Auftragsverarbeitungsverträge (AVV) unter der DSGVO
Alles, was SaaS-Teams über DSGVO-Auftragsverarbeitungsverträge wissen müssen. Behandelt Artikel-28-Anforderungen, Pflichtklauseln, Anbietermanagement, Unterauftragsverarbeiter und häufige Warnsignale.
GRCTrail Team
Jedes Mal, wenn Ihr SaaS-Unternehmen personenbezogene Daten mit einem Drittanbieterdienst teilt — Ihrem Cloud-Hosting-Anbieter, Ihrer E-Mail-Plattform, Ihrem Analysetool, Ihrem CRM — verlangt die DSGVO einen Auftragsverarbeitungsvertrag zwischen Ihnen und diesem Anbieter. Kein AVV, keine Rechtsgrundlage für die Datenübermittlung. So einfach ist das.
Artikel 28 der DSGVO legt die Regeln fest. Wenn ein Verantwortlicher (die Organisation, die entscheidet, warum und wie Daten verarbeitet werden) einen Auftragsverarbeiter (die Organisation, die Daten im Auftrag des Verantwortlichen verarbeitet) beauftragt, muss die Beziehung durch einen Vertrag geregelt werden, der bestimmte Pflichtbestimmungen enthält.
Für SaaS-Unternehmen wirkt dies in beide Richtungen. Sie sind mit ziemlicher Sicherheit ein Verantwortlicher, der Auftragsverarbeiter beauftragt — jeder Anbieter in Ihrem Tech-Stack, der personenbezogene Daten berührt, braucht einen AVV. Und wenn Ihre Kunden ihre Daten Ihrer Plattform anvertrauen, sind Sie auch ein Auftragsverarbeiter, was bedeutet, dass Ihre Kunden einen AVV von Ihnen benötigen.
Dieser Leitfaden behandelt beide Seiten: worauf Sie in den AVVs achten sollten, die Sie mit Anbietern abschließen, und was Sie in den AVV aufnehmen sollten, den Sie Ihren Kunden anbieten.
Was ist ein AVV?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der regelt, wie personenbezogene Daten verarbeitet werden. Es ist keine eigenständige Datenschutzrichtlinie oder ein vages Datenschutz-Addendum — es ist ein spezifischer Vertrag, der von Artikel 28(3) der DSGVO verlangt wird.
Der AVV muss:
- Schriftlich vorliegen (einschließlich elektronischer Form)
- Für den Auftragsverarbeiter bindend sein
- Den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung festlegen
- Die Arten personenbezogener Daten und Kategorien betroffener Personen definieren
- Die Pflichten und Rechte des Verantwortlichen festlegen
Betrachten Sie den AVV als Betriebsanleitung für eine Datenverarbeitungsbeziehung. Er sagt dem Auftragsverarbeiter genau, was er mit den Daten tun kann und was nicht, und er gibt dem Verantwortlichen die Sicherheit und Kontrolle, die die DSGVO verlangt.
Was muss ein AVV enthalten?
Artikel 28(3) legt acht Pflichten fest, die der AVV dem Auftragsverarbeiter auferlegen muss. Hier ist, was jede einzelne in der Praxis bedeutet:
1. Verarbeitung nur auf dokumentierte Weisung
Artikel 28(3)(a)
Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Dies verhindert, dass Auftragsverarbeiter Ihre Daten für eigene Zwecke verwenden — KI-Modelle trainieren, aggregierte Analyseprodukte erstellen oder Werbung schalten.
In der Praxis: Der AVV sollte genau festlegen, was der Auftragsverarbeiter mit den Daten tun darf. „Kundendaten speichern und verarbeiten, um den vertraglich vereinbarten Dienst zu erbringen” ist eine angemessene Weisung. Wenn der Auftragsverarbeiter Daten für Produktverbesserung oder Benchmarking verwenden möchte, sollte das eine separate, ausdrückliche Genehmigung erfordern.
2. Vertraulichkeitsverpflichtungen
Artikel 28(3)(b)
Jede Person, die zur Verarbeitung der Daten berechtigt ist (Mitarbeiter des Auftragsverarbeiters, Auftragnehmer), muss Vertraulichkeitsverpflichtungen unterliegen, entweder vertraglich oder durch gesetzliche Verpflichtung.
In der Praxis: Der AVV sollte verlangen, dass der Auftragsverarbeiter sicherstellt, dass alle Mitarbeiter mit Zugang zu personenbezogenen Daten Vertraulichkeitsvereinbarungen unterzeichnet haben und eine angemessene Datenschutzschulung erhalten haben.
3. Sicherheitsmaßnahmen
Artikel 28(3)(c)
Der Auftragsverarbeiter muss angemessene technische und organisatorische Sicherheitsmaßnahmen gemäß Artikel 32 implementieren.
In der Praxis: Der AVV sollte auf spezifische Sicherheitsstandards oder Zertifizierungen verweisen (SOC 2, ISO 27001) oder konkrete Maßnahmen auflisten: Verschlüsselung im Ruhezustand und bei der Übertragung, Zugriffskontrollen, regelmäßige Sicherheitstests, Incident-Response-Verfahren. Vage Formulierungen wie „angemessene Sicherheit” ohne Spezifika sind ein Warnsignal.
4. Anforderungen an Unterauftragsverarbeiter
Artikel 28(3)(d)
Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen. Der AVV kann entweder vorsehen:
- Spezifische Genehmigung: Der Verantwortliche genehmigt jeden Unterauftragsverarbeiter einzeln
- Allgemeine Genehmigung: Der Verantwortliche genehmigt vorab die Nutzung von Unterauftragsverarbeitern, aber der Auftragsverarbeiter muss den Verantwortlichen über alle Änderungen informieren und ihm die Möglichkeit zum Widerspruch geben
In der Praxis: Die meisten großen SaaS-Anbieter verwenden eine allgemeine Genehmigung mit einer veröffentlichten Unterauftragsverarbeiterliste und einem Benachrichtigungsmechanismus für Änderungen. Sie sollten eine Vorabbenachrichtigung (typischerweise 30 Tage) über jeden neuen Unterauftragsverarbeiter erhalten, mit dem Recht zum Widerspruch. Wenn der Anbieter einen Unterauftragsverarbeiter hinzufügt, mit dem Sie nicht einverstanden sind, und Ihren Widerspruch nicht berücksichtigt, sollten Sie das Recht zur Kündigung haben.
5. Unterstützung bei Betroffenenrechten
Artikel 28(3)(e)
Der Auftragsverarbeiter muss den Verantwortlichen bei der Beantwortung von Betroffenenanfragen unterstützen — Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung und Widerspruch.
In der Praxis: Der AVV sollte festlegen, wie der Auftragsverarbeiter Ihnen bei der Erfüllung von Auskunftsersuchen und anderen Rechte-Anfragen hilft. Dies umfasst die Bereitstellung von Datenexporten, die Ermöglichung der Datenlöschung und die Beantwortung von Anfragen innerhalb angemessener Fristen.
6. Unterstützung bei Sicherheits- und Meldepflichten
Artikel 28(3)(f)
Der Auftragsverarbeiter muss den Verantwortlichen bei den Sicherheitspflichten gemäß den Artikeln 32–36 unterstützen, einschließlich Meldung von Datenpannen, DSFAs und Vorabkonsultation mit Aufsichtsbehörden.
In der Praxis: Der AVV sollte vom Auftragsverarbeiter verlangen, Sie über jede Verletzung des Schutzes personenbezogener Daten unverzüglich zu benachrichtigen (und idealerweise innerhalb eines bestimmten Zeitrahmens — 24 oder 48 Stunden sind üblich). Dies gibt Ihnen Zeit, die Situation zu bewerten und Ihrer eigenen 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde nachzukommen.
7. Datenlöschung oder -rückgabe
Artikel 28(3)(g)
Am Ende der Verarbeitungsbeziehung muss der Auftragsverarbeiter entweder alle personenbezogenen Daten löschen oder zurückgeben und alle vorhandenen Kopien löschen, es sei denn, EU- oder nationales Recht verlangt die weitere Speicherung.
In der Praxis: Der AVV sollte den Löschzeitraum festlegen (z. B. innerhalb von 30 Tagen nach Vertragsbeendigung), den Datenexport/-rückgabe vor der Löschung vorsehen und bestätigen, dass die Löschung sich auf alle Backups und Kopien erstreckt.
8. Audits und Inspektionen
Artikel 28(3)(h)
Der Auftragsverarbeiter muss dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Compliance erforderlich sind, und Audits und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer ermöglichen.
In der Praxis: Das bedeutet nicht, dass Sie jeden Anbieter physisch auditieren müssen. Viele Auftragsverarbeiter erfüllen dies durch Prüfberichte Dritter (SOC 2 Type II, ISO 27001-Zertifikate), ergänzende Fragebögen und das Recht, bei Bedarf zusätzliche Audits anzufordern. Der AVV sollte den Auditmechanismus festlegen.
AVVs für SaaS-Unternehmen: Beide Seiten
Als Verantwortlicher: AVVs mit Ihren Anbietern
Die meisten SaaS-Unternehmen haben Dutzende von Anbietern, die personenbezogene Daten verarbeiten. Gängige Kategorien:
Infrastruktur: AWS, Google Cloud, Azure, Cloudflare, Vercel
- Diese Anbieter bieten typischerweise umfassende AVVs als Teil ihrer Servicevereinbarungen an. Prüfen Sie sie — klicken Sie nicht einfach auf „Akzeptieren”.
Kommunikation & Marketing: Mailchimp, Customer.io, Sendgrid, HubSpot, Intercom
- Marketing-Plattformen verarbeiten oft erhebliche Mengen personenbezogener Daten. Achten Sie auf deren Datennutzungsrichtlinien und Unterauftragsverarbeiterlisten.
Analysen: Amplitude, Mixpanel, Google Analytics, Hotjar
- Analyseanbieter können in einem Graubereich zwischen Auftragsverarbeiter und eigenständigem Verantwortlichen operieren. Klären Sie deren Rolle im AVV.
Zahlungen: Stripe, Braintree, Adyen
- Zahlungsdienstleister handeln oft als eigenständige Verantwortliche für bestimmte Verarbeitungstätigkeiten (Betrugsprävention, Einhaltung von Finanzvorschriften). Verstehen Sie, welche Daten sie kontrollieren und welche sie verarbeiten.
Support: Zendesk, Freshdesk, Intercom
- Support-Plattformen speichern reichhaltige personenbezogene Daten, einschließlich unstrukturiertem Text in Ticket-Konversationen. Stellen Sie sicher, dass der AVV alle Datentypen abdeckt.
HR & Intern: BambooHR, Gusto, Slack, Google Workspace
- Mitarbeiterdaten sind ebenfalls personenbezogene Daten. AVVs mit HR-Plattformen sind genauso wichtig wie kundenorientierte.
Als Auftragsverarbeiter: Ihr kundenorientierter AVV
Wenn Ihr SaaS-Produkt Daten im Auftrag Ihrer Kunden verarbeitet, müssen Sie einen AVV anbieten. Dieser ist typischerweise:
- Ein eigenständiges Dokument, das von Ihrer Website verlinkt ist
- Ein Anhang zu Ihren Allgemeinen Geschäftsbedingungen
- Teil Ihres Enterprise-Vertragspaketes
Ihr kundenorientierter AVV sollte alle acht Anforderungen des Artikels 28(3) aus der Perspektive des Auftragsverarbeiters adressieren. Er sollte klar sein hinsichtlich Ihrer Unterauftragsverarbeiter, Ihrer Sicherheitsmaßnahmen, Ihrer Verpflichtungen zur Meldung von Datenpannen und Ihrer Datenlöschungsverfahren.
Die Veröffentlichung Ihres AVV (wie es Unternehmen wie Notion, Linear und Vercel tun) signalisiert Reife und beschleunigt Enterprise-Verkaufszyklen. Interessenten können ihn prüfen, bevor sie den Beschaffungsprozess einleiten.
AVVs im großen Maßstab verwalten
In einem SaaS-Unternehmen mit 50 Mitarbeitern haben Sie möglicherweise 30–50 Anbieter, die personenbezogene Daten verarbeiten. Die manuelle Verwaltung ihrer AVVs schafft vorhersehbare Probleme:
Status-Tracking. Welche Anbieter haben AVVs unterzeichnet? Welche verwenden veraltete Versionen? Welche neuen Anbieter wurden ohne AVV eingebunden?
Überwachung von Unterauftragsverarbeiter-Änderungen. Anbieter aktualisieren ihre Unterauftragsverarbeiterlisten regelmäßig. Prüfen Sie diese Benachrichtigungen? Haben Sie einen Prozess für Widerspruch, wenn ein neuer Unterauftragsverarbeiter problematisch ist?
Verlängerungs- und Überprüfungszyklen. AVVs sollten regelmäßig überprüft werden, insbesondere wenn Anbieter ihre Bedingungen aktualisieren, wenn Sie die Nutzung eines Anbieters ändern oder wenn sich regulatorische Anforderungen weiterentwickeln.
Verknüpfung mit Ihrem VVT. Jeder AVV sollte den Einträgen in Ihrem Verzeichnis der Verarbeitungstätigkeiten entsprechen. Wenn sich eine Anbieterbeziehung ändert, müssen beide Dokumente aktualisiert werden.
AVV-Warnsignale, auf die Sie achten sollten
Bei der Prüfung des AVV eines Anbieters achten Sie auf diese Warnsignale:
Unbegrenzte Unterauftragsverarbeitung ohne aussagekräftige Benachrichtigung. Wenn ein Anbieter Unterauftragsverarbeiter hinzufügen kann, ohne Sie zu benachrichtigen, oder mit Benachrichtigung, aber ohne Widerspruchsrecht, haben Sie einen wichtigen Kontrollmechanismus verloren. Sie sollten wissen, wer Ihre Daten verarbeitet.
Haftungsbegrenzungen, die das gesamte Risiko auf Sie verlagern. Einige AVVs begrenzen die Haftung des Auftragsverarbeiters für Datenpannen auf einen Nominalbetrag, während der Verantwortliche die gesamte regulatorische und zivilrechtliche Haftung trägt. Der AVV sollte eine angemessene Risikoverteilung widerspiegeln.
Kein spezifischer Löschzeitraum. „Wir werden Daten innerhalb eines angemessenen Zeitraums nach Beendigung löschen” ist zu vage. Bestehen Sie auf einem definierten Zeitrahmen — 30 Tage sind Standard.
Vage Sicherheitsverpflichtungen. Wenn der Sicherheitsabschnitt nichts weiter sagt als „wir implementieren angemessene technische und organisatorische Maßnahmen”, gibt es keine durchsetzbare Substanz. Suchen Sie nach spezifischen Maßnahmen, Zertifizierungen oder Standards.
Fehlende Schutzmaßnahmen für internationale Übermittlungen. Wenn der Auftragsverarbeiter Daten außerhalb des EWR übermittelt, muss der AVV den rechtlichen Mechanismus angeben. Wenn er zu internationalen Übermittlungen schweigt, finden entweder keine Übermittlungen statt (überprüfen Sie das) oder der AVV ist unvollständig. Siehe unseren Leitfaden zu internationalen Datenübermittlungen für die Anforderungen.
Datennutzung für eigene Zwecke des Auftragsverarbeiters. Achten Sie auf Formulierungen, die dem Auftragsverarbeiter erlauben, Ihre Daten für „Serviceverbesserung”, „Analysen” oder „maschinelles Lernen” zu verwenden. Dies ist der Auftragsverarbeiter, der als eigenständiger Verantwortlicher handelt — und das ändert die rechtliche Situation erheblich.
Wie GRCTrail Ihre AVVs verwaltet
GRCTrail bietet ein zentralisiertes Anbieter- und AVV-Managementsystem:
Anbieterverzeichnis mit AVV-Status-Tracking. Jeder Drittanbieter-Auftragsverarbeiter wird mit seinem AVV-Status, seiner Version, dem Unterzeichnungsdatum und dem nächsten Überprüfungsdatum katalogisiert. Sehen Sie auf einen Blick, welche Anbieter Aufmerksamkeit benötigen.
Unterauftragsverarbeiter-Änderungswarnungen. Wenn Anbieter ihre Unterauftragsverarbeiterlisten aktualisieren, kennzeichnet GRCTrail die Änderungen zur Überprüfung. Keine verpassten Benachrichtigungs-E-Mails mehr, die in einem gemeinsamen Postfach vergraben sind.
Automatische Überprüfungserinnerungen. Legen Sie Überprüfungsrhythmen für jeden AVV fest und erhalten Sie Benachrichtigungen, wenn Überprüfungen fällig sind. Lassen Sie nie einen AVV veralten, weil niemand daran gedacht hat, ihn zu prüfen.
Verknüpft mit Ihrem VVT. Der AVV jedes Anbieters ist direkt mit den relevanten Verarbeitungstätigkeiten in Ihrem Verzeichnis der Verarbeitungstätigkeiten verknüpft. Ändern Sie eines, und Sie sehen, wo das andere aktualisiert werden muss.
Verfolgen Sie jeden Anbieter-AVV an einem Ort →
Verwandte Leitfäden
- Verzeichnis der Verarbeitungstätigkeiten (VVT) — Dokumentieren Sie Ihre Verarbeitungstätigkeiten
- Internationale Datenübermittlungen — Übermittlungsmechanismen für grenzüberschreitende Datenflüsse
- DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
- Anforderungen an Datenschutzhinweise — Was Sie betroffenen Personen mitteilen müssen
Verwandte Artikel
DSGVO-Compliance-Checkliste für SaaS-Unternehmen
Eine schrittweise DSGVO-Compliance-Checkliste für SaaS-Teams. Umfasst Dokumentation, Betroffenenrechte, Auftragnehmer-Management und laufende Überwachung, damit nichts übersehen wird.
DSGVO-Einwilligungsmanagement: Anforderungen und Best Practices
Verstehen Sie, wann eine DSGVO-Einwilligung erforderlich ist, was eine gültige Einwilligung ausmacht, wie Sie Einwilligungsmechanismen implementieren und den Unterschied zwischen Einwilligung und anderen Rechtsgrundlagen. Praktischer Leitfaden für SaaS-Teams.
DSGVO-Meldung von Datenpannen: Zeitplan und Schritte
Wie Sie DSGVO-Meldungen von Datenpannen handhaben. Behandelt die 72-Stunden-Frist, wann die Aufsichtsbehörde vs. betroffene Personen benachrichtigt werden müssen, Planung der Reaktion auf Datenpannen und Dokumentationsanforderungen.