FAQ Datenschutz FAQ

News · Auftragsverarbeitung

AV-Verträge sind kein Ablageprojekt

Der Vertrag ist nur ein Teil. Unternehmen müssen wissen, welche Dienstleister Daten verarbeiten, wofür sie eingesetzt werden und ob technische Maßnahmen plausibel sind.

Aktualisiert
1. Mai 2026
Quelle
Art. 28 DSGVO

Einordnung

Auftragsverarbeitung wird oft als reine Vertragsablage verstanden. Tatsächlich geht es um Auswahl, Weisung, Kontrolle, Unterauftragnehmer, technische Maßnahmen und Löschung nach Ende der Leistung.

Typischer Fehler

Neue SaaS-Tools werden eingeführt, bevor Einkauf, IT oder Datenschutz den Anbieter geprüft haben. Später fehlen AV-Vertrag, TOM, Speicherort oder eine saubere Beschreibung im Verzeichnis.

Nächster Schritt

Ein Dienstleisterregister mit Risiko-Kennzeichnung ist meist wirksamer als eine lose Vertragssammlung. Daraus ergeben sich klare Prüfintervalle und Nachforderungen.

Prüfliste

  • alle datenverarbeitenden Dienstleister erfassen
  • AV-Verträge und TOM abgleichen
  • Unterauftragnehmer und Speicherorte prüfen
  • Verantwortliche für neue Tools festlegen

Weitere Einordnung

Verwandte Datenschutzfragen

72-Stunden-Frist

Wann muss eine Datenschutzpanne gemeldet werden?

Bei einem Risiko für Rechte und Freiheiten betroffener Personen muss eine Meldung an die Aufsichtsbehörde grundsätzlich binnen 72 Stunden geprüft und vorbereitet werden.