DSGVO – information privacy standard

Während wir uns bei unserem letzten Beitrag zur Beitragsreihe über den Kriterienkatalog des DSGVO – information privacy standard mit den Informationspflichten des Kunden beschäftigt haben, widmen wir uns heute dem wichtigem Aspekt der Auftragsverarbeitung.

Kapitel P.4 Auftragsverarbeitung

Viele Unternehmen bedienen sich bei der Bereitstellung ihrer Dienste externer Dienstleister – etwa im Rahmen von Hosting- oder Housing-Leistungen in Rechenzentren oder im Bereich von Service-Dienstleistungen. Werden dabei personenbezogene Daten verarbeitet, sind verschiedene datenschutzrechtlichen Anforderungen zu erfüllen.

Das Kapitel P.4 – Auftragsverarbeitung gibt hierzu konkrete Vorgaben im Einklang mit den Art. 28 ff. DSGVO. Inhaltlich ist das Kapitel in drei Unterkapitel untergliedert, die folgende Aspekte betreffen:

4.1 – Vertrag zur Auftragsverarbeitung (AV-Vertrag)
4.2 – Umsetzung der Maßnahmen gemäß AV-Vertrag
4.3 – Audit

Nachfolgend erläutern wir die Anforderungen der jeweiligen Unterkapitel und zeigen auf, welche Nachweise für die Umsetzung erbracht werden können.

P.4.1. Vertrag zur Auftragsverarbeitung (AV-Vertrag)

Um die Rechte und Freiheiten der Betroffenen zu wahren und ein angemessenes datenschutzrechtliches Niveau bei der Datenverarbeitung durch eingesetzte Dienstleister sicherzustellen, muss zusätzlich zum Dienstleistungsvertrag ein Vertrag zur Auftragsverarbeitung i. S. d. Art. 28 DSGVO zwischen Auftraggeber und Dienstleister geschlossen werden. Dabei sind mehrere Konstellationen möglich:

Verantwortlicher und Auftragsverarbeiter

Dies betrifft die klassische Konstellation der Auftragsverarbeitung: Hierbei bedient sich ein Unternehmen eines Dienstleisters. In diesem Fall muss zusätzlich zum Dienstleistungsvertrag ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DGSVO geschlossen werden.

Auftragsverarbeiter und Verantwortlicher

Soll ein Auftragsverarbeiter nach dem DSGVO – information privacy standard zertifiziert werden, etwa auf Grundlage von P. 1.10. des Kriterienkatalogs, ist auch hier ein entsprechender Vertrag zur Auftragsverarbeitung mit dem jeweiligen Verantwortlichen gemäß Art. 28 Abs. 3 DSGVO abzuschließen.

Auftragsverarbeiter und Sub-Auftragsverarbeiter

Besteht eine Beziehung zwischen einem Auftragsverarbeiter und einem Sub-Auftragsverarbeiter, so ist ebenfalls ein Vertrag zur Auftragsverarbeitung i. S. d. Art. 28 Abs. 4 DSGVO zu schließen.

Allen Konstellationen ist gemein, dass der geschlossene Vertrag zur Auftragsverarbeitung den Anforderungen der Art. 28 ff. DSGVO genügen muss. Wesentliche Inhalte sind:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Vollständige Aufführung aller Arten personenbezogenen Daten
Kategorien der betroffenen Personen
Rechte und Pflichten des Verantwortlichen
Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
Angaben zur Datenverarbeitung innerhalb oder außerhalb der EU / des EWR
Auflistung der eingesetzten Subunternehmer (des Auftragsverarbeiters)
Dokumentierte Weisungspflicht des Auftragsverarbeiters
Pflichten des Auftragsverarbeiters gemäß Art. 32 ff. DSGVO
Rückgabe oder Löschung der verarbeiteten Daten nach Vertragsende
Durchführung eigener Audits durch den Auftragsverarbeiter sowie das Recht des Verantwortlichen zur Auditierung

Die Umsetzung der Anforderungen kann in Form des Vertrags zur Auftragsverarbeitung, der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters, bestehender Zertifikate (z. B. ISO/IEC 27001), Weisungsdokumenten und/oder Verpflichtungserklärungen, Protokollen über Datenschutzverletzungen, Prozessbeschreibungen, Löschprotokollen und Löschkonzepten, Auditberichten sowie eines Prüfplans innerhalb des Datenschutz-Managementsystems des Verantwortlichen nachgewiesen werden.

P.4.2 Umsetzung der Maßnahmen gemäß AV-Vertrag

Dieses Unterkapitel betrifft die Verpflichtung, die konforme Umsetzung der im AV-Vertrag vereinbarten Maßnahmen nachzuweisen. Es muss nachvollziehbar dokumentiert sein, dass der Auftragsverarbeiter die Maßnahmen tatsächlich umsetzt. Dies betrifft insbesondere:

Maßnahmen zur Regelung der Weisungsbefugnis
Verschwiegenheitsverpflichtung der befugten Personen
Umgesetzte technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Ort der Datenverarbeitung
Eingesetzte Subunternehmer
Umsetzung der Unterstützungspflichten
Rückgabe und Löschung
das Auditrecht des Verantwortlichen

Die Nachweise für die Umsetzung der getroffenen Maßnahmen können insbesondere aus Verfahrensbeschreibungen und Arbeitsanweisungen abgeleitet werden, welche unter anderem die interne Regelung der Weisungsbefugnis und Verschwiegenheit, schriftliche Vereinbarungen zur Verschwiegenheit der mit der Verarbeitung betrauten Mitarbeiter*innen sowie deren Schulungsnachweisen im Hinblick auf den Datenschutz beinhalten. Darüber hinaus können auch die umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen, bestehenden Sicherheitskonzepte, Risikomanagement-Dokumentationen, Prüfberichte eingesetzter Subunternehmer, Löschkonzepte sowie Auditberichte und Prüfpläne als geeignete Nachweise herangezogen werden.

P.4.3 – Audit

Zur Sicherstellung, dass ausschließlich geeignete Auftragsverarbeiter mit ausreichendem Fachwissen, Verlässlichkeit und Ressourcen eingesetzt werden, muss der Verantwortliche bzw. Auftragsverarbeiter ein Datenschutz-Managementsystem aufrechterhalten. Innerhalb dessen muss definiert sein, dass Auftragsverarbeiter vor Beginn sowie regelmäßig, mindestens jährlich, sowie anlassbezogen kontrolliert werden.

Um die Umsetzung der Anforderungen nachzuweisen, empfiehlt sich eine umfassende Dokumentation im Rahmen des Datenschutz-Managementsystems, unterstützt durch Richtlinien, Verfahren und klar definierte Zuständigkeiten. Dabei ist ebenfalls nachzuweisen, dass das Datenschutz-Managementsystem regelmäßigen Überprüfungen und Aktualisierungen unterliegt. Die Auswahlkriterien für die einzusetzenden Auftragsverarbeiter sollten in Form von dokumentierten Bewertungsmaßstäben für Fachwissen, Verlässlichkeit und vorhandene Ressourcen – etwa durch Checklisten oder Bewertungsmethoden – festgehalten werden. Im Hinblick auf die regelmäßig sowie anlassbezogen durchzuführenden Audits der Auftragsverarbeiter dienen Auditberichte und -protokolle als geeignete Nachweise. Ergänzend ist eine nachvollziehbare Risikobewertung erforderlich, die insbesondere im Rahmen anlassbezogener Kontrollen berücksichtigt werden muss, wie sie sich z. B. aus Änderungen der Rechtslagen, Datenschutzverstößen beim Dienstleister oder dem Wechsel von Subunternehmern ergeben können. In diesen Fällen ist eine dokumentierte Prüfung durchzuführen und entsprechend nachzuweisen.

Fazit

Da die Auftragsverarbeitung bei der Bereitstellung von einer Vielzahl von Dienstleistungen nicht mehr wegzudenken ist, stellt sie einen zentralen Aspekt des Datenschutzes im Rahmen des DSGVO – information privacy standard dar. Wie dargestellt, ist es unabdingbar, dass Unternehmen beim Einsatz externer Dienstleister klare vertragliche, organisatorische und technische Anforderungen erfüllen. Nur so kann ein dauerhaft angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden.

Sarah Akanbam Herwig | 8. Mai 2025 | Allgemein | Auftragsdatenverarbeitung, Auftragsverarbeiter, Auftragsverarbeitung, AV-Vertrag, Blogreihe DSGVO – information privacy standard, DSGVO – information privacy standard, DSGVO-Zertifikat, Informationspflichten, Verantwortlicher

DSGVO – information privacy standard – Kapitel P.4 – Auftragsverarbeitung