Geschrieben am 26.08.2025 von:
Dominik Piroth
Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Im neuesten Artikel unserer Beitragsreihe befassen wir uns mit einem wichtigen Thema, das in der Praxis oft für Abgrenzungsschwierigkeiten sorgt: Das Konstrukt der Auftragsverarbeitung. Die gesetzlichen Grundlagen dazu finden sich in Art. 4 Nr. 8 DS-GVO, wo es heißt: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Sollte eine solche Auftragsverarbeitung vorliegen, greift Art. 28 DS-GVO, in der die gesetzlichen Anforderungen an einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu finden sind, der mit jedem Auftragsverarbeiter abgeschlossen werden muss.
Ein AV-Vertag ist deshalb wichtig, weil er die Rechtsgrundlage, Pflichten und Rahmenbedingungen festlegt, unter denen personenbezogene Daten verarbeitet werden dürfen. Er sorgt u.a. dafür, dass Klarheit besteht über Zweck, Art der Daten, betroffene Personen und Verantwortlichkeiten, dass geeignete technische und organisatorische Maßnahmen (TOMs) umgesetzt werden und dass Unterauftragsverhältnisse geregelt sind. Dadurch werden Bußgelder vermieden und Transparenz sowie Sicherheit in der Zusammenarbeit mit Dienstleistern geschaffen. Aus diesen Gründen sollten die gesetzlichen Anforderungen des Art. 28 DS-GVO bei der Erstellung und Prüfung eines AV-Vertrags immer beachtet werden.
Die meisten AV-Verträge bieten eine Möglichkeit der gegenseitigen Unterzeichnung. Unter dem Gesichtspunkt der Transparenz ist das auch sinnvoll, lässt sich doch auf einen Blick feststellen, wann der Vertrag geschlossen wurde. Allerdings kann ein AV-Vertrag auch ohne Unterschrift wirksam sein, wenn er in Textform vorliegt und die Anforderungen der DS-GVO erfüllt. Eine handschriftliche Unterschrift oder eine qualifizierte elektronische Signatur ist nicht zwingend erforderlich. Insbesondere Big Player nutzen dieses Vorgehen.
Doch kommen wir nun auf die Frage zurück, wie eine Auftragsverarbeitung festgestellt werden kann, denn nur wenn die Daten von einem Auftragsverarbeiter verarbeitet werden, wird überhaupt erst ein solcher AV-Vertrag notwendig. Korrespondieren wir mit einem Dienstleister, der die Daten in eigener Verantwortlichkeit verarbeitet, liegt jedoch keine Auftragsverarbeitung vor.
Ein wichtiges Abgrenzungskriterium liegt in der Weisungsbefugnis des Verantwortlichen. Denn in Art. 4 Nr. 2 DS-GVO heißt es, dass nur die verantwortliche Stelle über „Zweck und Mittel der Datenverarbeitung“ entscheidet. Damit einher geht eine Weisungsgebundenheit des Auftragsverarbeiters. Denn dieser fungiert als eine Art „verlängerter Arm“ im Hinblick auf die Datenverarbeitung. Der Auftragsverarbeiter verarbeitet also weisungsgebunden personenbezogene Daten im Auftrag des Verantwortlichen.
Ein weiteres wichtiges Abgrenzungskriterium stellt die Art der Dienstleistung dar. Auftragsverarbeitung liegt in der Regel jedenfalls dann vor, wenn die Dienstleistung ihrem Inhalt nach speziell auf die Verarbeitung personenbezogener Daten abzielt, oder die Verarbeitung personenbezogener Daten ein Schlüsselelement der Dienstleistung darstellt. Als typische Einsatzfelder wären hier etwa Cloud-Dienstleistungen oder das Hosting zu nennen.
Weiterhin sind aber auch Dienstleistungen als Auftragsverarbeitung zu klassifizieren, die nach ihrem Hauptgegenstand bzw. ihrem Inhalt zwar nicht auf die Verarbeitung von personenbezogenen Daten abzielen, jedoch einen systematischen, umfangreichen Zugang zu personenbezogenen Daten unvermeidlich mit sich bringen. Aus diesem Grund ist der Regel die Beauftragung von externen IT-Dienstleistern im Rahmen von Support und (Fern-) Wartung als Auftragsverarbeitung zu klassifizieren. Eine Ausnahme würden hier solche IT-Dienstleister darstellen, die eine reine Maschinenwartung vornehmen (wo der Zugriff auf personenbezogene Daten von vornherein ausgeschlossen ist). So auch das Bayerische Landesamt für Datenschutzaufsicht in ihrer Abgrenzungshilfe Abgrenzungshilfe_Auftragsverarbeitung.pdf.
Zusammenfassend kann gesagt werden, dass die Unterscheidung zwischen eigener Verantwortlichkeit und Auftragsverarbeitung in der Praxis zu erheblichen Unsicherheiten führt. Denn trotz des Bestehens von Orientierungshilfen der Aufsichtsbehörden bleiben in der Praxis doch immer wieder Abgrenzungsschwierigkeiten, insbesondere wenn man es mit etwaigen „exotischen“ Dienstleistern zu tun bekommt. Hier können wie dir mit unserer jahrelangen Erfahrung weiterhelfen. Solltest du also Fragen zur Auftragsverarbeitung haben, dann schreib uns einfach unter contact@morgenstern-privacy.com.