zur Blogübersicht

Die Bedeutung von Unterauftragnehmern in der Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO (AVV)

März 13, 2025

In der heutigen Geschäftswelt ist die Auslagerung von Dienstleistungen an externe Dienstleister üblich.

Dabei werden häufig personenbezogene Daten verarbeitet, was die Einhaltung der Datenschutz-Grundverordnung (DSGVO) erfordert.

Ein zentrales Element hierbei ist die Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO, da dieser Artikel die rechtlichen Anforderungen für die Verarbeitung personenbezogener Daten durch externe Dienstleister regelt und sicherstellt, dass diese im Auftrag des Verantwortlichen DSGVO-konform erfolgt.

Dieser Blog beleuchtet die rechtlichen Aspekte der AVV und die Rolle von Unterauftragnehmern in solchen Vereinbarungen. Unternehmen müssen sich der Risiken und rechtlichen Verpflichtungen bewusst sein, um Datenschutzverstöße und daraus resultierende Sanktionen zu vermeiden.

Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?

Eine AVV ist ein Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Dienstleister), der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ziel der AVV ist es, die Rechte und Pflichten beider Parteien im Hinblick auf den Datenschutz klar zu definieren und sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Ohne eine rechtskonforme AVV kann die Zusammenarbeit mit Dienstleistern erhebliche rechtliche Risiken für Sie als Auftraggeber mit sich bringen.

Rechtliche Anforderungen an eine AVV

Gemäß Art. 28 DSGVO muss eine AVV folgende Punkte enthalten:

Gegenstand und Dauer der Verarbeitung: Beschreibung der zu erbringenden Dienstleistungen und der Dauer der Datenverarbeitung.
Art und Zweck der Verarbeitung: Klarstellung, welche Daten verarbeitet werden und zu welchem Zweck.
Kategorien betroffener Personen: Angabe, welche Personengruppen von der Datenverarbeitung betroffen sind (z. B. Kunden, Mitarbeiter).
Pflichten und Rechte des Verantwortlichen: Definition der Verantwortlichkeiten des Auftraggebers.
Pflichten des Auftragsverarbeiters: Verpflichtung des Dienstleisters zur Einhaltung technischer und organisatorischer Maßnahmen zum Schutz der Daten.
Meldepflichten und Haftung: Definition der Meldepflichten des Auftragsverarbeiters bei Datenschutzverstößen sowie Regelungen zur Haftung bei Verstößen gegen die DSGVO.

Unterauftragnehmer in AV-Vereinbarungen

Ein besonders kritischer Aspekt der AVV ist der Einsatz von Unterauftragnehmern durch den Auftragsverarbeiter.

Unterauftragnehmer sind Drittanbieter, die im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten. Der Einsatz solcher Unterauftragnehmer ist nur unter bestimmten Bedingungen zulässig:

Zustimmung des Auftraggebers

Der Hauptdienstleister darf Unterauftragnehmer nur einsetzen, wenn der Auftraggeber dem ausdrücklich zugestimmt hat. Diese Zustimmung kann spezifisch für jeden Unterauftragnehmer oder allgemein erteilt werden, wobei der Auftraggeber über Änderungen informiert werden muss.

Vertragliche Bindung

Der Hauptdienstleister muss sicherstellen, dass der Unterauftragnehmer die gleichen Datenschutzpflichten erfüllt, die im AVV zwischen Auftraggeber und Hauptdienstleister festgelegt sind. Dazu gehören unter anderem die Verpflichtung zur Vertraulichkeit (eine kostenlose Vorlage finden Sie hier: Verpflichtung auf die Vertraulichkeit), die Einhaltung technischer und organisatorischer Maßnahmen zur Datensicherheit, die Umsetzung von Löschkonzepten sowie die sofortige Meldung von Datenschutzverstößen. Dies erfordert den Abschluss eines entsprechend detaillierten Vertrags mit dem Unterauftragnehmer.

Haftung

Der Hauptdienstleister haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch den Unterauftragnehmer. Verstöße des Unterauftragnehmers können somit zu Haftungsansprüchen gegenüber dem Hauptdienstleister führen.

Technische und organisatorische Maßnahmen (TOMs)

Der Unterauftragnehmer muss nachweisen, dass er geeignete Maßnahmen zum Schutz personenbezogener Daten implementiert hat.

Unsere Unterstützung als Anwaltskanzlei

Als erfahrene Anwaltskanzlei im Bereich Compliance, Sicherheit und Datenschutz unterstützen wir seit vielen Jahren erfolgreich unsere Mandanten bei der Erstellung, Verhandlung, Anpassung und Prüfung von Auftragsverarbeitungsvereinbarungen.

Unsere Erfahrung zeigt, dass Unternehmen oft nicht wissen, welche vertraglichen Regelungen notwendig sind, um Datenschutzkonformität sicherzustellen, was zu nicht unerheblichen, privatrechtlichen Haftungsansprüchen für die Geschäftsführungsebene führen kann.

Weiterführende Informationen zur Haftung von Geschäftsführern finden Sie hier:

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Durch unsere Unterstützung können klare, rechtssichere Verträge erstellt und potenzielle Risiken vermieden werden.

Unsere Leistungen im Überblick

Beratung und Erstellung von AVVs: Wir entwerfen maßgeschneiderte AVVs, die den spezifischen Anforderungen Ihres Unternehmens entsprechen und alle rechtlichen Vorgaben erfüllen.
Prüfung bestehender Verträge: Wir analysieren Ihre aktuellen Verträge und AVVs und identifizieren mögliche Schwachstellen oder Lücken im Hinblick auf die DSGVO-Konformität.
Unterstützung beim Einsatz von Unterauftragnehmern: Wir beraten Sie bei der Auswahl und vertraglichen Einbindung von Unterauftragnehmern, um sicherzustellen, dass alle Datenschutzanforderungen erfüllt werden.
Schulung und Sensibilisierung: Wir bieten Schulungen für Ihre Mitarbeiter an, um das Bewusstsein für Datenschutzthemen zu schärfen und die korrekte Umsetzung von AVVs sicherzustellen.
Begleitung bei Audits und Prüfungen: Wir unterstützen Sie bei behördlichen Prüfungen und internen Audits, um Risiken zu minimieren.

Besonderes Augenmerk sollte immer auch auf den Einsatz von Unterauftragnehmern gelegt werden, da hier spezifische Anforderungen und Haftungsrisiken bestehen. Eine sorgfältige Vertragsgestaltung und regelmäßige Überprüfung der Datenschutzmaßnahmen sind unerlässlich, um Compliance zu gewährleisten und Sanktionen zu vermeiden. Andernfalls drohen Unternehmen hohe Bußgelder, rechtliche Auseinandersetzungen mit betroffenen Personen sowie ein erheblicher Imageverlust, wenn Datenschutzverstöße öffentlich bekannt werden. Zudem sollte jedes Unternehmen sicherstellen, dass seine Dienstleister kontinuierlich den neuesten Datenschutzbestimmungen entsprechen.

Unsere Mandanten profitieren von unserer langjährigen Erfahrung in den Bereichen Datenschutz, Compliance und IT-/Vertrags-Recht. Wir bieten zudem regelmäßige Schulungen und Beratungen an, um sicherzustellen, dass Ihr Unternehmen kontinuierlich auf dem neuesten Stand der Datenschutzbestimmungen bleiben.

Der Abschluss einer AVV ist somit nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Bestandteil eines sicheren Datenschutzmanagements. Unternehmen, die Auftragsverarbeitungsverträge abschließen müssen, sollten sich bewusst sein, dass fehlerhafte oder fehlende AVVs erhebliche Risiken für den Geschäftsbetrieb und für die Geschäftsführungsebene mit sich bringen. Eine sorgfältige Prüfung und individuelle Vertragsgestalltung sind unerlässlich, um rechtliche Sicherheit zu gewährleisten.

Wir als erfahrene Anwaltskanzlei unterstützen Unternehmen umfassend bei der Umsetzung der DSGVO-Anforderungen und sorgen für rechtssichere AVVs.

Kontaktieren Sie uns für eine unverbindliche Erstberatung und stellen Sie sicher, dass Ihre Datenschutzmaßnahmen den gesetzlichen Vorgaben entsprechen.

Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein entscheidender Wettbewerbsvorteil.

„Konzentrieren Sie sich auf Ihr Geschäft, wir halten Ihnen den Rücken frei!“

Auch interessant zum Thema

Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO (AVV): So reagieren Sie richtig auf eine Anfrage

Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers

Rechtssichere Nutzungsbedingungen, Datenschutzrichtlinien und IT-Verträge: So sichern Sie Ihr Unternehmen ab

Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen

Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse

Bürokratische Vorgaben, Datenschutz und Compliance als lästige Herausforderung – Wie Unternehmen durch praxisnahe Lösungen direkt entlastet werden können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten

FAQs

Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?

Eine AVV ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Bedingungen für die Verarbeitung personenbezogener Daten im Auftrag regelt und sicherstellt, dass diese im Einklang mit der DSGVO erfolgt.

Wann ist eine AVV erforderlich?

Eine AVV ist erforderlich, wenn ein Unternehmen einen Dienstleister beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Unternehmens zu verarbeiten.

Welche Risiken bestehen beim Einsatz von Unterauftragnehmern ohne AVV?

Ohne eine AVV mit Unterauftragnehmern besteht das Risiko von Datenschutzverstößen, die zu Bußgeldern und Haftungsansprüchen führen können. Darüber hinaus könnte es zu Datenlecks oder unbefugtem Zugriff auf personenbezogene Daten kommen.

Wie kann ich sicherstellen, dass meine AVVs DSGVO-konform sind?

Durch die Zusammenarbeit mit spezialisierten Rechtsberatern können Sie sicherstellen, dass Ihre AVVs alle gesetzlichen Anforderungen erfüllen und Ihre Datenverarbeitungsprozesse rechtskonform gestaltet sind. Regelmäßige Audits und Anpassungen an neue Datenschutzanforderungen sind hierbei essenziell.

Wie kann ich mich vor Abmahnungen schützen?

Durch klare Kennzeichnung von Werbung, rechtssichere Verträge und Beratung durch erfahrene Anwälte.

Was kostet eine Vertragsprüfung durch eure Kanzlei?

Die Kosten variieren je nach Aufwand. Wir bieten jedoch transparente Preise und individuelle Beratungspakete.

Warum sollte ich nicht einfach einen Mustervertrag aus dem Internet nutzen?

Standardverträge sind oft unvollständig und berücksichtigen nicht deine individuellen Bedürfnisse. Zudem sind viele kostenlose Vorlagen veraltet oder fehlerhaft.

Kann ich einen einmal abgeschlossenen Vertrag nachverhandeln?

Ja, oft ist eine Nachverhandlung möglich. Wir helfen dir dabei, faire Konditionen durchzusetzen.

Dürfen Unternehmen meine erstellten Inhalte nach der Kooperation weiter nutzen?

Das hängt von den Vertragsklauseln ab. Ein guter Vertrag regelt genau, welche Nutzungsrechte das Unternehmen hat.

Bietet ihr auch langfristige rechtliche Betreuung für Influencer:innen an?

Ja! Wir können dich nicht nur bei einzelnen Vertragsprüfungen unterstützen, sondern auch als dein persönlicher Rechtsbeistand fungieren, um langfristig alle rechtlichen Fragen in deinem Business zu klären.

Für weitere Informationen oder eine persönliche Beratung stehen wir Ihnen gerne zur Verfügung.

Aktuelle Beiträge

Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern

Als Geschäftsführer einer GmbH tragen Sie eine besondere Verantwortung – nicht nur für den wirtschaftlichen Erfolg Ihres Unternehmens, sondern auch für die rechtskonforme Führung aller Geschäfte. Was viele Geschäftsführer von GmbHs unterschätzen: „Im Falle von...

Influencer Marketing: Werbekennzeichnung und Schleichwerbung vermeiden

Als Influencer:in erreichst du täglich Hunderte oder sogar Millionen Menschen. Unternehmen arbeiten gern mit dir zusammen, um ihre Produkte authentisch zu präsentieren. Doch aufgepasst: Das Internet ist kein rechtsfreier Raum – gerade beim Influencer Marketing gibt es...

IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt

Als Entscheider in einem Unternehmen stehen Sie täglich vor der Herausforderung, technologische Innovationen mit rechtlichen Rahmenbedingungen in Einklang zu bringen. Ob Softwarelizenzen, Cloud-Dienste oder der Betrieb eines Online-Shops – die digitale Transformation...

CSC-Anbauvereinigung – Warum es sinnvoll für jeden Verein ist, einen eigenen Anwalt zu haben

Der Weg vom Konzept eines Cannabis Social Clubs (CSC) bis zur erfolgreichen Erlangung einer Anbaugenehmigung ist mit zahlreichen rechtlichen Hürden gepflastert. Als eine der führenden Kanzleien in diesem speziellen Rechtsgebiet haben wir bereits viele...

Meldestelle gemäß Hinweisgeberschutzgesetz (HinSchG) in Vereinen: Vertrauen schaffen, Risiken vermeiden

Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 in Kraft und betrifft nicht nur Unternehmen, sondern auch Vereine, insbesondere dann, wenn sie eine gewisse Anzahl an Mitarbeitenden beschäftigen oder in sensiblen Bereichen tätig sind. Die Einführung...

Datenschutz: Warum er auch in Gemeinden, Behörden und öffentlichen Einrichtungen unverzichtbar ist

Datenschutz ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere in Gemeinden, Behörden und öffentlichen Einrichtungen wie z.B. Schulen. Hier werden täglich sensible personenbezogene Daten verarbeitet, die einem besonderen Schutz unterliegen....

Sicherheit für Influencer:innen: Künstlername eintragen lassen und als Marke schützen

Als Influencer:in ist dein Name dein Markenzeichen und dein Business! Doch was passiert, wenn jemand anderes ihn verwendet? Ohne rechtlichen Schutz könnte dein Name von Dritten genutzt oder sogar als Marke eingetragen werden – was bedeutet, dass du möglicherweise...

Die zentrale Rolle technisch-organisatorischer Maßnahmen (TOM) in Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO

Für Unternehmen, die personenbezogene Daten an externe Dienstleister outsourcen, sind technisch-organisatorische Maßnahmen (TOM) ein entscheidender Pfeiler der Compliance. Art. 28 DSGVO verpflichtet Auftraggeber und -nehmer dazu, in der...

Cannabis Social Clubs (CSC): Ärger mit dem Finanzamt vermeiden!

Die Gründung und der Betrieb von Cannabis Social Clubs (CSCs) in Deutschland bieten die Möglichkeit, Cannabis gemeinschaftlich und legal anzubauen. Doch dieser Weg ist mit zahlreichen rechtlichen Herausforderungen verbunden, die es zu meistern gilt. Neben der...

Vorbestraft? Einträge im polizeilichen Führungszeugnis löschen lassen

Ein Eintrag im polizeilichen Führungszeugnis stellt für viele Betroffene eine erhebliche Belastung dar! Besonders dann, wenn dieser Eintrag die berufliche Zukunft oder das soziale Leben beeinflusst. Arbeitgeber, Behörden und Institutionen verlangen in vielen Fällen...

Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?

Rechtliche Anforderungen an eine AVV

Unterauftragnehmer in AV-Vereinbarungen

Zustimmung des Auftraggebers

Vertragliche Bindung

Haftung

Technische und organisatorische Maßnahmen (TOMs)

Unsere Unterstützung als Anwaltskanzlei

Unsere Leistungen im Überblick

„Konzentrieren Sie sich auf Ihr Geschäft, wir halten Ihnen den Rücken frei!“

Auch interessant zum Thema

FAQs

Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?

Wann ist eine AVV erforderlich?

Welche Risiken bestehen beim Einsatz von Unterauftragnehmern ohne AVV?

Wie kann ich sicherstellen, dass meine AVVs DSGVO-konform sind?

Wie kann ich mich vor Abmahnungen schützen?

Was kostet eine Vertragsprüfung durch eure Kanzlei?

Warum sollte ich nicht einfach einen Mustervertrag aus dem Internet nutzen?

Kann ich einen einmal abgeschlossenen Vertrag nachverhandeln?

Dürfen Unternehmen meine erstellten Inhalte nach der Kooperation weiter nutzen?

Bietet ihr auch langfristige rechtliche Betreuung für Influencer:innen an?

Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern

Influencer Marketing: Werbekennzeichnung und Schleichwerbung vermeiden

IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt

Meldestelle gemäß Hinweisgeberschutzgesetz (HinSchG) in Vereinen: Vertrauen schaffen, Risiken vermeiden

Sicherheit für Influencer:innen: Künstlername eintragen lassen und als Marke schützen

Die zentrale Rolle technisch-organisatorischer Maßnahmen (TOM) in Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO

Cannabis Social Clubs (CSC): Ärger mit dem Finanzamt vermeiden!

Vorbestraft? Einträge im polizeilichen Führungszeugnis löschen lassen

Interesse an einer Zusammenarbeit?

Nehmen Sie Kontakt mit uns auf.