Sub-Liste und informiert über Änderungen mit angemessener Vorlauffrist (typisch: 30 Tage). Verantwortlicher kann widersprechen.

  • Vorteil: praxisgerecht, marktüblich.
  • Nachteil: Widerspruch hat in der Regel die Kündigung des Hauptvertrages zur Folge, weil Anbieter den Sub nicht für einen einzelnen Kunden austauschen.

Pflichten des Auftragsverarbeiters (Art. 28 Abs. 4)

Der Auftragsverarbeiter muss mit jedem Sub-Auftragsverarbeiter dieselben Datenschutzverpflichtungen vertraglich vereinbaren, die mit Ihnen bestehen — insbesondere TOMs, Audit-Rechte, Meldepflichten.

Genehmigungsverfahren in der Praxis

  1. Bestandsaufnahme: Sub-Liste des Auftragsverarbeiters anfordern, mit Funktion und Standort.
  2. Risiko-Klassifikation je Sub:
    • A — kritisch (Zahlungsdienstleister, Cloud-Hoster mit Volldatenzugriff).
    • B — operativ (Mail-Versender, Logging-SaaS).
    • C — peripher (CDN, Status-Page).
  3. Drittlandsprüfung — gibt es US-Subs? Liegen SCCs vor? Wurde ein TIA durchgeführt?
  4. Vertragsbestätigung — Mustertext: „Der Auftragsverarbeiter setzt aktuell folgende Sub-Auftragsverarbeiter ein: [Liste]. Änderungen werden 30 Tage vorher per Mail an datenschutz@kunde mitgeteilt.”
  5. Widerspruchsverfahren vertraglich festhalten — Frist, Form, Folge.

Wenn Sie selbst Auftragsverarbeiter sind

Sie brauchen eine eigene Sub-Liste mit Versionsständen. Bei Änderungen alle Auftraggeber informieren. Es ist üblich, das in den Vertrag gleich mit „allgemeiner Genehmigung mit Widerspruchsrecht” zu schreiben.

Häufige Fehler

  • Sub-Liste fehlt im AVV-Anhang — der AVV ist damit lückenhaft.
  • Sub-Liste ist eine URL ohne Versionsstand — Anbieter kann jederzeit ändern, niemand merkt es.
  • Keine Drittlandbewertung der Subs — vor allem bei US-Cloud-Hostern.
  • „Konzernunternehmen sind keine Subs” — falsch. Sobald juristische Personen beteiligt sind, gilt Art. 28 Abs. 4.

Wenn wir DSB sind

Wir pflegen für den Mandanten ein Register der Hauptanbieter mit deren Sub-Listen, prüfen Änderungsmeldungen quartalsweise und bewerten neue Subs (Risiko, Drittland, TOMs). Bei Bedarf entwerfen wir den Widerspruchsbrief.

Quelle: FS/CS GmbH