Viele Unternehmen schließen einen Vertrag zur Auftragsverarbeitung (AVV) ab, legen ihn ab – und haken das Thema innerlich ab. Doch genau hier liegt das Risiko: Mit der Unterschrift beginnen die eigentlichen Pflichten erst. Wer diese im Alltag nicht aktiv umsetzt, riskiert nicht nur organisatorische Probleme, sondern auch empfindliche Bußgelder.
Dieser Beitrag zeigt, worauf es in der Praxis wirklich ankommt – klar, verständlich und direkt umsetzbar.
AVV ist kein Formaldokument, sondern gelebte Praxis
Ein Vertrag zur Auftragsverarbeitung nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO) regelt die Zusammenarbeit zwischen Verantwortlichem (z. B. Ihr Kunde) und Auftragsverarbeiter (z. B. Ihr Unternehmen als Dienstleister).
Wichtig dabei: Der AVV ist kein reines Dokument für die Ablage. Er definiert konkrete operative Pflichten, die in den täglichen Abläufen verankert sein müssen.
In der Praxis scheitert es häufig nicht am Wissen, sondern an fehlenden Prozessen.
Vier typische Stolperfallen im Arbeitsalltag
Unterauftragsverarbeiter korrekt einbinden
Setzen Sie eigene Dienstleister ein (z. B. Hosting-Anbieter oder externe IT-Dienstleister), müssen diese dem Auftraggeber gemeldet werden.
Je nach Vertrag kann dafür eine aktive Zustimmung erforderlich sein oder ein sogenanntes Opt-out-Verfahren gelten. Dabei wird der Auftraggeber informiert und kann widersprechen. Unterschiedliche Fristen und Regelungen in verschiedenen AVVs machen diesen Prozess schnell unübersichtlich.
Ohne klare Struktur wird das zur Fehlerquelle.
Betroffenenanfragen richtig weiterleiten
Erhalten Sie als Auftragsverarbeiter eine Anfrage von betroffenen Personen (z. B. Auskunft über gespeicherte Daten), dürfen Sie diese in der Regel nicht selbst beantworten.
Stattdessen müssen Sie die Anfrage unverzüglich an den Verantwortlichen weiterleiten. Dieser ist rechtlich für die Beantwortung zuständig.
Fehlt ein definierter Prozess, werden Fristen schnell versäumt – mit entsprechenden Konsequenzen.
Datenpannen sofort melden
Kommt es zu einer Datenschutzverletzung (z. B. Datenverlust oder unbefugter Zugriff), gilt eine klare Regel:
Als Auftragsverarbeiter müssen Sie den Vorfall unverzüglich an den Verantwortlichen melden.
Die Entscheidung, ob eine Meldung an die Aufsichtsbehörde erfolgt, liegt ausschließlich beim Verantwortlichen – nicht bei Ihnen.
Zeitverzug oder Unsicherheit in der internen Kommunikation sind hier besonders kritisch.
Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)
In bestimmten Fällen müssen Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dabei wird bewertet, welche Risiken eine Datenverarbeitung für betroffene Personen mit sich bringt.
Als Auftragsverarbeiter sind Sie verpflichtet, Ihren Auftraggeber dabei zu unterstützen – etwa durch technische Informationen oder Risikoeinschätzungen.
Unternehmen, die ihre Systeme und Prozesse gut dokumentiert haben, können hier deutlich effizienter reagieren.
Die oft unterschätzte Doppelrolle
Viele Unternehmen nehmen gleichzeitig zwei Rollen ein:
- Auftragsverarbeiter für ihre Kunden
- Verantwortlicher gegenüber ihren eigenen Dienstleistern
Das bedeutet: Sie müssen AVV-Pflichten in beide Richtungen erfüllen, koordinieren und dokumentieren.
Ohne klare Struktur entsteht schnell ein organisatorisches Durcheinander – insbesondere bei mehreren Dienstleistern und Kunden.
Fazit: AVV-Compliance ist Prozessarbeit
Ein AVV ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Unternehmen, die klare Abläufe definieren und Verantwortlichkeiten festlegen, sind nicht nur rechtlich auf der sicheren Seite – sie arbeiten auch effizienter und professioneller.
Unsere Top 5
- Prüfen Sie Ihre AVVs regelmäßig auf Aktualität und konkrete Pflichten
- Etablieren Sie einen klaren Prozess für den Einsatz von Unterauftragsverarbeitern
- Schulen Sie Mitarbeitende im Umgang mit Betroffenenanfragen
- Definieren Sie feste Abläufe und Zuständigkeiten für Datenpannen
- Führen Sie eine strukturierte Übersicht Ihrer AVV-Rollen (Verantwortlicher vs. Auftragsverarbeiter)