--- title: DSGVO Art. 28 – Auftragsverarbeitungs-Vertrag (AVV) slug: auftragsverarbeitung-art-28 topic: datenschutz valid_from: 2018-05-25 valid_to: null last_reviewed: 2026-05-28 status: aktuell authority_level: A license: CC-BY-4.0 url: https://nexvyra.de/fakten/auftragsverarbeitung-art-28.md wikidata_subjects: [Q1172506, Q3933473] factcheck_status: ok --- # DSGVO Art. 28 – Auftragsverarbeitungs-Vertrag (AVV) ## Kurzantwort Wenn ein Verantwortlicher personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt, muss nach Art. 28 Abs. 3 DSGVO ein **schriftlicher oder elektronischer Vertrag** (Auftragsverarbeitungs-Vertrag, AVV) geschlossen werden. Der Vertrag bindet den Auftragsverarbeiter an die Weisungen des Verantwortlichen und legt **Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen** verbindlich fest. Zusätzlich enthält Art. 28 Abs. 3 lit. a–h DSGVO **acht Pflichtinhalte** (von Weisungsbindung über Vertraulichkeit, Sicherheitsmaßnahmen nach Art. 32, Subunternehmer-Regelung, Unterstützungspflichten bis zu Rückgabe/Löschung und Nachweisführung). Verstöße gegen Art. 28 sind nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von **bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes** bewehrt. ## Kernfakten | Punkt | Wert | |---|---| | Rechtsgrundlage | Verordnung (EU) 2016/679, Artikel 28 | | Pflicht zum Vertragsabschluss | Art. 28 Abs. 3 Satz 1 DSGVO | | Form | schriftlich oder in einem elektronischen Format (Art. 28 Abs. 9) | | Auftragsverarbeiter (Legaldefinition) | Art. 4 Nr. 8 DSGVO – natürliche oder juristische Person, die Daten im Auftrag verarbeitet | | Garantienpflicht des Auftragsverarbeiters | Art. 28 Abs. 1 – nur Auftragsverarbeiter mit hinreichenden Garantien für DSGVO-Konformität | | Pflichtinhalte | Art. 28 Abs. 3 lit. a–h DSGVO (acht Buchstaben) | | Mindest-Festlegungen (Art. 28 Abs. 3 S. 1) | Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien Betroffener, Rechte und Pflichten des Verantwortlichen | | Subunternehmer (Art. 28 Abs. 2 und Abs. 4) | nur mit vorheriger, gesonderter oder allgemeiner schriftlicher Genehmigung; gleiche Pflichten weiterzugeben | | Standardvertragsklauseln (Art. 28 Abs. 7 und Abs. 8) | EU-Kommission und Aufsichtsbehörden dürfen Klauseln festlegen | | Bußgeldrahmen (Art. 83 Abs. 4 lit. a) | bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | | Eigenständige Haftung des Auftragsverarbeiters (Art. 82 Abs. 2) | bei Verstoß gegen speziell ihn treffende Pflichten | ## Wann ist ein AVV erforderlich? Eine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO liegt vor, wenn ein externer Dienstleister personenbezogene Daten **weisungsgebunden im Auftrag** des Verantwortlichen verarbeitet, ohne über Zwecke und Mittel der Verarbeitung eigenständig zu entscheiden. Typische Konstellationen sind das Hosting von Webseiten, Cloud-Speicher- und SaaS-Dienste, externe Lohnabrechnung, Newsletter-Versanddienste, externes IT-Hosting, Fernwartung mit Zugriff auf Produktivdaten und externe Aktenvernichtung. Nicht erfasst sind Konstellationen, in denen der externe Dienstleister entweder gemeinsam Verantwortlicher (Art. 26 DSGVO) ist oder die Daten zu eigenen Zwecken nutzt – dann ist die Übermittlung auf eine eigene Rechtsgrundlage zu stützen, ein AVV ist nicht ausreichend. ## Acht Pflichtinhalte nach Art. 28 Abs. 3 lit. a–h Der Vertrag muss den Auftragsverarbeiter insbesondere verpflichten: - **lit. a** – personenbezogene Daten **nur auf dokumentierte Weisung** des Verantwortlichen zu verarbeiten – auch in Bezug auf Drittlandsübermittlungen – außer Rechtsvorschriften der EU oder Mitgliedstaaten verpflichten ihn dazu; - **lit. b** – sicherzustellen, dass die zur Verarbeitung befugten Personen **zur Vertraulichkeit verpflichtet** sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; - **lit. c** – alle gemäß **Art. 32 DSGVO** erforderlichen **technischen und organisatorischen Maßnahmen** (TOM) zu ergreifen; - **lit. d** – die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die **Inanspruchnahme von Subunternehmern** einzuhalten; - **lit. e** – den Verantwortlichen, soweit möglich, durch geeignete TOM dabei zu **unterstützen, seinen Pflichten zur Beantwortung von Betroffenenrechten** (Art. 12–22 DSGVO) nachzukommen; - **lit. f** – den Verantwortlichen bei der **Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO** zu unterstützen (Sicherheit der Verarbeitung, Meldung von Datenpannen, Folgenabschätzung, vorherige Konsultation); - **lit. g** – nach Abschluss der Verarbeitung alle personenbezogenen Daten **nach Wahl des Verantwortlichen zu löschen oder zurückzugeben**, sofern keine Aufbewahrungspflicht besteht; - **lit. h** – dem Verantwortlichen **alle erforderlichen Informationen zum Nachweis der Einhaltung** der Pflichten aus Art. 28 bereitzustellen sowie Überprüfungen (Audits/Inspektionen) zu ermöglichen und dazu beizutragen. Nach Art. 28 Abs. 3 Unterabs. 2 DSGVO ist der Auftragsverarbeiter zudem verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er eine Weisung für rechtswidrig hält. ## Mindest-Festlegungen im Vertrag (Art. 28 Abs. 3 Satz 1) Neben den acht Buchstaben muss der Vertrag den **Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen** festlegen. Diese Punkte sind nicht in einer eigenen Liste in Buchstaben gefasst, sind aber gleichwertige Pflichtinhalte und werden in Mustervorlagen der Aufsichtsbehörden in einem separaten Anhang dargestellt. ## Subunternehmer (Sub-Auftragsverarbeiter) Nach Art. 28 Abs. 2 DSGVO darf der Auftragsverarbeiter weitere Auftragsverarbeiter (Subunternehmer) **nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung** des Verantwortlichen einsetzen. Bei einer allgemeinen Genehmigung muss er den Verantwortlichen über beabsichtigte Änderungen informieren und ihm Gelegenheit geben, Einspruch zu erheben. Nach Art. 28 Abs. 4 DSGVO sind dem Subunternehmer **dieselben Datenschutzpflichten** vertraglich aufzuerlegen wie sie im Hauptvertrag zwischen Verantwortlichem und Auftragsverarbeiter geregelt sind. Verletzt der Subunternehmer seine Pflichten, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen. ## Form und Standardvertragsklauseln Nach Art. 28 Abs. 9 DSGVO ist der Vertrag **schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann**. Eine eigenhändige Unterschrift ist nicht zwingend; eine elektronische Vertragsabwicklung (z. B. signiertes PDF, Online-Annahme) genügt, wenn die Beweisbarkeit gewahrt bleibt. Nach Art. 28 Abs. 7 und Abs. 8 DSGVO können die EU-Kommission bzw. die nationalen Aufsichtsbehörden **Standardvertragsklauseln** beschließen. Die EU-Kommission hat mit Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 entsprechende Standardvertragsklauseln für die Auftragsverarbeitung innerhalb des EWR veröffentlicht; deren Nutzung ist freiwillig. ## Haftung und Sanktionen Verstöße gegen die Pflichten aus Art. 28 DSGVO sind nach **Art. 83 Abs. 4 lit. a DSGVO** mit Geldbußen von **bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes** bewehrt – je nachdem, welcher Betrag höher ist. Verarbeitet ein Auftragsverarbeiter Daten **entgegen den rechtmäßigen Weisungen** des Verantwortlichen oder bestimmt er Zwecke und Mittel der Verarbeitung selbst, gilt er nach Art. 28 Abs. 10 DSGVO **in Bezug auf diese Verarbeitung als Verantwortlicher** mit den entsprechenden Pflichten und Haftungsrisiken. Im Außenverhältnis haftet nach Art. 82 Abs. 2 DSGVO der Auftragsverarbeiter gegenüber betroffenen Personen nur, soweit er den ihm speziell auferlegten Pflichten der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der Weisungen des Verantwortlichen gehandelt hat. ## Geltungsbereich _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Ausnahmen _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Häufige Fehler _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Beispiel _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Quellen - Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext (EUR-Lex, CELEX:32016R0679): https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679 - BfDI – Mustervereinbarung zur Auftragsverarbeitung, Version 2.1 (PDF): https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Muster_zur_Auftragsverarbeitung.pdf?__blob=publicationFile&v=2 - BfDI – Was ist ein Auftragsverarbeiter? (Flyer Postdienstleister): https://www.bfdi.bund.de/DE/Service/Inhalte/Flyer/Postdienstleister/6-Auftragsverarbeiter.html - Datenschutzkonferenz (DSK) – Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO (PDF): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf - Landesbeauftragte für den Datenschutz Niedersachsen – Auftragsverarbeitung nach Art. 28 DS-GVO: https://www.lfd.niedersachsen.de/startseite/themen/auftragsverarbeitung_nach_art_28_ds_gvo/auftragsverarbeitung-nach-art-28-dsgvo-179673.html - Landesbeauftragte für den Datenschutz Niedersachsen – FAQ zur Auftragsverarbeitung (PDF): https://www.lfd.niedersachsen.de/download/156382/FAQ_zur_Auftragsverarbeitung_nach_Art._28_DS-GVO_PDF_-_nicht_vollstaendig_barrierefrei_.pdf - Landesbeauftragter für den Datenschutz Baden-Württemberg – AVV-Muster (PDF): https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200429_AVV-Muster_DE.pdf ## Änderungsverlauf - 2026-05-28: Erstveröffentlichung der Faktenseite, alle Quellen-URLs gegen amtliche Stellen gegengeprüft, Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects). ## Stand - Stand: 2026-05-28 - Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO) - Status: aktuell - Quellenautorität: A (EUR-Lex, BfDI, DSK, Landesdatenschutzbehörden) - Lizenz: CC BY 4.0