Auftragsverarbeitung: AVV prüfen und Dienstleister bewerten

Warum die Auftragsverarbeitung so viel Aufmerksamkeit verdient

Fast jedes Unternehmen arbeitet heute mit externen Dienstleistern, die personenbezogene Daten verarbeiten. Der Lohnabrechnungsdienstleister rechnet die Gehälter ab, der Cloud-Provider hostet die Kundendatenbank, das Ticketsystem speichert Supportanfragen mit Namen und E-Mail-Adressen, und der Newsletter-Dienst verwaltet tausende Kontakte. All das ist Auftragsverarbeitung im Sinne der DSGVO, und für jede einzelne dieser Beziehungen brauchst du einen Auftragsverarbeitungsvertrag.

Art. 28 DSGVO regelt die Auftragsverarbeitung und stellt klare Anforderungen an den Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. In der Praxis zeigt sich aber, dass viele Unternehmen ihre AVVs entweder nie geprüft haben, mit veralteten Vorlagen arbeiten oder die Pflichten aus Art. 28 nicht vollständig abdecken. Das ist riskant, denn als Verantwortlicher trägst du die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wenn dein Dienstleister einen Fehler macht, bist du gegenüber den Betroffenen in der Haftung.

Dieser Artikel gibt dir das Werkzeug an die Hand, um Auftragsverarbeitung zuverlässig zu erkennen, AVVs auf Vollständigkeit zu prüfen und Dienstleister nach Kritikalität und Sicherheitsniveau zu bewerten.

Wann liegt Auftragsverarbeitung vor?

Die Abgrenzung klingt einfach, hat aber Tücken. Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag und auf deine Weisung verarbeitet. Du bestimmst als Verantwortlicher das "Ob" und "Wie" der Verarbeitung, der Auftragsverarbeiter führt sie lediglich aus.

Typische Fälle von Auftragsverarbeitung:

• Cloud-Hosting und SaaS: Der Anbieter speichert und verarbeitet personenbezogene Daten auf seinen Servern in deinem Auftrag. Das gilt für CRM-Systeme, Projektmanagement-Tools, Buchhaltungssoftware in der Cloud und vergleichbare Dienste.
• Externe Lohnabrechnung: Der Dienstleister verarbeitet die Gehaltsdaten deiner Mitarbeiter nach deinen Vorgaben.
• Newsletter- und E-Mail-Marketing: Der Versanddienstleister speichert E-Mail-Adressen und versendet Nachrichten in deinem Namen.
• IT-Support und Wartung: Wenn der IT-Dienstleister im Rahmen der Wartung Zugriff auf personenbezogene Daten haben kann, liegt Auftragsverarbeitung vor.
• Aktenvernichtung: Der Entsorgungsdienstleister vernichtet Datenträger mit personenbezogenen Daten in deinem Auftrag.
• Callcenter und Kundensupport: Externe Mitarbeiter bearbeiten Anfragen deiner Kunden und greifen dabei auf deren Daten zu.

Keine Auftragsverarbeitung liegt dagegen in diesen Fällen vor:

• Berufsgeheimnisträger: Steuerberater, Rechtsanwälte und Wirtschaftsprüfer verarbeiten Daten in eigener fachlicher Verantwortung. Hier liegt eine eigenständige Verantwortlichkeit vor, kein Auftragsverhältnis.
• Postdienstleister und Kurierdienste: Der reine Transport von Briefen und Paketen ist keine Auftragsverarbeitung.
• Bankdienstleistungen: Die Hausbank verarbeitet Kontodaten in eigener Verantwortung, nicht in deinem Auftrag.
• Rein technische Hilfstätigkeiten ohne Datenzugang: Wenn der Handwerker die Klimaanlage im Serverraum repariert, ohne auf Daten zugreifen zu können, liegt keine Auftragsverarbeitung vor.
• Gemeinsame Verantwortlichkeit: Wenn beide Parteien gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, greift Art. 26 DSGVO (Joint Controllership) statt Art. 28.

Die Grenzfälle sind in der Praxis nicht immer eindeutig. Wenn du unsicher bist, hilft folgende Leitfrage: Bestimmst du den Zweck und die wesentlichen Mittel der Verarbeitung, und der Dienstleister setzt das nur um? Dann ist es Auftragsverarbeitung. Wenn der Dienstleister eigene Zwecke verfolgt oder selbst über das "Wie" der Verarbeitung entscheidet, kann es eine eigenständige Verantwortlichkeit oder eine gemeinsame Verantwortlichkeit sein.

Die 10 Pflichtinhalte eines AVV nach Art. 28 DSGVO

Art. 28 Abs. 3 DSGVO listet die Mindestinhalte auf, die jeder Auftragsverarbeitungsvertrag enthalten muss. Ein AVV, dem einer dieser Punkte fehlt, ist unvollständig und kann bei einer Prüfung beanstandet werden.

1. Gegenstand und Dauer der Verarbeitung

Der AVV muss klar beschreiben, welche Verarbeitung durchgeführt wird und wie lange das Vertragsverhältnis dauert. "IT-Dienstleistungen" reicht als Gegenstandsbeschreibung nicht aus. Besser: "Hosting und Betrieb der CRM-Anwendung Muster-CRM einschließlich Speicherung der darin enthaltenen Kundenstammdaten, Kontakthistorien und Vertragsdaten."

2. Art und Zweck der Verarbeitung

Neben dem Gegenstand müssen auch Art und Zweck der Verarbeitung beschrieben werden: Welche Verarbeitungsvorgänge finden statt (Erheben, Speichern, Verändern, Abfragen, Löschen) und zu welchem Zweck?

3. Art der personenbezogenen Daten

Welche Datenkategorien werden verarbeitet? Stammdaten, Kontaktdaten, Vertragsdaten, Zahlungsdaten, Gesundheitsdaten? Je genauer die Auflistung, desto besser kannst du die Angemessenheit der Schutzmaßnahmen beurteilen.

4. Kategorien betroffener Personen

Wessen Daten werden verarbeitet? Mitarbeiter, Kunden, Bewerber, Websitebesucher? Die Angabe der betroffenen Personengruppen hilft, den Schutzbedarf einzuschätzen.

5. Weisungsgebundenheit

Der Auftragsverarbeiter darf die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Der AVV muss regeln, wie Weisungen erteilt werden (schriftlich, per E-Mail, über ein Ticketsystem) und was passiert, wenn der Auftragsverarbeiter eine Weisung für rechtswidrig hält. In diesem Fall muss er den Verantwortlichen unverzüglich informieren.

6. Vertraulichkeit

Der Auftragsverarbeiter muss gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Technische und organisatorische Maßnahmen (TOMs)

Der AVV muss die TOMs des Auftragsverarbeiters enthalten oder darauf verweisen. Die TOMs müssen ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO gewährleisten. In der Praxis werden die TOMs meist als Anlage zum AVV beigefügt.

8. Regelung zu Sub-Auftragsverarbeitern

Der AVV muss regeln, ob und unter welchen Bedingungen der Auftragsverarbeiter weitere Auftragsverarbeiter (Sub-Dienstleister) hinzuziehen darf. Es gibt zwei Modelle: die allgemeine schriftliche Genehmigung (der Verantwortliche wird über geplante Änderungen informiert und kann widersprechen) oder die vorherige schriftliche Genehmigung für jeden einzelnen Sub-Dienstleister. Die meisten Cloud-Anbieter arbeiten mit dem ersten Modell.

9. Unterstützungspflichten

Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung seiner Pflichten unterstützen, insbesondere bei Betroffenenrechten (Auskunft, Löschung, Berichtigung), bei Datenschutz-Folgenabschätzungen und bei der Meldung von Datenschutzverletzungen. Der AVV sollte konkret regeln, innerhalb welcher Fristen der Auftragsverarbeiter auf Anfragen reagiert.

10. Löschung und Rückgabe nach Vertragsende

Nach Beendigung der Auftragsverarbeitung muss der Auftragsverarbeiter alle personenbezogenen Daten entweder löschen oder zurückgeben, je nach Wahl des Verantwortlichen. Bestehende Aufbewahrungspflichten des Auftragsverarbeiters bleiben davon unberührt, müssen aber im AVV benannt werden.

Checkliste zur Prüfung bestehender AVVs

Wenn du bereits AVVs mit deinen Dienstleistern abgeschlossen hast, solltest du diese regelmäßig prüfen. Die folgende Checkliste hilft dir bei der systematischen Durchsicht.

Formale Prüfung

• Liegt ein schriftlicher oder elektronischer AVV vor (nicht nur AGB oder Datenschutzerklärung)?
• Ist der AVV von beiden Seiten unterschrieben oder anderweitig wirksam geschlossen (elektronischer Vertragsschluss, Akzeptanz über Plattform)?
• Bezieht sich der AVV auf die aktuelle DSGVO-Fassung und nicht auf das BDSG-alt?
• Ist das Datum des AVV dokumentiert und liegt es vor dem Beginn der Datenverarbeitung?

Inhaltliche Prüfung

• Sind alle 10 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO abgedeckt?
• Ist der Gegenstand der Verarbeitung konkret beschrieben (nicht nur allgemein "IT-Dienstleistungen")?
• Sind die Datenkategorien und betroffenen Personengruppen korrekt und vollständig aufgelistet?
• Enthält der AVV eine Regelung zur Weisungsbindung mit klarem Verfahren für Weisungserteilung?
• Sind die TOMs als Anlage beigefügt und inhaltlich aktuell?
• Ist die Sub-Dienstleister-Regelung klar (Genehmigungsmodell, Widerspruchsrecht, aktuelle Liste)?
• Sind Unterstützungspflichten bei Betroffenenanfragen mit konkreten Fristen geregelt?
• Ist die Meldepflicht bei Datenschutzverletzungen mit einer Frist versehen (empfohlen: unverzüglich, spätestens 24-48 Stunden)?
• Gibt es eine klare Regelung für Löschung/Rückgabe der Daten nach Vertragsende?
• Sind Kontrollrechte des Verantwortlichen (Audits, Inspektionen, Fragebogen) vereinbart?

Prüfung der Aktualität

• Stimmen die im AVV genannten Datenkategorien noch mit der tatsächlichen Verarbeitung überein?
• Hat sich der Leistungsumfang des Dienstleisters seit Abschluss des AVV geändert?
• Sind neue personenbezogene Daten hinzugekommen, die im AVV nicht genannt sind?
• Ist die Sub-Dienstleister-Liste aktuell? Hat der Auftragsverarbeiter neue Sub-Dienstleister hinzugezogen?
• Sind die TOMs noch aktuell oder basieren sie auf einem veralteten Stand?
• Hat sich die Rechtslage geändert (z. B. neue Standardvertragsklauseln, Angemessenheitsbeschlüsse)?

Drittlandtransfer prüfen

• Werden Daten in Drittländer übermittelt? Wenn ja: Welches Drittland?
• Auf welcher Rechtsgrundlage basiert der Transfer (Angemessenheitsbeschluss, SCCs, BCRs)?
• Sind die aktuellen Standardvertragsklauseln der EU-Kommission (Version von Juni 2021) verwendet? Mehr dazu im Kontext des internationalen Datentransfers.
• Wurde bei Transfers in die USA geprüft, ob der Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist?
• Wurde ein Transfer Impact Assessment (TIA) durchgeführt, falls erforderlich?

Dienstleister bewerten: Kritikalität und Sicherheitsniveau

Nicht jeder Dienstleister stellt dasselbe Risiko dar. Der Newsletter-Versanddienst, der E-Mail-Adressen und Vornamen verarbeitet, hat ein anderes Risikoprofil als der Cloud-Anbieter, der deine komplette Personalverwaltung hostet. Eine systematische Dienstleister-Bewertung hilft dir, deine Prüfungsressourcen dort einzusetzen, wo das Risiko am höchsten ist.

Kritikalitätsbewertung

Die Kritikalität eines Dienstleisters hängt von mehreren Faktoren ab, die du jeweils auf einer Skala (z. B. niedrig, mittel, hoch) einordnen kannst:

Sensibilität der Daten: Verarbeitet der Dienstleister besondere Kategorien personenbezogener Daten (Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten)? Oder handelt es sich um unkritische Geschäftskontaktdaten? Je sensibler die Daten, desto kritischer der Dienstleister.

Umfang der Daten: Wie viele Datensätze verarbeitet der Dienstleister? Ein Tool, das die E-Mail-Adressen von 50 internen Nutzern speichert, ist weniger kritisch als ein CRM mit 100.000 Kundendatensätzen.

Anzahl betroffener Personen: Sind nur wenige Mitarbeiter betroffen oder potenziell alle Kunden des Unternehmens?

Geschäftskritikalität: Wie abhängig bist du von diesem Dienstleister? Kann die Geschäftstätigkeit fortgesetzt werden, wenn der Dienst ausfällt? Ein Ausfall des Lohnabrechnungsdienstleisters hat gravierendere Folgen als der Ausfall eines Besuchermanagement-Tools.

Drittlandtransfer: Werden Daten in Drittländer übermittelt? Transfers in Länder ohne Angemessenheitsbeschluss erhöhen das Risiko.

Zugriffsmöglichkeiten: Hat der Dienstleister lesenden Zugriff auf die Daten, oder kann er sie auch verändern und löschen? Je weitreichender die Zugriffsmöglichkeiten, desto kritischer.

Auf Basis dieser Faktoren kannst du jeden Dienstleister in eine Kritikalitätsstufe einordnen:

• Niedrig: Wenige unkritische Daten, geringer Umfang, kein Drittlandtransfer. Beispiel: Büromateriallieferant mit Ansprechpartnerdaten.
• Mittel: Geschäftskontaktdaten oder Mitarbeiterstammdaten in moderatem Umfang. Beispiel: Projektmanagement-Tool mit Nutzerprofilen.
• Hoch: Sensible Daten, großer Umfang, geschäftskritische Abhängigkeit oder Drittlandtransfer. Beispiel: Cloud-HR-System, CRM mit umfangreichen Kundendaten, Lohnabrechnungsdienstleister.

Sicherheitsniveau bewerten

Neben der Kritikalität musst du das Sicherheitsniveau des Dienstleisters einschätzen. Je kritischer der Dienstleister, desto gründlicher sollte diese Prüfung ausfallen.

Zertifizierungen und Testate:

• ISO 27001: Der internationale Standard für Informationssicherheitsmanagement. Eine aktuelle, von einer akkreditierten Stelle ausgestellte Zertifizierung ist ein starkes Qualitätssignal.
• SOC 2 Typ II: Verbreitet bei US-amerikanischen Cloud-Anbietern. Der Typ-II-Bericht bestätigt, dass die Kontrollen über einen Zeitraum (üblicherweise 12 Monate) tatsächlich wirksam waren.
• BSI C5: Der Cloud Computing Compliance Criteria Catalogue des BSI, besonders relevant für Cloud-Dienste im deutschen Markt.
• TISAX: Relevant, wenn du in der Automobilbranche tätig bist.

Beachte: Eine Zertifizierung allein sagt nicht alles aus. Prüfe den Geltungsbereich der Zertifizierung. Wenn der Dienstleister eine ISO-27001-Zertifizierung für seinen Hauptstandort hat, aber deine Daten in einem nicht zertifizierten Rechenzentrum verarbeitet werden, ist die Zertifizierung für dich wenig wert.

TOM-Dokumentation prüfen: Fordere die aktuelle TOM-Dokumentation des Dienstleisters an und prüfe sie inhaltlich. Achte dabei auf folgende Punkte:

• Sind die TOMs konkret genug oder bestehen sie nur aus Allgemeinplätzen?
• Entsprechen die Maßnahmen dem aktuellen Stand der Technik?
• Sind die Maßnahmen dem Risiko angemessen (bei sensiblen Daten strengere Maßnahmen)?
• Gibt es ein Versionsdatum? Werden die TOMs regelmäßig aktualisiert?

Audit-Ergebnisse und Fragebogen: Bei hochkritischen Dienstleistern kann ein Vor-Ort-Audit oder zumindest ein detaillierter Fragebogen sinnvoll sein. Viele größere Auftragsverarbeiter stellen auch eigeninitiativ Auditberichte oder Selbstauskünfte zur Verfügung. Nutze diese Informationen und dokumentiere deine Bewertung.

Sub-Dienstleister: Genehmigung und Kontrolle

Die meisten Cloud-Anbieter und größeren Dienstleister setzen selbst wieder Sub-Dienstleister ein. Dein CRM-Anbieter hostet seine Infrastruktur vielleicht bei AWS oder Azure, nutzt einen externen E-Mail-Dienst für Systembenachrichtigungen oder einen Monitoring-Dienst für die Überwachung der Plattform. Jeder dieser Sub-Dienstleister verarbeitet potenziell personenbezogene Daten, die ursprünglich von dir stammen.

Art. 28 Abs. 2 DSGVO regelt, dass der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen hinzuziehen darf.

Das Genehmigungsmodell verstehen

Allgemeine schriftliche Genehmigung (häufiger bei Cloud-Anbietern): Du erteilst im AVV eine allgemeine Genehmigung zur Hinzuziehung von Sub-Dienstleistern. Im Gegenzug muss der Auftragsverarbeiter dich über jede geplante Änderung (Hinzuziehung oder Ersetzung eines Sub-Dienstleisters) informieren. Du erhältst dann die Möglichkeit, Einspruch zu erheben. Wenn du Einspruch erhebst und keine Einigung erzielt wird, hast du in der Regel ein Sonderkündigungsrecht.

Vorherige Einzelgenehmigung (seltener, typisch bei individuellen Verträgen): Du genehmigst jeden einzelnen Sub-Dienstleister explizit. Neue Sub-Dienstleister dürfen erst nach deiner schriftlichen Zustimmung eingesetzt werden.

Sub-Dienstleister-Liste prüfen

Fordere die aktuelle Sub-Dienstleister-Liste deines Auftragsverarbeiters an. Die meisten größeren Anbieter veröffentlichen diese auf ihrer Website. Prüfe für jeden Sub-Dienstleister:

• Name und Sitz: In welchem Land ist der Sub-Dienstleister ansässig? Findet ein Drittlandtransfer statt?
• Art der Verarbeitung: Was genau macht der Sub-Dienstleister? Hosting, Monitoring, Support, Datenanalyse?
• Datenzugang: Hat der Sub-Dienstleister tatsächlich Zugang zu personenbezogenen Daten, oder handelt es sich um reine Infrastruktur ohne Datenzugriff?
• Vertragliche Absicherung: Der AVV muss regeln, dass der Auftragsverarbeiter dem Sub-Dienstleister dieselben Datenschutzpflichten auferlegt wie dir gegenüber.

Änderungen aktiv verfolgen

Viele Cloud-Anbieter informieren über Änderungen an der Sub-Dienstleister-Liste per E-Mail oder über eine Änderungsseite auf ihrer Website. Richte einen Prozess ein, um diese Benachrichtigungen nicht untergehen zu lassen. Bei größeren Anbietern empfiehlt es sich, die Sub-Dienstleister-Seite quartalsweise manuell zu prüfen, falls die Benachrichtigung nicht zuverlässig funktioniert.

TOM-Nachweis einfordern

Als Verantwortlicher bist du verpflichtet, nur Auftragsverarbeiter einzusetzen, die "hinreichende Garantien" dafür bieten, dass die Verarbeitung im Einklang mit der DSGVO erfolgt (Art. 28 Abs. 1 DSGVO). Das bedeutet: Du musst dir die TOMs des Dienstleisters aktiv beschaffen und bewerten.

Zeitpunkt der Prüfung

Die TOM-Prüfung sollte zu drei Zeitpunkten stattfinden:

1. Vor Vertragsschluss: Bevor du einen AVV unterzeichnest, prüfst du die TOMs des Dienstleisters. Nur wenn die Maßnahmen dem Risiko angemessen sind, darfst du ihn als Auftragsverarbeiter einsetzen.
2. Bei Änderungen: Wenn der Dienstleister seine TOMs aktualisiert (z. B. durch Migration in ein neues Rechenzentrum oder Wechsel des Verschlüsselungsverfahrens), prüfst du die neuen TOMs.
3. Regelmäßig: Mindestens einmal jährlich holst du die aktuelle TOM-Dokumentation ein und prüfst, ob sie noch angemessen ist.

Was du einfordern kannst

Je nach Größe und Art des Dienstleisters kannst du unterschiedliche Nachweise einfordern:

• TOM-Dokumentation: Das Minimum. Jeder Auftragsverarbeiter muss in der Lage sein, seine TOMs zu dokumentieren.
• Zertifikate und Testate: ISO 27001, SOC 2, BSI C5 oder vergleichbare Nachweise. Fordere eine Kopie des aktuellen Zertifikats oder Testats an und prüfe den Geltungsbereich.
• Auditberichte: Größere Dienstleister stellen oft zusammenfassende Auditberichte oder Selbstauskünfte zur Verfügung.
• Fragebogen: Du kannst dem Dienstleister einen Datenschutz-Fragebogen zusenden, den er ausfüllt. Das ist besonders bei kleineren Dienstleistern praktikabel, die keine Zertifizierungen vorweisen können.
• Vor-Ort-Audit: Bei hochkritischen Dienstleistern kann ein Vor-Ort-Audit sinnvoll sein. Das Recht dazu sollte im AVV verankert sein.

Nicht jeder Dienstleister wird dir bereitwillig alle Nachweise liefern. Große Cloud-Anbieter wie Microsoft, Google oder AWS stellen standardisierte Compliance-Berichte über ihre Trust Center zur Verfügung, akzeptieren aber in der Regel keine individuellen Fragebögen oder Vor-Ort-Audits. Das ist vertretbar, solange die bereitgestellten Nachweise (Zertifizierungen, SOC-Berichte) aussagekräftig genug sind.

Bei kleineren, individuellen Dienstleistern hast du mehr Verhandlungsmacht. Hier solltest du darauf bestehen, die TOM-Dokumentation einzusehen und bei hochkritischen Verarbeitungen auch ein Audit-Recht im AVV zu vereinbaren.

Regelmäßige Überprüfung etablieren

Ein AVV ist kein "Fire-and-Forget"-Dokument. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen durch den Verantwortlichen zu ermöglichen. Du bist als Verantwortlicher in der Pflicht, diese Überprüfungsmöglichkeiten auch tatsächlich zu nutzen.

Prüfungsrhythmus nach Kritikalität

Nicht jeder Dienstleister muss gleich intensiv geprüft werden. Staffele den Prüfungsaufwand nach der Kritikalitätsstufe:

Hochkritische Dienstleister (sensible Daten, großer Umfang, geschäftskritisch):

• Jährliche vollständige AVV-Prüfung
• Jährliche Einholung und Prüfung der aktuellen TOMs
• Prüfung der Sub-Dienstleister-Liste bei jeder Änderung und mindestens halbjährlich
• Bei Bedarf: Audit oder Fragebogen
• Sofortige Prüfung bei bekannten Sicherheitsvorfällen des Dienstleisters

Mittelkritische Dienstleister (moderate Datenmengen, keine besonderen Kategorien):

• Jährliche AVV-Prüfung auf Aktualität
• Jährliche Prüfung, ob Zertifizierungen noch gültig sind
• Prüfung der Sub-Dienstleister-Liste bei Benachrichtigungen

Niedrigkritische Dienstleister (wenige unkritische Daten):

• Zweijährliche Prüfung auf Vollständigkeit und Aktualität
• Anlassbezogene Prüfung bei Änderungen

Prüfungsergebnisse dokumentieren

Dokumentiere jede Prüfung mit Datum, Prüfungsgegenstand und Ergebnis, am besten in einem dedizierten ISMS-Tool wie ISMS Lite, das den Prüfverlauf revisionssicher speichert. Diese Dokumentation ist Teil deiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Auch ein Ergebnis wie "Prüfung durchgeführt, keine Beanstandungen" ist dokumentationswürdig, denn es belegt, dass du deiner Kontrollpflicht nachkommst.

Wenn du bei der Prüfung Mängel feststellst, dokumentiere diese und setze dem Dienstleister eine Frist zur Behebung. Schwerwiegende Mängel, die ein unzureichendes Schutzniveau belegen, können im Extremfall eine sofortige Kündigung des AVV und die Einstellung der Datenübermittlung erfordern.

Praktische Umsetzung: Ein Dienstleisterverzeichnis aufbauen

Die Verwaltung aller Auftragsverarbeiter, AVVs und Prüfungsergebnisse wird schnell unübersichtlich, wenn du keinen strukturierten Ansatz verfolgst. Ein Dienstleisterverzeichnis schafft Transparenz und hilft dir, den Überblick zu behalten.

Für jeden Dienstleister dokumentierst du folgende Informationen:

Dieses Verzeichnis hängt eng mit deinem Verarbeitungsverzeichnis nach Art. 30 DSGVO zusammen. Die dort genannten Empfänger und Auftragsverarbeiter sollten sich im Dienstleisterverzeichnis wiederfinden. Konsistenz zwischen beiden Dokumenten ist wichtig. In ISMS Lite werden Dienstleisterverzeichnis, AVVs und TOM-Nachweise zentral verknüpft, sodass du Prüffristen automatisch im Blick behältst und bei Änderungen keine Dokumente vergisst.

Sonderthema: AVVs mit großen Cloud-Anbietern

Die Realität bei großen Cloud-Anbietern wie Microsoft, Google, Amazon oder Salesforce sieht anders aus als bei individuellen Dienstleistern. Du bekommst in der Regel einen standardisierten AVV als Teil der Nutzungsbedingungen, den du nicht individuell verhandeln kannst. Die Frage ist: Reicht das aus?

In den meisten Fällen ja, aber du solltest trotzdem prüfen. Die großen Anbieter haben erhebliche Ressourcen in ihre Datenschutz-Compliance investiert und ihre Standard-AVVs decken die Anforderungen des Art. 28 DSGVO in der Regel ab. Achte aber auf folgende Punkte:

• Geltungsbereich: Ist der AVV auf den spezifischen Dienst zugeschnitten, den du nutzt, oder ist er so allgemein, dass unklar bleibt, welche Verarbeitungen genau abgedeckt sind?
• Sub-Dienstleister: Prüfe die (oft lange) Sub-Dienstleister-Liste. Sind darunter Dienstleister in Drittländern ohne Angemessenheitsbeschluss?
• Datenstandort: Wo werden deine Daten gespeichert? Bietet der Anbieter eine Datenresidenz-Option innerhalb der EU an? Gerade bei Compliance-Software wie ISMS-Tools gelten besondere Anforderungen an DSGVO-konformes Hosting.
• Änderungen: Große Anbieter behalten sich oft vor, den AVV einseitig zu ändern. Prüfe, ob du über Änderungen informiert wirst und ob du ein Widerspruchsrecht hast.
• Löschen nach Vertragsende: Wie lange dauert die Löschung nach Kündigung? Manche Anbieter behalten sich eine Übergangsfrist von 90 oder 180 Tagen vor.

Dokumentiere deine Prüfung der Standard-AVVs großer Anbieter sorgfältig. Auch wenn du den Vertrag nicht ändern kannst, musst du nachweisen, dass du ihn geprüft und als angemessen bewertet hast.

Handlungsempfehlungen für den Einstieg

Wenn du deine Auftragsverarbeitung auf solide Beine stellen willst, empfiehlt sich folgendes Vorgehen:

1. Bestandsaufnahme: Erstelle eine Liste aller externen Dienstleister, die personenbezogene Daten in deinem Auftrag verarbeiten. Frage auch die Fachabteilungen, welche Cloud-Dienste und Tools sie nutzen. Shadow IT ist hier ein häufiges Problem.

2. AVV-Prüfung: Prüfe für jeden identifizierten Auftragsverarbeiter, ob ein AVV vorliegt. Wenn nicht, schließe einen ab. Wenn ja, prüfe ihn anhand der Checkliste in diesem Artikel.

3. Kritikalitätsbewertung: Ordne jeden Dienstleister einer Kritikalitätsstufe zu und priorisiere deine weiteren Maßnahmen entsprechend.

4. TOM-Prüfung: Fordere die TOM-Dokumentation der hochkritischen Dienstleister an und prüfe sie inhaltlich.

5. Dienstleisterverzeichnis: Baue ein strukturiertes Verzeichnis auf und plane die regelmäßigen Prüfungstermine ein.

6. Prozess etablieren: Definiere einen Prozess für die Einbindung neuer Dienstleister: Vor der Beauftragung werden Kritikalität bewertet, TOMs geprüft und ein AVV abgeschlossen. Kein neuer Dienst ohne vorherige Datenschutz-Prüfung.

Weiterführende Artikel

• Verarbeitungsverzeichnis (VVA) nach Art. 30 DSGVO erstellen
• Technische und organisatorische Maßnahmen (TOMs) dokumentieren
• Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel
• IT-Asset-Management für das ISMS: Inventar, Kritikalität und Klassifizierung
• DSGVO-Datenpanne melden: Wann, wie und an wen

Die Verwaltung der Auftragsverarbeitung ist ein laufender Prozess, kein einmaliges Projekt. Aber mit einem sauberen Dienstleisterverzeichnis, klaren Prüfungsrhythmen und einem definierten Onboarding-Prozess für neue Dienstleister lässt sich der Aufwand beherrschbar halten. Und im Ernstfall, ob Aufsichtsbehörde, Datenpanne oder Kundenaudit, bist du in der Lage, schnell und fundiert zu antworten.