Datenschutz

Wie prüfe ich Auftrags-Verarbeiter (AV) DSGVO-konform?

Zuletzt aktualisiert:

Was Auftragsverarbeitung ist

Wenn ein Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Hosting, Mail, CRM, HR-Tool, KI-Service). Verantwortlicher bleibt rechtlich verantwortlich - auch für Fehler des AV.

Prüf-Punkt 1: AV-Vertrag (Art. 28)

  • Pflichtbestandteile: Gegenstand, Zweck, Dauer, Datenarten, Pflichten beider Parteien.

  • Weisungsrecht des Verantwortlichen.

  • Vertraulichkeit der Mitarbeitenden des AV.

  • Meldepflicht bei Datenpannen in unter 72 h.

  • Unterstützungspflicht bei Betroffenenrechten.

  • Recht auf Audit + Inspektion.

Prüf-Punkt 2: TOMs (Art. 32)

  • Verschlüsselung im Transport + at-Rest.

  • Zugriffskontrollen: Rollen, MFA, Logs.

  • Datenintegritaet + Verfügbarkeit (Backups, Disaster-Recovery).

  • ISO 27001 / SOC 2 Type II Zertifikate sind starkes Indiz.

  • TOM-Dokument anfordern + ablegen.

Prüf-Punkt 3: Subdienstleister

  • Liste aller Sub-Auftragsverarbeiter (Cloud-Anbieter, Mail-Versand, Backup-Speicher).

  • Aenderungs-Mitteilung mit Widerspruchsrecht.

  • Subdienstleister haben gleichwertige Schutzmassnahmen.

  • Vor jeder Änderung mit Datenschutz-Team prüfen.

Prüf-Punkt 4: Drittlands-Transfer

  • EU/EWR: kein Transfer-Problem.

  • Angemessenheits-Beschluss-Länder (z. B. UK, CH, JP, Korea, EU-US-Data-Privacy-Framework): zulaessig.

  • Andere Drittländer (z. B. Indien, Brasilien, China): Standard-Vertragsklauseln (SCC) + Transfer-Impact-Assessment (TIA) nötig.

  • USA ohne Privacy-Framework-Zertifizierung: SCC + TIA + ggf. zusätzliche Massnahmen (Verschlüsselung beim Verantwortlichen).

Prüf-Punkt 5: Löschkonzept

  • Klare Löschfristen pro Datenart.

  • Lösch- oder Rückgabe-Vereinbarung bei Vertragsende.

  • Bestätigung des AV bei Löschung.

  • Backup-Löschung mit Frist abdecken.

Sonderfall KI-Anbieter (OpenAI, Anthropic, Microsoft Copilot)

  • AV-Vertrag mit Ausschluss von Training auf Kunden-Daten.

  • DSFA durchführen wegen Hoch-Risiko (Art. 35).

  • Risiko-Analyse: was, wenn KI-Anbieter gehackt wird?

  • Mitarbeitende-Schulung: was darf ins Modell, was nicht.

Anti-Patterns

  • Tool live + erst dann AV-Vertrag - illegale Datenverarbeitung.

  • TOMs nicht eingeholt - Pflicht-Prüfung verletzt.

  • Drittlands-Transfer ignoriert - Bussgeld-Risiko.

  • Löschkonzept fehlt - DSGVO-Verstoss.

  • Sub-Auftragsverarbeiter unbekannt - Aufsichts-Verlust.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.