Auftragsverarbeiter
Definition nach Art. 4 Nr. 8 DSGVO — Dienstleister, der im Auftrag verarbeitet
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Beziehung wird durch AVV nach Art. 28 geregelt.
Was ist Auftragsverarbeiter?
Typische Auftragsverarbeiter:
- IT-Hosting-Anbieter (AWS, Azure, GCP, Hetzner)
- Cloud-Software (Microsoft 365, Salesforce, HubSpot)
- Newsletter-Tools (Mailchimp, Brevo, CleverReach)
- Lohnabrechnungs-Dienstleister
- IT-Wartung mit Datenzugriff
NICHT Auftragsverarbeiter:
- Steuerberater (BayLDA 2024 — eigenständig Verantwortlich)
- Banken (eigene gesetzliche Pflichten)
- Postversand (technische Zustellung)
Praxisbeispiel
Praxisbeispiel — 30-Personen-Maschinenbauer hat folgende AVs:
- Microsoft (M365 Hosting) — AVV vorhanden
- Mailchimp (Newsletter) — AVV + DPF-Garantie
- HubSpot (CRM) — AVV vorhanden
- Externer Lohnbuchhalter — AVV (sofern als AV qualifiziert)
- IT-Systemhaus (Wartung) — AVV vorhanden
Häufig gestellte Fragen
Was muss in einem AVV stehen?
8 Pflichtinhalte (Art. 28 Abs. 3): Gegenstand, Dauer, Art und Zweck, Datenarten, Pflichten, Verschwiegenheit, Sub-Auftragsverarbeitung, Mithilfe bei Betroffenenrechten + TOM.
Wer kontrolliert die AVs?
Verantwortlicher trägt Auswahl- und Kontrollpflicht. Praxis: jährliche AV-Liste-Review + risikobasierte TOM-Prüfung.
Wer haftet bei AV-Verstoß?
Primär Verantwortlicher (im Außenverhältnis). AV haftet zusätzlich bei eigenen Pflichtverletzungen — Innenausgleich über AVV.