Was ist ein Auftragsverarbeitungsvertrag? Und musst du welche abschließen?

Aktualisiert am 31. Januar 2023 | by Nicole Werner  | Datenschutz

Wir alle verarbeiten personenbezogene Daten. In irgendeiner Art und Weise, ob mit einem Dienstleister oder einem Tool.

Ab wann wir von einer Auftragsverarbeitung sprechen und einen Auftragsverarbeitungsvertrag benötigen, erfährst du in diesem Artikel. Außerdem habe ich dir eine Liste mit 47 Auftragsverarbeitern und den dazugehörigen Auftragsverarbeitungsverträgen zusammengestellt.


Inhaltsverzeichnis
No headings found

Dieser Artikel ist Teil der Reihe: Datenschutz ohne Rechtsblabla. Er ist bewusst in einfacher Sprache gehalten, kann aber dadurch auch nicht alles berücksichtigen. Wenn du selbstständig bist, oder ein kleines Unternehmen führst und mit Datenschutz erst ganz am Anfang stehst, ist das für dich möglicherweise ein passender Einstiegsartikel.

Was ist eine Auftragsverarbeitung?

Im Datenschutz geht es immer um den Schutz der personenbezogenen Daten. Du selbst, als Selbstständiger oder wenn du ein Unternehmen hast, bist du der Verantwortliche über die Verarbeitung und der Nutzung dieser personenbezogenen Daten deiner Kunden, Patienten, Mandanten usw.

Wenn du nun einen Teil der Verarbeitung dieser personenbezogenen Daten weitergibst, an einen deiner Dienstleister (z.B. Virtuelle Assistenz) oder du diese Daten durch ein Tool (z.B. ein E-Mail-Marketing-Anbieter, wie Sendinblue) verarbeiten lässt, sind diese Dienstleister oder das Tool deine verlängerte Werkbank. Sie unterstützen dich bei der Verarbeitung dieser Daten. Sie verarbeiten diese Daten in deinem Auftrag.

Jedoch gibt es Dienstleistungen, die im Datenschutz als Auftragsverarbeitung angesehen werden und es gibt welche, die nicht in diese Kategorie fallen. Scheint kniffelig. Folgende Beispiele sollen dir aber helfen, Licht ins Dunkle zu bringen.

Beispiele für Auftragsverarbeitungen

  • Webhoster (z.B. ALL-INKL, Strato)
  • Webanalyse (z.B. Matomo, Google Analytics)
  • Cloud-Speicher (z.B. Dropbox, Google Drive)
  • E-Mail-Marketing (z.B. Sendinblue, ActiveCampaign)
  • Officemanagement (z.B. Microsoft 365, Trello, Asana)
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
  • Datenträgerentsorgung durch Dienstleister

Beispiele für keine Auftragsverarbeitungen

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Bankinstitute für den Geldtransfer
  • Zahlungsdienstleister für elektronische Zahlungen
  • Postdienste für den Brief- oder Pakettransport
  • Übersetzungen von Texten in / aus Fremdsprachen

Mehr Beispiele gibt es im Kurzpapier Nr. 13 (PDF) der DSK (Datenschutzkonferenz).

Jetzt ist ein guter Zeitpunkt dir eine Liste mit deinen Dienstleistern und Tools zu erstellen

Auftragsverarbeiter
Schließe mit deinen Auftragsverarbeitern Verträge ab!

Du brauchst mit denjenigen, die eine Auftragsverarbeitung für dich übernehmen, einen Auftragsverarbeitungsvertrag.

Die Auftragsverarbeitungsverträge solltest du zentral abspeichern, dass du sie im Fall der Fälle, falls mal die Aufsichtsbehörde nachfragt, griffbereit hast.

Es hilft dir eine Liste deiner Dienstleister und Tools zu erstellen, in der ersichtlich wird:

  • Wie heißt der Dienstleister?
  • Werden personenbezogene Daten übermittelt? Oder hat der Dienstleister Zugriff auf diese Daten?
  • Was ist der Zweck der Verarbeitung?
  • Ist ein Auftragsverarbeitungsvertrag notwendig?
  • Eine mögliche Bemerkung von dir.
  • Ein letztes Feld mit Info, ob und wann du einen Auftragsverarbeitungsvertrag mit dem Auftragsverarbeiter abgeschlossen hast.

Und wie sieht das mit den Auftragsverarbeitungsverträgen aus?

Auftragsverarbeitungsverträge werden zwischen dem Verantwortlichen (dir!) und dem Auftragsverarbeiter benötigt, um die Auftragsverarbeitung vertraglich zu fixieren. Ziel des Auftragsverarbeitungsvertrags ist es, sicherzustellen, dass der Auftragsverarbeiter datenschutzkonform arbeitet.

Sei dir dennoch bewusst, auch wenn du einen Auftragsverarbeitungsvertrag abschließt, du der Verantwortliche bleibst. Du haftest auch für das Fehlverhalten deines Auftragsverarbeiters.

Muster für Auftragsverarbeitungsverträge

Es gibt einige Muster für Auftragsverarbeitungsverträge. Allen voran möchte ich an dieser Stelle das Auftragsverarbeitungsvertragsmuster und die Praxishilfe der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) erwähnen.

Auch die Aufsichtsbehörden haben entsprechende Auftragsverarbeitungsvertragsmuster, bereitgestellt: Aufsichtsbehörde für Datenschutz Baden-Württemberg und das Bayrisches Landesamt für Datenschutzaufsicht.

Speziell im Online-Business Bereich haben viele Dienstleister, allen voran Virtuelle Assistenten, Webdesigner (mit Support & Wartung der Website), Social Media Manager, Ads Manager bereits Auftragsverarbeitungsverträge im eigenen Werkzeugkoffer. Bringen ihn sozusagen zu dir mit. Rechtsanwältin Sabrina Keese-Haufs hat einige Muster und Vorlagen für diese Zielgruppe vorbereitet, die du online erwerben kannst.

Checkliste für Auftragsverarbeitungsverträge der Aufsichtsbehörden

Eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen inkl. der Hinweise zur Nutzung der Checkliste findest du bei der Berliner Datenschutzaufsicht.

47+ Links zu Auftragsverarbeitungsverträgen

Bitte beachte, dies ist eine wachsende Liste von gängigen Tools, die du vielleicht in deiner Selbstständigkeit oder deinem Unternehmen einsetzt. Viele der Tools sind nicht datenschutzfreundlich. Die angegebenen Links sollen es dir erleichtern, deinen Auftragsverarbeitungsvertrag zu finden.

Es gibt unterschiedliche Arten, wie ein Auftragsverarbeiter dir einen Auftragsverarbeitungsvertrag anbietet. Die gängigsten sind:

  • Beim Abschluss einer Bestellung ist der Auftragsverarbeitungsvertrag eine Ergänzung der AGB.
  • Du kannst nachträglich im Kundenbereich ein Button drücken und der Auftragsverarbeitungsvertrag wird automatisch erstellt.
  • Du wirst zu einem dritten Dienstleister weitergeleitet, um den Auftragsverarbeitungsvertrag mit deiner elektronischen Signatur gegenzuzeichnen.
  • Du wirst auf eine Website weitergeleitet, auf der du deine Daten eingeben und dann das Formular absenden kannst. Der Auftragsverarbeitungsvertrag wird dir daraufhin zugesendet.
  • Du druckst den Auftragsverarbeitungsvertrag aus, unterschreibst und sendest ihn dem Auftragsverarbeiter z.B. per E-Mail zurück. Dann wird er gegengezeichnet und du erhältst deine Ausgabe.

Falls auf dieser Liste dein Auftragsverarbeiter nicht mit dabei ist, hier noch 2 Tipps, wie du ihn online selbst finden kannst:

  • Gib in deine Suchmaschinen den Namen des Auftragsverarbeiters an, dann Leerzeichen und den Begriff Auftragsverarbeitungsvertrag. Das könnte, wie folgt aussehen: Microsoft 365 Auftragsverarbeitungsvertrag.
  • Du findest nichts? Dann probiere Folgendes: Anstatt Auftragsverarbeitungsvertrag versuche Auftragsdatenverarbeitung (so hieß es früher), die Abkürzung AVV, Ergänzung oder Nachtrag zur Datenverarbeitung, Datenverarbeitungsbedingungen, Data Processing Agreements, die englische Abkürzung DPA, Auftragsverarbeitungs-Vertrag.

Webhoster

ALL-INKL.COM: Wie kann ich einen Vertrag zur Auftragsverarbeitung zu meinem Webhosting-Tarif abschließen?

DomainFactory: Auftragsverarbeitungsvertrag

Hetzner: Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO steht ab sofort online zur Verfügung

Host Europe: Wie kann ich einen Vertrag zur Auftragsverarbeitung (AV) gemäß Art. 28 DSGVO abschließen?

Ionos (ehemals 1&1): Vereinbarung zur Auftragsverarbeitung (AVV)

One.com: Der Auftragsverarbeitungsvertrag ist Teil des Registrierungsprozesses.

Raidboxes: AV-Vertrag direkt online abschließen.

STRATO: Fragen zum Auftragsverarbeitungsvertrag (AVV) und der neuen EU-Datenschutzgrundverordnung (DSGVO).

United Domains: Wie erhalte ich den Auftragsverarbeitungs-Vertrag (AVV) nach DSGVO?

Website – Baukastensysteme

Ionos (ehemals 1&1): Vereinbarung zur Auftragsverarbeitung (AVV)

Jimdo: Jimdo Auftragsverarbeitungsvereinbarung (AVV)

Squarespace: Ergänzung zur Datenverarbeitung

Wix: Nachtrag betreffend die Datenverarbeitung – Nutzer

WordPress.com: Bitte beachte, das betrifft WordPress.com und nicht WordPress.org! Bei WordPress.com wird deine Website von WordPress.com gehostet und je nach Tarif gewartet. WordPress.org hingegen ist ein Content-Management-System, dass du selbst bei dir auf deinem Server installieren kannst. Data Processing Agreements.

Online-Shops

Shopify: Nachtrag zur Datenverarbeitung von Shopify.

Kursplattformen

Elopage: FAQ zur Auftragsverarbeitung.

Webanalyse

Google Analytics: Datenverarbeitungsbedingungen

Matomo: Matomo Cloud Data Processing Agreement (DPA)

Plausible: Plausible Analytics Data Processing Agreement

Automatisierungen

Zapier: Data Processing Addendum oder eine unterzeichnete Variante über ein Formular.

Cloud-Speicher

AWS: AWS GDPR Data Processing Addendum

Dropbox: Dropbox Services Agreement.

Google Drive: Bestandteil von Google Workspace.

E-Mail-Marketing

ActiveCampaign: „Nur“ Anschauungsmaterial Data Processing Addendum und New Standard Contractual Clauses. DPA im Kundenkonto abschließen!

CleverReach: Bietet CleverReach einen Vertrag zur Auftragsverarbeitung an?

Klick Tipp: Auftragsverarbeitungsvertrag abschließen.

Mailchimp: Data Processing Addendum

Mailjet: Data Processing Agreement.

Rapidmail: Auftragsverarbeitungs-Vertrag nach EU-DSGVO abschließen.

Sendinblue: Datenverarbeitung im Auftrag

CRM Systeme

Hotjar: Data Processing Agreement

Hubspot: HubSpot Data Processing Agreement

Salesforce: Data Processing Agreement (PDF)

Projektmanagement

Atlassian: Atlassian Data Processing Addendum

Trello: Atlassian Data Processing Addendum

Meistertask: Eine Datenschutzvereinbarung kann im Konto, im Reiter Allgemeine Geschäftsbedingungen, runterscrollen, bis „Sie leiten eine Firma? Wenn Sie daran interessiert sind, eine Datenschutzvereinbarung mit uns abzuschließen, klicken Sie hier.“ angefordert werden.

Chats

Slack: Ergänzung zur Datenverarbeitung

Threema: Vereinbarung zur Auftragsverarbeitung

WhatsApp Business: WhatsApp Business Datenverarbeitungsbedingungen („Datenverarbeitungsbedingungen“)

Buchhaltung

DATEV: Auftragsverarbeitungsvertrag

Lexoffice: Auftragsverarbeitung

Papierkram: Vertrag / Datenschutz / Auftragsverarbeitung (DSGVO)

SevDesk: Allgemeine Informationen zur Datenschutz-Grundverordnung bei sevDesk

Officemanagement

Adobe: Den Auftragsverarbeitungsvertrag mit Adobe kannst du mit diesem Kontaktformular anstoßen.

Google Workspace: Datenschutzcompliance und ‑einträge für Google Workspace und Cloud Identity

Microsoft 365: Microsoft Products and Services Data Protection Addendum (DPA).

Terminbuchung

TuCalendi: Den Auftragsverarbeitungsvertrag kannst du hier direkt abschließen.

Videokonferenzen

Microsoft Teams: Microsoft Products and Services Data Protection Addendum (DPA).

Zoom: Data Processing Agreement

Dir fehlt in der Liste ein Auftragsverarbeiter? Dir ist noch etwas unklar? Du hast weitere Anregungen? Verbesserungsvorschläge? Schreibe mir eine Nachricht.


Hat dir der Artikel gefallen? Mit deiner Bewertung hilfst du mir, meine Inhalte noch hilfreicher zu gestalten.


by Nicole Werner

Ich bin Bloggerin, Liquidatorin, Datenschutzbefürworterin, Wirtschaftsinformatikerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.

Dieser Beitrag erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit. Die Inhalte ersetzen keine Rechtsberatung.

Weitere spannende Artikel