Sollen personenbezogene Daten im Auftrag verarbeitet werden, müssen insbesondere Garantien für die Einhaltung des Datenschutzes nach DSGVO durch den Auftragsverarbeiter geboten werden. Ob dies durch den Auftraggeber und Auftragsverarbeiter wirklich eingehalten wird, wollen die Aufsichtsbehörden nun kontrollieren. Aber die Prüfungen der Aufsicht gehen noch weiter.
In vielen Unternehmen werden oft komplette Auftragsverarbeitungen (ehemals Auftragsdatenverarbeitungen) „vergessen“. Das kann unangenehme Folgen haben.
(Bild: mixmagic - stock.adobe.com)
Die Datenschutz-Grundverordnung (DSGVO) behandelt ausführlich den Fall, dass personenbezogene Daten nicht durch das jeweilige Unternehmen selbst verarbeitet werden, sondern durch einen Dienstleister, in diesem Zusammenhang auch Auftragsverarbeiter genannt.
Ein Auftragsverarbeiter ist also eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. In dieser kurzen Definition steckt bereits, dass der Auftraggeber dem Auftragsverarbeiter zwar Daten zur Verarbeitung gibt, die Verantwortung für die Daten und deren Schutz aber behält.
Die Fortdauer der Verantwortung für den Datenschutz bei Auftragsverarbeitung ist nicht alles, was immer noch in Vergessenheit gerät. Es sind sogar komplette Auftragsverarbeitungen, die „vergessen“ werden, jedenfalls mit Blick auf den Datenschutz. Es kann also durchaus sein, dass ein Unternehmen nicht alle Auftragsverarbeitungen im Blick hat, die für es stattfinden.
Beispiele für mögliche Auftragsverarbeitungen sind Aktenvernichtung, Archivierung, Bürokommunikation, Cloud-Services, Finanzbuchhaltung, Lohn- und Gehaltsabrechnung, Personalverwaltung, Werbung / Letter Shop, Zeiterfassung, Reisekosten, Hosting E-Mail-System und Hosting Internetsystem sowie Wartungsarbeiten.
Wer jetzt überlegt, ob dies im eigenen Unternehmen nun selbst gemacht wird oder durch einen Dienstleister, der sollte auch im Verzeichnis der Verarbeitungstätigkeiten nachsehen, ob dort alle bestehenden Auftragsverarbeitungen dokumentiert sind.
Lieber selbst überprüfen und nicht auf die Aufsicht warten
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kontrolliert seit einigen Wochen die datenschutzrechtlichen Musterverträge, so genannte Auftragsverarbeitungsverträge (AVV), zwischen Webhostern aus Berlin und deren Kundinnen und Kunden. Das ist aber nicht auf Berlin beschränkt. Auch die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) beteiligen sich an dieser koordinierten Prüfung.
Aber auch Unternehmen aus anderen Bundesländern sollten sich ihre Auftragsverarbeitungsverträge genauer ansehen und nicht darauf warten, bis die für sie zuständige Aufsichtsbehörde ebenfalls entsprechende Prüfungen startet.
Beispiel Webhosting
Viele Organisationen betreiben ihre Internetseite oder ihren Online-Shop über einen externen Dienstleister (Webhoster). Dabei werden personenbezogene Daten von Besucherinnen und Besuchern der Seite verarbeitet. Im Regelfall findet diese Verarbeitung im Auftrag des Verantwortlichen, also des Seitenbetreibers, statt. Das heißt, der Webhoster ist datenschutzrechtlich ein Auftragsverarbeiter, wie die Aufsichtsbehörden klarstellen.
Entsprechend müssen die Betreibenden der Internetseite und der Webhoster einen spezifischen Vertrag schließen, den sogenannten Auftragsverarbeitungsvertrag (AVV). Die Datenschutz-Grundverordnung (DSGVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.
Doch in der Praxis sehen die Verträge leider oftmals anders aus: Regelmäßig erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. So sehen beispielsweise viele AVV keine ausreichenden Nachweise des Webhosters darüber vor, dass dieser die vereinbarten Datenschutzmaßnahmen umsetzt.
Damit dürfen sich die Unternehmen als Betreibende der Internetseite aber nicht zufrieden geben, da sie als Verantwortliche gegenüber den Aufsichtsbehörden und den betroffenen Personen nachweisen können müssen, dass sie die Vorgaben des Datenschutzes einhalten.
Was die Aufsichtsbehörden zu den Prüfungen sagen
Zuerst einmal sollen die laufenden Prüfungen der Musterverträge die Hoster und die Unternehmen als Hosting-Kunden und Datenschutzverantwortliche unterstützen.
Volker Brozio, kommissarischer Dienststellenleiter der Berliner Aufsicht, erklärte dazu aber auch: „Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT Dienstleister selbst.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
„Korrekte Verträge zur Auftragsverarbeitung sind ein wichtiges Instrument zur Einhaltung der datenschutzrechtlichen Vorgaben“, sagte Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen. „Wir wollen sowohl Verantwortliche als auch Auftragsverarbeiter dabei unterstützen, die Anforderungen der DSGVO einzuhalten und so für mehr Rechtssicherheit sorgen.“
„Das Ziel der koordinierten Prüfung ist eine datenschutzrechtliche Verbesserung der Web-Auftritte von kleinen und großen Unternehmen“, stellte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, klar. „Diese sind zumeist auf externe Dienstleister angewiesen, tragen aber am Ende selbst den Großteil der datenschutzrechtlichen Verantwortung für ihre Webseiten. Damit in solchen Fällen die Verantwortlichkeiten klar sind und auch bei einer Verarbeitung personenbezogener Daten durch Dritte die Rechte der Betroffenen gewahrt werden, macht die Datenschutz-Grundverordnung Vorgaben für die Gestaltung der Verträge mit den Dienstleistern.“
Die von den Datenschutzaufsichtsbehörden erstellte Checkliste soll den Verantwortlichen auch zur Orientierung bei der Gestaltung ihrer Verträge dienen und ist insoweit als Hilfestellung gemeint, um die Verantwortlichen zu unterstützen, wie die Aufsichtsbehörden erklären. Zu finden ist die sehr ausführliche Checkliste unter anderem bei der Berliner Aufsichtsbehörde.
Die 20 Seiten lange Checkliste sieht zwar nach einigem Aufwand aus, sie hilft aber bei der Wahrnehmung der Verantwortung für den Datenschutz bei Auftragsverarbeitung, da sie fehlende Regelungen zum Beispiel in Hosting-Verträgen offenlegen kann, und für diese womöglich fehlenden Regelungen sind eben (auch) die Unternehmen als Auftraggeber verantwortlich, denn eigentlich darf man einen solchen Vertrag gar nicht abschließen, um die DSGVO einhalten zu können.
So besagt die DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Ohne vertragliche Regelungen zum Datenschutz wird dies aber kaum möglich sein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/36/ce/36ce936c40453ceee5459437cc01fd09/0125431620v1.jpeg "Unternehmen verlagern Datenflüsse: Strategisch vom US-amerikanischen zum europäischen Cloud-Dienst. (Bild: © artwiyanastudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")