Wie prüfe ich Auftrags-Verarbeiter (AV) DSGVO-konform?
Was Auftragsverarbeitung ist
Wenn ein Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Hosting, Mail, CRM, HR-Tool, KI-Service). Verantwortlicher bleibt rechtlich verantwortlich - auch für Fehler des AV.
Prüf-Punkt 1: AV-Vertrag (Art. 28)
Pflichtbestandteile: Gegenstand, Zweck, Dauer, Datenarten, Pflichten beider Parteien.
Weisungsrecht des Verantwortlichen.
Vertraulichkeit der Mitarbeitenden des AV.
Meldepflicht bei Datenpannen in unter 72 h.
Unterstützungspflicht bei Betroffenenrechten.
Recht auf Audit + Inspektion.
Prüf-Punkt 2: TOMs (Art. 32)
Verschlüsselung im Transport + at-Rest.
Zugriffskontrollen: Rollen, MFA, Logs.
Datenintegritaet + Verfügbarkeit (Backups, Disaster-Recovery).
ISO 27001 / SOC 2 Type II Zertifikate sind starkes Indiz.
TOM-Dokument anfordern + ablegen.
Prüf-Punkt 3: Subdienstleister
Liste aller Sub-Auftragsverarbeiter (Cloud-Anbieter, Mail-Versand, Backup-Speicher).
Aenderungs-Mitteilung mit Widerspruchsrecht.
Subdienstleister haben gleichwertige Schutzmassnahmen.
Vor jeder Änderung mit Datenschutz-Team prüfen.
Prüf-Punkt 4: Drittlands-Transfer
EU/EWR: kein Transfer-Problem.
Angemessenheits-Beschluss-Länder (z. B. UK, CH, JP, Korea, EU-US-Data-Privacy-Framework): zulaessig.
Andere Drittländer (z. B. Indien, Brasilien, China): Standard-Vertragsklauseln (SCC) + Transfer-Impact-Assessment (TIA) nötig.
USA ohne Privacy-Framework-Zertifizierung: SCC + TIA + ggf. zusätzliche Massnahmen (Verschlüsselung beim Verantwortlichen).
Prüf-Punkt 5: Löschkonzept
Klare Löschfristen pro Datenart.
Lösch- oder Rückgabe-Vereinbarung bei Vertragsende.
Bestätigung des AV bei Löschung.
Backup-Löschung mit Frist abdecken.
Sonderfall KI-Anbieter (OpenAI, Anthropic, Microsoft Copilot)
AV-Vertrag mit Ausschluss von Training auf Kunden-Daten.
DSFA durchführen wegen Hoch-Risiko (Art. 35).
Risiko-Analyse: was, wenn KI-Anbieter gehackt wird?
Mitarbeitende-Schulung: was darf ins Modell, was nicht.
Anti-Patterns
Tool live + erst dann AV-Vertrag - illegale Datenverarbeitung.
TOMs nicht eingeholt - Pflicht-Prüfung verletzt.
Drittlands-Transfer ignoriert - Bussgeld-Risiko.
Löschkonzept fehlt - DSGVO-Verstoss.
Sub-Auftragsverarbeiter unbekannt - Aufsichts-Verlust.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))