Art. 28 DSGVO: Wie der Auftragsverarbeitungs-Vertrag in der IT-Beratungs-Praxis aussieht

Am 25. Mai 2018 wurde die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) unmittelbar anwendbar — nach einer zweijährigen Übergangsfrist seit ihrem Inkrafttreten am 24. Mai 2016. Mit ihr trat Art. 28 DSGVO in Geltung: die zentrale Norm für die Auftragsverarbeitung. Sie verlangt einen schriftlich oder elektronisch geschlossenen Vertrag, sobald ein:e Verantwortliche:r (Controller) eine:n Auftragsverarbeiter:in (Processor) mit der Verarbeitung personenbezogener Daten beauftragt.

In der IT-Beratungs-Praxis sei der Auftragsverarbeitungs-Vertrag (AVV) seither zur Routine geworden — und gleichzeitig zur Quelle wiederkehrender Aushandlungen. Lastenheft skizziert die typische Klauselarchitektur Mitte 2026.

Wann überhaupt eine Auftragsverarbeitung vorliege

Vorab die Abgrenzung: Nicht jede Tätigkeit eines IT-Dienstleisters sei eine Auftragsverarbeitung. Erforderlich sei, dass personenbezogene Daten im Auftrag und nach Weisung der Verantwortlichen verarbeitet würden — typischerweise bei Outsourcing-Konstellationen, Hosting, Cloud-Diensten, Support mit Datenzugriff, Lohnabrechnungs-Diensten oder konkretem Beratungs-Zugang auf Produktiv-Mandanten.

Reine Werkverträge ohne Datenzugriff (etwa konzeptionelle Architektur-Beratung ohne Zugriff auf Echtdaten) lösten keine Auftragsverarbeitung aus. Ebenso wenig Berufsgeheimnisträger:innen wie Rechtsanwält:innen oder Steuerberater:innen, die in eigener fachlicher Verantwortung handelten. In der Praxis sei die Abgrenzung jedoch häufig unscharf — und vorsichtige Verantwortliche schlössen im Zweifel einen AVV ab.

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Art. 28 Abs. 3 DSGVO benennt acht inhaltliche Mindestanforderungen, die jeder AVV abdecken müsse:

Erstens Gegenstand und Dauer der Verarbeitung. Konkret: welche Leistungen umfasst sind, ab wann und wie lange.

Zweitens Art und Zweck der Verarbeitung. Etwa: Betrieb eines SAP-HCM-Mandanten, Support eines CRM-Systems, Bereitstellung einer Cloud-Plattform.

Drittens die Art der personenbezogenen Daten und die Kategorien betroffener Personen. Standardmäßig Beschäftigtendaten, Kund:innen-Stammdaten, Bewerber:innen-Daten — in besonderen Konstellationen auch besondere Kategorien nach Art. 9 DSGVO (Gesundheits-, Religions-, Gewerkschaftsdaten).

Viertens die Rechte und Pflichten der Verantwortlichen, etwa Weisungsbefugnis und Auditrechte.

Fünftens — und in der Aushandlung am ausführlichsten — die Pflichten des Auftragsverarbeiters: Weisungsgebundenheit, Vertraulichkeitsverpflichtung der eingesetzten Personen, technisch-organisatorische Maßnahmen nach Art. 32, Unterstützung der Verantwortlichen bei Betroffenenrechten und bei der Erfüllung der Pflichten aus Art. 32–36 (Datenschutz-Folgenabschätzung, Meldepflichten), Löschung oder Rückgabe der Daten nach Vertragsende, Nachweispflichten und Auditrechte.

Sechstens die Regelung des Einsatzes weiterer Auftragsverarbeiter (Sub-Processors): Vorabgenehmigung oder allgemeine Genehmigung mit Vetorecht, transparente Liste, vertragliche Weitergabe der Pflichten.

Siebtens die Unterstützungspflicht bei Anfragen der Aufsichtsbehörde.

Achtens — implizit — die Beendigungs- und Rückgabe-Regelung.

Technisch-organisatorische Maßnahmen (TOM)

Der Anhang zu den TOM sei in der Praxis häufig das umfangreichste Dokument des AVV. Er beschreibe, wie der Auftragsverarbeiter die Sicherheit der Verarbeitung im Sinne von Art. 32 DSGVO gewährleiste. Verbreitete Strukturen orientierten sich an den Kategorien Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle — eine Systematik, die noch aus dem alten Bundesdatenschutzgesetz stamme und sich in der Praxis gehalten habe.

Reife Auftragsverarbeiter:innen verwiesen mittlerweile zusätzlich auf zertifizierte Managementsysteme: ISO/IEC 27001 (erstmalig 14. Oktober 2005, zuletzt 2022 aktualisiert), BSI-IT-Grundschutz, SOC 2 Type II (American Institute of Certified Public Accountants, etabliert 2010 als Nachfolger der älteren SAS 70). In der DACH-Beratungspraxis seien ISO 27001 und Trusted Cloud-Testate verbreitet, SOC 2 dominiere bei US-nahen Cloud-Anbieter:innen.

Sub-Processor-Klauseln und die Drittlands-Problematik

Wer als IT-Dienstleister:in Cloud-Hyperscaler:innen, externe Hosting-Anbieter:innen oder spezialisierte SaaS-Tools einsetze, müsse diese als Sub-Processor benennen. Die Liste sei zu pflegen, jede Änderung mitzuteilen, je nach Vertrag mit Widerspruchsfrist.

Heikel werde es beim Drittlandstransfer. Seit dem Schrems-II-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) seien die rechtlichen Anforderungen an Datentransfers in die USA verschärft worden. Mit dem EU-US Data Privacy Framework, das die EU-Kommission am 10. Juli 2023 als Angemessenheitsbeschluss verabschiedet hat, sei eine gewisse Stabilisierung erreicht — solange das Framework Bestand habe. Zertifizierte US-Empfänger:innen dürften ohne Standardvertragsklauseln Daten empfangen, vorbehaltlich künftiger Gerichtsentscheidungen.

In der Praxis empfehle sich Mitte 2026, das Framework als ein Fundament unter mehreren zu betrachten und ergänzend Standardvertragsklauseln (in der Fassung des Durchführungsbeschlusses 2021/914 der Kommission vom 4. Juni 2021) sowie ergänzende Schutzmaßnahmen vorzusehen — etwa Verschlüsselung mit Schlüsseln, die ausschließlich in der EU gehalten werden.

Auditrechte: zwischen Anspruch und Realität

Art. 28 Abs. 3 lit. h DSGVO gebe Verantwortlichen das Recht, die Einhaltung der Pflichten zu überprüfen — durch Inspektionen oder durch beauftragte Prüfer:innen. In der Praxis sei das Vor-Ort-Audit bei Cloud-Hyperscaler:innen jedoch faktisch unmöglich. Die Anbieter:innen wiesen Auditrechte regelmäßig an standardisierte Berichts- und Zertifikatswerke ab (ISO 27001-Zertifikate, SOC 2-Reports, eigene Compliance-Portale).

Diese Praxis sei aufsichtsrechtlich akzeptiert, sofern die ersatzweise Nachweisstruktur substanziell sei. Bei kleineren Auftragsverarbeiter:innen — etwa spezialisierten Beratungshäusern, Boutiquen, Mittelständler:innen — bestehe das klassische Audit-Recht häufig weiter, werde in der Praxis aber selten ausgeübt.

Datenpannen-Meldungen nach Art. 33

Eine besondere Pflicht des Auftragsverarbeiters sei die unverzügliche Meldung an die Verantwortliche, sobald eine Datenpanne bekannt werde. Die 72-Stunden-Frist nach Art. 33 DSGVO laufe für die Verantwortliche; intern muss der Auftragsverarbeiter daher noch schneller reagieren. In der AVV-Praxis werde die Meldungsfrist häufig auf 24 oder 48 Stunden festgelegt, ergänzt um inhaltliche Mindestangaben.

Haftung und Schadensbegrenzung

Art. 82 DSGVO begründe eine eigene zivilrechtliche Haftung des Auftragsverarbeiters gegenüber Betroffenen. Die Aushandlung der vertraglichen Haftung zwischen Verantwortlicher und Auftragsverarbeiter folge meist klassischen Mustern: Haftungsobergrenze in Höhe der vereinbarten Jahresvergütung, Ausschluss mittelbarer Schäden, Bußgeld-Freistellungen umstritten. In der Praxis sei die Haftungsklausel eines AVV einer der zähesten Verhandlungspunkte — insbesondere bei Mittelständler:innen, die Cloud-Hyperscaler:innen-AVV nahezu unverändert akzeptieren müssten, während sie umgekehrt Kund:innen umfangreichere Zusagen geben sollen.

Standardisierungs-Bemühungen

Verschiedene Branchen-Verbände, etwa der Bitkom (gegründet 1999) und der Bundesverband der Datenschutzbeauftragten Deutschlands (BvD), hätten AVV-Mustertexte vorgelegt, die in der Praxis weite Verbreitung gefunden hätten. Die EU-Kommission habe am 4. Juni 2021 zudem Standardvertragsklauseln nach Art. 28 (Beschluss 2021/915) veröffentlicht, die eine optionale, EU-weit harmonisierte AVV-Fassung anbieten — in der DACH-Beratungspraxis aber weniger verbreitet seien als die nationalen Bitkom- und BvD-Vorlagen.

Joint Controllership: die andere Konstellation

Nicht jede Datenverarbeitung zwischen mehreren Parteien sei Auftragsverarbeitung. Wo zwei oder mehr Akteure gemeinsam über Zwecke und Mittel entscheiden, liege gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor — Joint Controllership. Diese Konstellation verlange einen eigenen Vertrag, der die Verantwortungsverteilung gegenüber Betroffenen regele. Sie unterscheide sich vom AVV substanziell: Joint Controller stünden nebeneinander, nicht in einer Auftragsbeziehung.

In der IT-Beratungs-Praxis trete Joint Controllership häufiger auf, als gemeinhin angenommen werde — etwa bei gemeinsamen Marketing-Plattformen, geteilten Forschungsprojekten, Konsortien für gemeinsame Datenanalysen. Die Abgrenzung sei in der Praxis oft schwierig; mehrere EuGH-Entscheidungen der Jahre 2018–2024, darunter das Wirtschaftsakademie-Urteil (C-210/16) und das Fashion-ID-Urteil (C-40/17), hätten den Begriff der gemeinsamen Verantwortlichkeit weit gefasst und damit für viele Konstellationen eine Joint-Controller-Bewertung wahrscheinlicher gemacht.

Datenschutz-Folgenabschätzung und ihre Schnittstelle zum AVV

Eine besondere Schnittstelle zwischen Verantwortlicher und Auftragsverarbeiter sei die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Sie obliegt formal der Verantwortlichen, der Auftragsverarbeiter habe Unterstützungspflichten. In der Praxis bedeute das, dass größere IT-Dienstleister:innen ihren Kund:innen sogenannte DSFA-Unterstützungsdokumente bereitstellten — strukturierte Beschreibungen der eigenen Verarbeitungs-Praxis, der TOM, der Rechtsgrundlagen und der für die DSFA relevanten Risiken.

Wer eine DSFA für eine SaaS-Plattform, einen Outsourcing-Vertrag oder eine Cloud-Migration vorbereite, sei auf qualitativ hochwertige Unterstützungsdokumente des Lieferanten angewiesen. Die Praxis sei Mitte 2026 uneinheitlich. Marktführer:innen unter den Cloud-Anbieter:innen pflegten umfassende, regelmäßig aktualisierte Dokumentation; kleinere Anbieter:innen lieferten häufig nur knappe Auskünfte.

Beschäftigtendatenschutz und der „kleine” AVV

Eine in der Beratungs-Praxis häufig übersehene Konstellation: Wer als Dienstleister:in Zugriff auf Beschäftigten-Stammdaten eines Kunden bekommt — etwa im Rahmen eines HCM-Supports, einer SuccessFactors-Migration oder einer Payroll-Übergabe — fällt unter Auftragsverarbeitung mit gesteigerter Sensibilität. Beschäftigtendaten unterlägen in DACH zusätzlich besonderen Schutzbestimmungen: in Deutschland § 26 BDSG, in Österreich § 11 DSG, in der Schweiz Art. 31 des revidierten DSG (in Kraft seit 1. September 2023).

Praktisch bedeute das, dass Verantwortliche bei HCM-Auftragsverarbeitungen erweiterte Auskunfts- und Mitwirkungspflichten von ihren Auftragsverarbeiter:innen verlangten — etwa zur Unterstützung bei Auskunftsbegehren der Beschäftigten, zur Mitwirkung bei Auseinandersetzungen mit Betriebsräten und zur Erfüllung der Pflichten aus Betriebsvereinbarungen.

Internationale Konzern-AVV: BCR-P als Sonderform

Konzerne mit weltweit verflochtenen IT-Diensten verwenden zunehmend Binding Corporate Rules for Processors (BCR-P), zugelassen seit Inkrafttreten der DSGVO und in der Praxis von einigen Hyperscaler:innen und globalen IT-Dienstleister:innen seit etwa 2019 genehmigt. BCR-P seien ein konzerninternes Regelwerk, das die DSGVO-Pflichten innerhalb eines Konzern-Verbunds garantiert und damit Drittlands-Transfers innerhalb des Konzerns ohne Einzelvertragsklauseln ermöglicht. Für Kund:innen biete BCR-P den Vorteil einer aufsichtlich genehmigten Garantiestruktur, ersetze jedoch nicht den konkreten AVV zwischen Kund:in und Konzern.

Ausblick

Acht Jahre nach Wirksamwerden der DSGVO sei der AVV ein Routine-Dokument geworden. Die Aushandlungs-Praxis habe sich eingespielt, die Mustertexte konvergieren. Was bleibe, sei das Spannungsfeld zwischen ambitioniertem Schutzanspruch der Verordnung und operativer Realität gewachsener Cloud- und Sub-Processor-Ketten.

Zwei Entwicklungslinien dürften die AVV-Praxis in den kommenden Jahren prägen. Zum einen die anhaltende Drittlands-Unsicherheit: Sollte das EU-US Data Privacy Framework durch eine spätere EuGH-Entscheidung — etwa im Sinne eines „Schrems III” — fallen, müssten viele tausend AVV mit US-nahen Sub-Processor-Ketten innerhalb kurzer Frist überarbeitet werden. Die formale Vorbereitung darauf — etwa durch ergänzende Standardvertragsklauseln als Sicherheits-Layer — gehöre Mitte 2026 zur Sorgfalt vorausschauender Datenschutz-Beauftragten.

Zum anderen die wachsende Verschränkung mit KI-Recht. Mit dem EU AI Act stelle sich die Frage, wie sich Auftragsverarbeitung und KI-Anbieter-Pflichten in Verträgen ordnen ließen. Wer als IT-Dienstleister:in eine KI-Komponente für eine Kundin oder einen Kunden betreibt, agiere zugleich als Auftragsverarbeiter:in im Sinne der DSGVO und als KI-Anbieter:in oder KI-Betreiber:in im Sinne des AI Act. Die vertragliche Synthese beider Rollen sei Mitte 2026 noch in den Anfängen, Branchen-Mustertexte stünden aus.

Lastenheft werde die rechtliche Entwicklung — insbesondere zur Drittlands-Thematik, zu möglichen Folgeentscheidungen des EuGH und zur DSGVO-KI-Schnittstelle — in den kommenden Ausgaben weiter beobachten.