Rolle klären
Liegt wirklich Auftragsverarbeitung vor oder ist der Dienstleister selbst verantwortlich oder gemeinsam verantwortlich?
AVV und Auftragsverarbeitung
Viele Datenschutzrisiken entstehen nicht im eigenen Haus, sondern bei Dienstleistern. Ich prüfe AVV, AV-Verträge, technische Unterlagen und Dienstleisterangaben und ordne ein, ob die Auftragsverarbeitung nach Art. 28 DSGVO tragfähig ist.
Worum es geht
Viele Unternehmen erhalten vom Dienstleister einen Standardvertrag zur Auftragsverarbeitung. Der wird schnell unterschrieben, weil das Projekt starten soll. Genau dort entstehen später Probleme: unklare Unterauftragnehmer, schwache TOM, Drittlandbezug, fehlende Löschregeln oder ein Vertrag, der nicht zur Leistung passt.
Eine Prüfung muss nicht kompliziert sein. Eine gute AVV Checkliste hilft dabei, die kritischen Punkte vor Vertragsstart zu klären. Das spart später viel Aufwand.
Prüfpunkte
Liegt wirklich Auftragsverarbeitung vor oder ist der Dienstleister selbst verantwortlich oder gemeinsam verantwortlich?
Gegenstand, Dauer, Zweck, Datenarten und betroffene Personen müssen zur tatsächlichen Leistung passen.
Technische und organisatorische Maßnahmen müssen verständlich, passend und ausreichend konkret beschrieben sein.
Subdienstleister, Änderungen und Widerspruchsmöglichkeiten müssen klar geregelt sein.
AVV Checkliste
Eine AVV sollte nicht nur vorhanden sein. Sie muss zur Leistung, zu den Daten und zur tatsächlichen Nutzung passen. Diese Checkliste zeigt die wichtigsten Punkte für eine erste Prüfung.
Ist der Dienstleister wirklich Auftragsverarbeiter? Sind Zweck, Dauer, Datenarten und betroffene Personen passend beschrieben?
Sind die TOM konkret genug? Passen Zugriffsschutz, Verschlüsselung, Backup, Rechtekonzept und Löschung zum Risiko?
Welche Subdienstleister werden eingesetzt? Gibt es klare Regeln für Änderungen, Information und Widerspruch?
Findet eine Verarbeitung außerhalb der EU oder des EWR statt? Gibt es passende Unterlagen, Verträge und Sicherheitsnachweise?
Unterstützt der Dienstleister bei Auskunft, Löschung, Sicherheitsvorfällen und Datenpannen schnell genug?
Ist geregelt, wann Daten zurückgegeben, gelöscht und Löschungen bestätigt werden?
Typische Fälle
Nicht jeder Dienstleister braucht eine AVV. Aber bei vielen digitalen Leistungen verarbeitet der Anbieter personenbezogene Daten für das Unternehmen. Dann sollte die Rolle sauber geprüft werden.
Webhosting, Cloudspeicher, Server, Backup, Kollaborationstools, KI-Anbieter und Plattformdienste. Bei KI-Tools ist zusätzlich KI und Datenschutz zu prüfen.
Lohnabrechnung, Bewerbermanagement, Zeiterfassung, HR-Software und externe Personaldienstleistungen. Bei diesen Tools ist oft auch der Beschäftigtendatenschutz wichtig.
Newsletter, CRM, Kampagnentools, Kundensupport, Analyse und Terminbuchung.
Fernwartung, IT-Support, Managed Services, Sicherheitsdienstleister und Softwarepflege.
Vertrag plus Realität
Eine AVV kann formal gut aussehen und trotzdem nicht reichen. Entscheidend ist, was der Dienstleister wirklich macht: Welche Daten werden verarbeitet? Wo liegen die Daten? Wer hat Zugriff? Welche Unterauftragnehmer sind beteiligt? Wie werden Daten gelöscht?
Es macht einen Unterschied, ob nur Kontaktdaten oder sensible Beschäftigten- oder Gesundheitsdaten verarbeitet werden.
Wenn Daten außerhalb der EU/des EWR verarbeitet werden, braucht es zusätzliche Prüfung.
Zertifikate, Sicherheitskonzepte und TOM sollten nicht nur angehängt, sondern kurz eingeordnet werden.
Die Prüfung sollte möglichst vor Nutzung des Tools erfolgen, nicht erst wenn ein Kunde nachfragt.
Ergebnis
Nach der Prüfung sollte klar sein, ob die AVV grundsätzlich passt, welche Punkte nachverhandelt werden sollten und ob zusätzliche Unterlagen oder Informationen vom Dienstleister nötig sind.
Wenn die Prüfung Teil eines größeren Datenschutz-Checks ist, lassen sich AVV und Dienstleisterunterlagen auch gesammelt betrachten. Das ist oft sinnvoll, wenn viele Dienstleister im Einsatz sind und niemand mehr genau weiß, welche Verträge aktuell sind. Bei Sicherheitsvorfällen beim Dienstleister kann außerdem eine Prüfung als Datenpanne nach DSGVO nötig werden.
Angebot
nach Aufwand
Für Unternehmen, die eine konkrete AVV vor Start oder Verlängerung eines Dienstleisters prüfen möchten.
nach Umfang
Für Unternehmen mit mehreren Tools, Cloud-Diensten oder Dienstleistern.
Retainer
Für Unternehmen, die regelmäßig neue Dienstleister und Tools prüfen müssen.
FAQ
Regelmäßig dann, wenn ein Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Typische Beispiele sind Hosting, Cloud-Dienste, Lohnabrechnung, IT-Support, Newsletter-Tools oder SaaS-Lösungen.
Unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenarten, Betroffenengruppen, TOM, Unterauftragnehmer, Unterstützungspflichten, Löschung und Kontrollrechte.
Eine AVV Checkliste sollte vor allem Rolle, Zweck, Dauer, Datenarten, betroffene Personen, TOM, Unterauftragnehmer, Löschung, Unterstützungspflichten und Drittlandbezüge erfassen.
Manchmal ja, manchmal nicht. Der Vertrag muss zur konkreten Leistung, zu den Daten, zu den Unterauftragnehmern und zu den Schutzmaßnahmen passen.
Nein. Manche Dienstleister sind eigene Verantwortliche oder es liegt eine gemeinsame Verantwortlichkeit vor. Deshalb sollte die Rolle zuerst geklärt werden.
Ja. Gerade bei mehreren Dienstleistern ist es sinnvoll, AVV im Rahmen eines Datenschutz-Checks gesammelt zu prüfen und zu priorisieren.
Nächster Schritt
Schicken Sie eine kurze Nachricht mit dem Dienstleister, der geplanten Nutzung und den vorhandenen Unterlagen. Dann lässt sich klären, ob eine schnelle Einzelprüfung reicht oder ein breiterer Dienstleister-Check sinnvoll ist.