Skip to content

Auftragsverarbeiter🔗

Auftragsverarbeiter (engl. Data Processor) sind externe Dienstleister, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten.

Gemäß Art. 28 DSGVO müssen mit diesen Dienstleistern Auftragsverarbeitungsverträge (AVV) geschlossen werden.

Was ist ein Auftragsverarbeiter?🔗

Ein Dienstleister ist Auftragsverarbeiter, wenn er:

  • Im Auftrag des Verantwortlichen handelt
  • Personenbezogene Daten verarbeitet
  • Keine eigenen Zwecke verfolgt

Typische Auftragsverarbeiter:

  • Cloud-Hosting (AWS, Azure, Google Cloud)
  • E-Mail-Marketing-Tools (Mailchimp, Brevo)
  • CRM-Systeme (Salesforce, HubSpot)
  • IT-Support-Dienstleister
  • Callcenter (im Kundenauftrag)

Kein Auftragsverarbeiter: Steuerberater, Anwalt, Bank (verfolgen eigene Zwecke)

Auftragsverarbeiter anlegen🔗

  1. Öffne Datenschutzmanagement → Auftragsverarbeiter
  2. Klicke auf + Auftragsverarbeiter hinzufügen
  3. Erfasse:
  4. Name des Dienstleisters (z.B. "AWS - Amazon Web Services")
  5. Kontaktdaten (Ansprechpartner, E-Mail, Telefon)
  6. Standort (wichtig für Drittlandtransfers!)
  7. Verarbeitungszweck (z.B. "Hosting", "E-Mail-Versand")
  8. Vertragsart: Standard-AVV / Individueller AVV / EU-Standardvertragsklauseln
  9. Vertragsstatus: In Verhandlung / Abgeschlossen / Läuft aus / Gekündigt
  10. Vertragsdatum und Laufzeit
  11. Verantwortlich (Person für Vertragsverwaltung)
  12. Dokumente hochladen:
  13. AVV (PDF)
  14. TOMs (Technische und organisatorische Maßnahmen)
  15. Zertifikate (z.B. ISO 27001)

Pflichtinhalte eines AVV🔗

Gemäß Art. 28 Abs. 3 DSGVO muss der AVV regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Weisungsrecht des Verantwortlichen
  • Vertraulichkeitsverpflichtung der Mitarbeiter
  • Technische und organisatorische Maßnahmen (TOMs)
  • Unterstützung bei Betroffenenanfragen und Datenpannen
  • Löschung oder Rückgabe der Daten nach Vertragsende
  • Kontrollrechte (Audits)
  • Einsatz von Sub-Auftragsverarbeitern (nur mit Genehmigung)

Drittlandtransfers🔗

Wenn der Auftragsverarbeiter außerhalb der EU sitzt:

  • Prüfung: Angemessenheitsbeschluss vorhanden? (z.B. EU-US Data Privacy Framework)
  • Wenn nein: EU-Standardvertragsklauseln (SCCs) erforderlich
  • Transfer Impact Assessment (TIA) durchführen

In GRASP markieren:

  • Drittland: Ja/Nein
  • Land: (z.B. USA, Schweiz, UK)
  • Garantien: (z.B. SCCs, Angemessenheitsbeschluss)

Compliance-Überwachung🔗

Regelmäßige Checkliste:

  • [ ] AVV vorhanden und aktuell?
  • [ ] TOMs dokumentiert und ausreichend?
  • [ ] Zertifikate aktuell? (ISO 27001, SOC 2)
  • [ ] Sub-Auftragsverarbeiter genehmigt?
  • [ ] Drittlandtransfer rechtmäßig?
  • [ ] Kontroll-Audit durchgeführt? (mind. alle 2 Jahre)

System sendet automatische Erinnerungen bei Ablauf von Verträgen oder Zertifikaten.

Verknüpfung mit VVT🔗

Auftragsverarbeiter werden im Verzeichnis der Verarbeitungstätigkeit (VVT) referenziert:

  • Bei jeder Verarbeitungstätigkeit: "Verwendung eines Prozessors?" → Ja
  • System zeigt verfügbare Auftragsverarbeiter zur Auswahl

Verbindung zu anderen Modulen🔗

  • VVT → Auftragsverarbeiter werden dort referenziert
  • Löschkonzepte → Bei Vertragsende: Löschung durch Dienstleister
  • Dokumentenverwaltung → AVVs, TOMs, Zertifikate zentral verwalten

Ansicht🔗

Auftragsverarbeiter