Startseite
BeLogical
dsgvo-datenschutz

Auftragsverarbeitung im SaaS: Wann ein AVV Pflicht ist

Checkliste für SaaS Anbieter: Wann ein AVV noetig ist und was drinstehen muss.

Tobias Lehmann
Autor
Tobias Lehmann - Consultant DSGVO

übersetzt Compliance-Anforderungen in Code und Prozesse. Statt Paragraphen zu zitieren, zeigt er, was im Alltag wirklich funktioniert.

Key Takeaways
Passendes Produkt
CrmLogical Logo CrmLogical SecureLogical Logo SecureLogical

Passendes Produkt fuer dieses Thema: CrmLogical

Inhalt

Management Summary: ## Einführung Der Auftragsverarbeitungsvertrag (AVV) ist eines der wichtigsten Instrumente der DSGVO im B2B-SaaS-Kontext. Viele Unternehmen sind sich jedoch unsicher, wann ein AVV tatsächlich erforderlich ist und welche Inhalte er enthalten muss. Dieser Artikel klärt die wichtigsten Fragen zur Auftragsverarbeitung im SaaS und erklärt, wann ein AVV gesetzlich zwingend vorgeschrieben

Einführung

Der Auftragsverarbeitungsvertrag (AVV) ist eines der wichtigsten Instrumente der DSGVO im B2B-SaaS-Kontext. Viele Unternehmen sind sich jedoch unsicher, wann ein AVV tatsächlich erforderlich ist und welche Inhalte er enthalten muss. Dieser Artikel klärt die wichtigsten Fragen zur Auftragsverarbeitung im SaaS und erklärt, wann ein AVV gesetzlich zwingend vorgeschrieben ist.

Dieser Artikel ist ein Supporting-Artikel zum PILLAR-Artikel “DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung”, der die grundlegenden Aspekte der DSGVO im B2B-Kontext ausführlich behandelt. Für einen rechtlichen Überblick verweisen wir auf unsere Legal Overview.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person (Auftragsverarbeiter) personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8, Art. 28 DSGVO).

Die drei entscheidenden Kriterien für Auftragsverarbeitung sind:

Weisungsbindung: Der Auftragsverarbeiter handelt nach Weisung des Verantwortlichen und hat keine eigene Entscheidungsbefugnis über Zweck und Mittel der Verarbeitung

  • Personenbezogene Daten: Es werden personenbezogene Daten verarbeitet (nicht reine Unternehmensdaten)

Wichtig: Auftragsverarbeitung ist nicht dasselbe wie eine Dienstleistung. Nicht jede Dienstleistung, die mit Daten zu tun hat, ist automatisch Auftragsverarbeitung. Entscheidend ist, ob der Dienstleister die Daten im Auftrag des Kunden verarbeitet oder für eigene Zwecke nutzt.

Wann ist ein SaaS-Anbieter Auftragsverarbeiter?

Im SaaS-Kontext ist der SaaS-Anbieter typischerweise Auftragsverarbeiter, wenn er personenbezogene Daten im Auftrag des Kunden (Verantwortlichen) verarbeitet. Dies ist in den meisten Fällen gegeben:

Typische SaaS-Szenarien

Die folgenden Szenarien sind klassische Auftragsverarbeitung:

Security-Monitoring: Ein Security-System wie SecureLogical verarbeitet Log-Daten im Auftrag des Kunden. Der Kunde entscheidet, welche Logs erfasst werden sollen. Der SaaS-Anbieter verarbeitet die Daten nach diesen Weisungen.

Cloud-Speicher: Ein Cloud-Speicher-Dienst speichert Dateien im Auftrag des Kunden. Der Kunde entscheidet, welche Dateien gespeichert werden. Der SaaS-Anbieter speichert die Dateien nach diesen Weisungen.

Abgrenzung: Wann ist ein SaaS-Anbieter kein Auftragsverarbeiter?

Ein SaaS-Anbieter ist kein Auftragsverarbeiter, wenn er die Daten für eigene Zwecke nutzt:

Eigene Entscheidungsbefugnis: Der SaaS-Anbieter entscheidet selbst über Zweck und Mittel der Verarbeitung

  • Gemeinsame Verantwortlichkeit: Kunde und SaaS-Anbieter entscheiden gemeinsam über Zweck und Mittel (dann liegt gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor, nicht Auftragsverarbeitung)

Beispiel: Ein Analytics-Tool, das Website-Daten für eigene Zwecke analysiert und die Ergebnisse an Dritte verkauft, ist kein Auftragsverarbeiter, sondern Verantwortlicher oder gemeinsam Verantwortlicher.

Praktische Prüfung

Um zu prüfen, ob ein SaaS-Anbieter Auftragsverarbeiter ist, sollten Sie folgende Fragen stellen:

Wer hat die Kontrolle über die Daten? (Kunde = Verantwortlicher, SaaS-Anbieter = Auftragsverarbeiter)

Wer nutzt die Daten für eigene Zwecke? (Wenn SaaS-Anbieter = kein Auftragsverarbeiter)

Wann ist ein AVV gesetzlich zwingend?

Ein AVV ist nach Art. 28 Abs. 3 DSGVO gesetzlich zwingend vorgeschrieben, wenn:

Personenbezogene Daten verarbeitet werden

  • Der Auftragsverarbeiter eine natürliche oder juristische Person ist

Wichtig: Ein AVV muss vor Beginn der Datenverarbeitung geschlossen werden. Eine nachträgliche Vereinbarung ist rechtlich problematisch und kann zu Bußgeldern führen.

Kein AVV erforderlich: Ein AVV ist nicht erforderlich, wenn:

Keine Auftragsverarbeitung vorliegt (z.B. gemeinsame Verantwortlichkeit)

  • Der Dienstleister eine Behörde ist (dann gelten andere Regelungen)

Typische Inhalte eines AVV

Ein AVV muss nach Art. 28 Abs. 3 DSGVO mindestens folgende Inhalte enthalten:

Gegenstand und Dauer der Verarbeitung

Der AVV muss klar definieren:

Zu welchem Zweck werden die Daten verarbeitet? (Verarbeitungszweck)

Welche Verarbeitungstätigkeiten werden durchgeführt? (Speicherung, Löschung, Übermittlung, etc.)

Art der personenbezogenen Daten und Kategorien betroffener Personen

Der AVV muss beschreiben:

Welche Kategorien betroffener Personen sind betroffen? (z.B. Kunden, Mitarbeiter, Interessenten)

  • Gibt es besonders schützenswerte Daten? (z.B. Gesundheitsdaten nach Art. 9 DSGVO)

Weisungsbindung

Der AVV muss klarstellen, dass der Auftragsverarbeiter:

Keine eigenen Entscheidungen über Zweck und Mittel der Verarbeitung trifft

  • Bei gesetzlichen Verpflichtungen den Verantwortlichen informiert

Vertraulichkeit

Der AVV muss sicherstellen, dass:

Eine angemessene gesetzliche Verschwiegenheitspflicht besteht

  • Die Vertraulichkeit auch nach Beendigung des Vertragsverhältnisses fortbesteht

Technische und organisatorische Maßnahmen (TOM)

Der AVV muss die technischen und organisatorischen Maßnahmen beschreiben, die der Auftragsverarbeiter umsetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Typische TOM umfassen:

Zugriffskontrolle (Rollen, Berechtigungen, Multi-Faktor-Authentifizierung)

Monitoring und Logging

Regelmäßige Sicherheitsprüfungen

Unterstützung bei Betroffenenrechten

Der AVV muss regeln, wie der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von Betroffenenrechten unterstützt (Art. 15-22 DSGVO):

Berichtigung (Art. 16 DSGVO)

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Widerspruch (Art. 21 DSGVO)

Datenpannen

Der AVV muss regeln:

Informationspflichten bei Datenpannen

Zusammenarbeit bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO)

Löschung und Rückgabe von Daten

Der AVV muss regeln, was nach Beendigung des Vertragsverhältnisses mit den Daten passiert:

Rückgabe der Daten auf Wunsch des Verantwortlichen

Nachweis der Löschung

Sub-Auftragsverarbeiter

Viele SaaS-Anbieter setzen Sub-Auftragsverarbeiter ein (z.B. Hosting-Provider, CDN, E-Mail-Dienstleister). Die Regelungen zu Sub-Auftragsverarbeitern sind in Art. 28 Abs. 2, 4 DSGVO festgelegt.

Zulässigkeit von Sub-Auftragsverarbeitern

Ein Auftragsverarbeiter darf Sub-Auftragsverarbeiter nur mit ausdrücklicher schriftlicher Genehmigung des Verantwortlichen einsetzen. Die Genehmigung kann:

Einzelfallbezogen erteilt werden (z.B. für einen spezifischen Sub-Auftragsverarbeiter)

  • Im AVV geregelt werden (z.B. Liste zulässiger Sub-Auftragsverarbeiter)

Pflichten bei Sub-Auftragsverarbeitern

Der Auftragsverarbeiter muss sicherstellen, dass:

Ein AVV zwischen Auftragsverarbeiter und Sub-Auftragsverarbeiter geschlossen wird

Der Verantwortliche aus wichtigem datenschutzrechtlichem Grund widersprechen kann

Typische Sub-Auftragsverarbeiter im SaaS

Typische Sub-Auftragsverarbeiter im SaaS-Kontext sind:

CDN-Anbieter: Content Delivery Networks für schnelle Datenübertragung

Backup-Dienstleister: Externe Backup-Lösungen

Support-Dienstleister: Externe Support-Teams mit Zugriff auf Kundendaten

Wichtig: Alle Sub-Auftragsverarbeiter müssen im AVV aufgeführt werden, und der Verantwortliche muss über Änderungen informiert werden.

Audit- und Kontrollrechte

Der Verantwortliche hat nach Art. 28 Abs. 3 lit. h DSGVO das Recht, die Einhaltung der DSGVO durch den Auftragsverarbeiter zu prüfen. Dies umfasst:

Audit-Rechte

Der Verantwortliche kann:

Dokumentationen anfordern (TOM-Listen, Verzeichnis der Verarbeitungstätigkeiten)

Fragen zur Datenverarbeitung stellen

Praktische Umsetzung: Audits erfolgen typischerweise:

Nach vorheriger Ankündigung (z.B. 5 Werktage Vorlauf)

Häufig: 1x pro Jahr

Kontrollrechte

Der Verantwortliche kann:

Die Einhaltung der Weisungen kontrollieren

Die Einhaltung der Regelungen zu Sub-Auftragsverarbeitern kontrollieren

Nachweispflichten

Der Auftragsverarbeiter muss:

Dokumentationen bereitstellen (TOM-Listen, Verzeichnis der Verarbeitungstätigkeiten)

Auskunft über Sub-Auftragsverarbeiter geben

Praktische Umsetzung

Für die praktische Umsetzung eines AVV sollten Sie folgende Schritte beachten:

Schritt 1: Prüfung der Auftragsverarbeitung

Prüfen Sie, ob tatsächlich Auftragsverarbeitung vorliegt:

Werden personenbezogene Daten verarbeitet?

  • Verarbeitet der SaaS-Anbieter die Daten im Auftrag des Kunden?

Schritt 2: AVV vor Vertragsbeginn

Schließen Sie den AVV vor Beginn der Datenverarbeitung:

Als Anlage zu den AGB oder zum SLA

  • Als Online-Akzeptanz im Rahmen der Registrierung

Schritt 3: Vollständigkeit prüfen

Stellen Sie sicher, dass der AVV alle in Art. 28 Abs. 3 DSGVO geforderten Punkte enthält:

Art und Zweck der Verarbeitung

Kategorien betroffener Personen

Vertraulichkeit

Unterstützung bei Betroffenenrechten

Löschung und Rückgabe

Audit-Rechte

Schritt 4: Dokumentation

Dokumentieren Sie:

Die Inhalte des AVV

Sub-Auftragsverarbeiter

Fazit: Auftragsverarbeitung im SaaS: Wann ein AVV Pflicht ist

Dieser Artikel beleuchtet die Facetten von Auftragsverarbeitung im SaaS: Wann ein AVV Pflicht ist. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

DSGVO & Datenschutz

Compliance-Sicherheit für Ihr B2B-SaaS?

Wir helfen Ihnen, Datenschutz & Governance pragmatisch und auditfest umzusetzen.

Beratung anfragen