Wann brauche ich einen Auftragsverarbeitungsvertrag?

Sobald Sie personenbezogene Daten von einem externen Dienstleister verarbeiten lassen, zum Beispiel Ihrem Steuerberater, E-Mail-Marketing-Tool oder Cloud-Speicherdienst.

Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?

Der Verantwortliche bestimmt Zweck und Mittel der Verarbeitung. Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Auftrag des Verantwortlichen.

Was ist ein Auftragsverarbeitungsvertrag?

verified Zuletzt überprüft 1. März 2026 · das GDPRWise Rechtsteam

Ein Auftragsverarbeitungsvertrag ist Pflicht, wenn ein externer Dienstleister personenbezogene Daten verarbeitet. Inhalt und kostenlose Vorlage.

summarize Kernaussagen

check_circle Ein Auftragsverarbeitungsvertrag ist Pflicht, sobald Sie personenbezogene Daten von einem Dritten verarbeiten lassen
check_circle Der Vertrag muss mindestens 8 Themen abdecken, darunter Sicherheitsmaßnahmen und Unterauftragnehmer
check_circle Ohne Auftragsverarbeitungsvertrag riskieren Sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (auch Data Processing Agreement oder DPA genannt) ist ein Vertrag, der nach der DSGVO erforderlich ist, wenn eine Organisation personenbezogene Daten von einer anderen Partei verarbeiten lässt. Dieser Vertrag regelt die Verantwortlichkeiten und Pflichten beider Parteien.

Wann benötigen Sie einen Auftragsverarbeitungsvertrag?

Sie benötigen einen Auftragsverarbeitungsvertrag, wenn Sie personenbezogene Daten mit einem externen Dienstleister teilen, der diese Daten in Ihrem Auftrag verarbeitet. Beispiele:

Ihr Steuerberater, der Zugang zu Mitarbeiterdaten hat
Ein E-Mail-Marketing-Tool wie Mailchimp oder ActiveCampaign
Ihr Cloud-Speicherdienst (Google Workspace, Microsoft 365)
Ein externer Lohnbuchhaltungsdienstleister

Was muss er enthalten?

Die DSGVO (Artikel 28) schreibt vor, dass ein Auftragsverarbeitungsvertrag mindestens folgende Themen abdecken muss:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und Kategorien betroffener Personen
Sicherheitsmaßnahmen
Einsatz von Unterauftragsverarbeitern
Unterstützung bei Anfragen betroffener Personen
Meldepflichten bei Datenschutzverletzungen
Löschung oder Rückgabe der Daten nach Vertragsende

Was passiert ohne Auftragsverarbeitungsvertrag?

Ohne Auftragsverarbeitungsvertrag verstoßen Sie gegen die DSGVO. Die Aufsichtsbehörde kann Bußgelder von bis zu 10 Millionen Euro oder 2 % Ihres Jahresumsatzes verhängen, je nachdem welcher Betrag höher ist.

GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.