Auftragsverarbeitungsvertrag

Der Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement — DPA) ist die rechtliche Grundlage jeder Auftragsverarbeitung nach DSGVO. Artikel 28 verlangt, dass ein Verantwortlicher einen Auftragsverarbeiter nur auf Basis eines schriftlich oder elektronisch geschlossenen Vertrags einsetzen darf, der einen festen Katalog an Inhalten abbildet. Ohne AVV ist die Verarbeitung formal rechtswidrig — unabhängig davon, ob inhaltlich alles korrekt läuft.

Pflichtinhalte nach Artikel 28 Absatz 3

Der Vertrag muss Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegen. Hinzu kommen die in den Buchstaben a bis h aufgezählten Pflichten des Auftragsverarbeiters: Weisungsgebundenheit (nur dokumentierte Weisungen des Verantwortlichen), Vertraulichkeitsverpflichtung der Beschäftigten, technische und organisatorische Maßnahmen nach Art. 32, Unterstützung bei Betroffenenrechten (Auskunft, Berichtigung, Löschung), Unterstützung bei Meldepflichten und DSFA, Löschung oder Rückgabe aller Daten am Ende der Leistung sowie die Nachweispflicht durch Bereitstellung aller erforderlichen Informationen und Duldung von Audits.

Abgrenzung zur gemeinsamen und separaten Verantwortlichkeit

Nicht jede Datenweitergabe an einen Dienstleister ist eine Auftragsverarbeitung. Entscheidend ist, wer Zwecke und Mittel der Verarbeitung festlegt. Bestimmt allein der Auftraggeber, liegt klassische Auftragsverarbeitung nach Art. 28 vor. Entscheiden zwei Parteien gemeinsam, handelt es sich um eine gemeinsame Verantwortlichkeit nach Art. 26 mit eigener Vereinbarung. Verfolgt der Dienstleister mit denselben Daten eigene Zwecke — etwa zur Produktverbesserung oder zum Profiling — ist er separater Verantwortlicher. Diese Abgrenzung wird in der Praxis häufig falsch gezogen, insbesondere bei Marketing-Plattformen, Webanalyse-Diensten und KI-Anbietern, die Trainingsdaten verwerten.

Subprozessoren

Artikel 28 Absatz 2 verbietet dem Auftragsverarbeiter, ohne vorherige schriftliche Genehmigung des Verantwortlichen weitere Auftragsverarbeiter einzusetzen. Praxisüblich ist die allgemeine schriftliche Genehmigung in Kombination mit einer Informations- und Einspruchsmöglichkeit: der Auftragsverarbeiter führt eine öffentliche Subprozessor-Liste, kündigt Änderungen mit Frist an, und der Verantwortliche kann widersprechen oder im Konfliktfall kündigen. Wichtig ist Absatz 4: dem Subprozessor müssen vertraglich dieselben Datenschutzpflichten auferlegt werden wie dem Hauptauftragsverarbeiter. Bei einem Verstoß des Subprozessors haftet der Auftragsverarbeiter wie für eigenes Handeln.

Microsoft-Spezifik

Bei Microsoft 365 und Azure tritt an die Stelle des klassisch ausgehandelten AVV das Microsoft Products and Services Data Protection Addendum (DPA) — Microsofts eigener AVV-Text, der für alle kommerziellen Kunden weltweit gilt. Das DPA wird über das Microsoft 365 Admin Center verwaltet — das frühere Volume Licensing Service Center wurde im April 2024 abgekündigt, seine Lizenz- und Vertrags-Funktionen sind ins Admin Center migriert. Bei aktuellen Subskriptionen ist das DPA in aller Regel als Bestandteil der Product Terms by Reference einbezogen; bei ausgehandelten Verträgen oder besonderen Anforderungen lässt es sich um das EU-Datenschutz-Addendum konkretisieren. Ähnliche Konstruktionen finden sich bei AWS (GDPR DPA), Google Cloud (Cloud Data Processing Addendum) und Salesforce (DPA). Eine eigene Verhandlung des Vertragstexts ist bei Hyperscalern in aller Regel nicht möglich — der Verantwortliche prüft, ob das vorgegebene DPA seine Anforderungen erfüllt, und dokumentiert die Annahme im VVT.

Schrems II und Drittlandtransfers

Sitzt der Auftragsverarbeiter oder einer seiner Subprozessoren in einem Drittland ohne Angemessenheitsbeschluss, reicht der AVV allein nicht aus. Er ist um Standardvertragsklauseln (SCC) der EU-Kommission in der Fassung von 2021 zu erweitern und nach dem Schrems-II-Urteil (EuGH C-311/18) um ergänzende Maßnahmen — typischerweise eine dokumentierte Transfer Impact Assessment (TIA), starke Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Verantwortlichen und vertragliche Transparenzpflichten bei behördlichen Datenanfragen. Für die USA gilt seit Juli 2023 der EU-US Data Privacy Framework: ist der Empfänger zertifiziert und die Übermittlung vom Anwendungsbereich gedeckt, entfällt die SCC-Pflicht — die ergänzenden Maßnahmen bleiben aus Vorsicht aber meist im Vertragswerk.

Zusammenspiel mit VVT und DSFA

Jeder AVV gehört in das Verzeichnis der Verarbeitungstätigkeiten — als Empfängerangabe auf Seiten des Verantwortlichen und als Auftraggeberangabe auf Seiten des Auftragsverarbeiters. Bei risikoreichen Verarbeitungen fließen die Inhalte des AVV — insbesondere TOM, Subprozessoren und Drittlandtransfers — in die DSFA ein. Eine integrierte Pflege spart Doppelarbeit und stellt sicher, dass Vertrag, Verzeichnis und Risikoanalyse dieselbe Realität abbilden. Wie die Microsoft-DPA-Konstruktion in einer Windows-/M365-Flotte konkret eingebunden wird, beschreibt unser Leitfaden zur datenschutzkonformen Windows-11-Konfiguration.