Zum Inhalt springen
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Luis Soto Navarro
Von · Gründungspartner
Veröffentlicht am
DPA y RGPD: contrato de encargado de tratamiento para startups

DPA & DSGVO: Was ist ein Auftragsverarbeitungsvertrag und wann braucht Ihr Startup einen?

Sie nutzen HubSpot, Brevo, Stripe, Google Workspace und weitere Tools. Alle verarbeiten personenbezogene Daten Ihrer Kunden oder Mitarbeiter. Haben Sie mit jedem dieser Anbieter einen Vertrag unterzeichnet? Falls nicht, verstoßen Sie seit Tag eins gegen die DSGVO. Dieser Artikel erklärt, was ein Auftragsverarbeitungsvertrag (AVV/DPA) ist, wann Sie einen benötigen, was er enthalten muss und welche Fehler Startups am häufigsten machen.

Zusammenfassung

  • Jeder externe Anbieter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeiter. Mit ihm benötigen Sie einen AVV — Pflicht nach Art. 28 DSGVO.
  • Die meisten SaaS-Tools bieten ihren eigenen AVV an — aber Sie müssen ihn aktivieren oder unterzeichnen und auf Konformität prüfen.
  • US-amerikanische SaaS-Anbieter erfordern zusätzlich: internationale Datenübermittlungen. „Server in Irland" reicht nicht immer aus.
  • Fehlende AVVs können Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes auslösen (Art. 83 Abs. 4 DSGVO).

Wann brauche ich einen AVV? Schnellübersicht

Situation AVV erforderlich?
Web-Hosting (AWS, Google Cloud, Hetzner…) Normalerweise ja
CRM mit Kundendaten (HubSpot, Salesforce…) Ja
E-Mail-Marketing-Plattform (Brevo, Mailchimp…) Ja
Stripe oder anderer Zahlungsdienstleister Abhängig von der Rolle des Anbieters
Google Analytics / Meta Ads Konfiguration und Rolle des Anbieters prüfen
Notar, Bank oder externer Berater mit eigener Entscheidungsfreiheit Normalerweise kein Auftragsverarbeiter

Was ist ein AVV und warum schreibt die DSGVO ihn vor?

Art. 28 DSGVO verpflichtet den Verantwortlichen, mit jedem Auftragsverarbeiter — also jedem externen Dienstleister, der personenbezogene Daten in seinem Auftrag verarbeitet — einen verbindlichen Vertrag abzuschließen: den Auftragsverarbeitungsvertrag (AVV), im Englischen als Data Processing Agreement (DPA) bekannt.

Dieser Vertrag ist keine Formalität. Er stellt sicher, dass Ihr Anbieter die Daten Ihrer Nutzer gemäß Ihren Weisungen — und nicht nach eigenem Ermessen — verarbeitet und die von der DSGVO geforderten Sicherheitsmaßnahmen umsetzt.

Praxisbeispiel: Ihr Startup verwendet Brevo für Onboarding-E-Mails. Brevo greift auf Namen und E-Mail-Adressen Ihrer Nutzer zu. Sie entscheiden, welche Daten wofür verwendet werden: Sie sind der Verantwortliche. Brevo führt die Verarbeitung nach Ihren Weisungen aus: Brevo ist der Auftragsverarbeiter. Ohne unterzeichneten AVV fehlt dieser Beziehung die rechtliche Grundlage nach DSGVO.

Die 8 Pflichtklauseln eines AVV (Art. 28 Abs. 3 DSGVO)

1. Verarbeitung nur auf dokumentierte Weisung — Der Auftragsverarbeiter darf Daten nur zu den von Ihnen festgelegten Zwecken verarbeiten (Art. 28 Abs. 3 lit. a).

2. Vertraulichkeit des Personals — Befugte Personen müssen zur Vertraulichkeit verpflichtet sein (Art. 28 Abs. 3 lit. b).

3. Technische und organisatorische Maßnahmen (Art. 32 DSGVO) — Verschlüsselung, Pseudonymisierung, Belastbarkeit etc. (Art. 28 Abs. 3 lit. c).

4. Unterauftragsverarbeiter nur mit vorheriger Genehmigung — Allgemeine oder spezifische Genehmigung erforderlich (Art. 28 Abs. 3 lit. d und Abs. 4).

5. Unterstützung bei Betroffenenrechten — Auskunft, Löschung, Portabilität (Art. 28 Abs. 3 lit. e).

6. Unterstützung bei Sicherheitspflichten — Datenschutzverletzungen, DSFAs (Art. 28 Abs. 3 lit. f).

7. Rückgabe oder Löschung bei Vertragsende — Art. 28 Abs. 3 lit. g.

8. Kontrollrechte — Audits oder anerkannte Zertifizierungen (ISO 27001, SOC 2) als gleichwertiger Nachweis (Art. 28 Abs. 3 lit. h).

Internationale Datenübermittlungen: das Risiko US-amerikanischer SaaS-Anbieter

Die meisten bei Startups beliebten SaaS-Tools sind US-Unternehmen: Google, Microsoft, Slack, Notion, Stripe, HubSpot, Zoom, AWS. Wenn Daten Ihrer europäischen Nutzer in die USA übermittelt werden oder von dort abrufbar sind, handelt es sich um eine internationale Datenübermittlung gemäß Art. 44–49 DSGVO. Nicht jede Übermittlung erfordert automatisch SCCs — prüfen Sie in dieser Reihenfolge:

  1. Angemessenheitsbeschluss prüfen (Art. 45 DSGVO): Für Länder wie die Schweiz, Japan, Kanada oder das Vereinigte Königreich bestehen Angemessenheitsbeschlüsse. Für die USA gibt es keinen allgemeinen Angemessenheitsbeschluss.
  2. EU-US Data Privacy Framework (DPF) — Beschluss (EU) 2023/1795: Ist der US-Anbieter DPF-zertifiziert, sind Übermittlungen ohne zusätzliche SCCs zulässig. Achtung: Die Gültigkeit des DPF steht unter politischem und rechtlichem Druck.
  3. Standardvertragsklauseln (SCC) — Beschluss (EU) 2021/914: Wenn die vorangehenden Instrumente nicht greifen, sind SCCs das häufigste Mittel. Sie erfordern ein Transfer Impact Assessment (TIA).

Häufig gestellte Fragen zum AVV

Brauche ich einen AVV, wenn ich nur 10 Kunden habe?

Ja. Die DSGVO sieht keine Mengenschwellen für die Pflicht aus Art. 28 vor. Sobald ein Dritter personenbezogene Daten in Ihrem Auftrag verarbeitet — auch für eine Handvoll Nutzer — benötigen Sie einen AVV. Kleinststunternehmen haben einige Ausnahmen (z.B. Art. 30 Abs. 5 DSGVO beim Verzeichnis der Verarbeitungstätigkeiten), aber nicht bei der AVV-Pflicht.

Kann ich den Standard-AVV des Anbieters verwenden?

Bei großen SaaS-Anbietern (Google, Microsoft, HubSpot, Stripe) ist der Standard-AVV rechtlich gültig und praktisch nicht verhandelbar. Bei kleineren Anbietern oder besonders sensiblen Verarbeitungen (Gesundheitsdaten, Finanzdaten, Kinderdaten) empfiehlt sich ein maßgeschneiderter AVV.

Was passiert, wenn ein Anbieter keinen AVV abschließen möchte?

Dann sollten Sie diesen Anbieter nicht für die Verarbeitung personenbezogener Daten Ihrer Nutzer verwenden. Die Nutzung ohne AVV ist ein Verstoß gegen Art. 28 DSGVO, für den Sie als Verantwortlicher haften.

Was ist der Unterschied zwischen AVV und SCC?

Der AVV regelt die Verantwortlicher-Auftragsverarbeiter-Beziehung innerhalb der EU (Art. 28 DSGVO). Die SCCs sind das Instrument zur Legalisierung der internationalen Übermittlung an Länder ohne Angemessenheitsbeschluss (Art. 46 Abs. 2 lit. c DSGVO). Viele AVVs mit US-Anbietern integrieren beides.

Wie oft sollte ich meine AVVs überprüfen?

Mindestens jährlich sowie immer dann, wenn Sie einen neuen Anbieter hinzufügen, ein Anbieter seine Bedingungen oder Unterauftragsverarbeiter-Liste ändert, sich die Rechtslage ändert oder Sie neue Datenkategorien oder Verarbeitungszwecke einführen.