DSGVO Vorlagen IT-Dienstleister: Auftragsverarbeitung + TOM

Veröffentlicht: 17. Mai 2026 · Letzte Aktualisierung: 17. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

IT-Dienstleister sind regelmäßig Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO — Hosting, MSP, SaaS, Cloud-Reseller
AVV nach Art. 28 ist Pflicht bei jeder Verarbeitung personenbezogener Kundendaten — schriftlich oder in elektronischer Form
TOM nach Art. 32 DSGVO dokumentieren: Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit, regelmäßige Tests
Sub-Verarbeiter nur mit vorheriger Genehmigung + Vertragsweitergabe der AV-Pflichten (Art. 28 Abs. 2 + 4)
Drittlandtransfer: EU-US DPF prüfen, sonst SCC + TIA + ggf. zusätzliche Garantien (Schrems II)
Datenpanne: unverzüglich an Verantwortlichen melden (Art. 33 Abs. 2) — keine eigene 72-h-Frist als Verarbeiter

Hauptartikel: AVV-Vorlage Art. 28 DSGVO — der vollständige Pillar-Artikel zum Thema Auftragsverarbeitung.

1. Rolle: Verantwortlicher oder Auftragsverarbeiter?

Die DSGVO unterscheidet zwei zentrale Akteursrollen, an denen sich die gesamte Pflichtenkette ausrichtet:

Verantwortlicher (Art. 4 Nr. 7 DSGVO): entscheidet über Zwecke und Mittel der Verarbeitung. Beim IT-Dienstleister ist das in der Regel der Kunde.
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Das ist der IT-Dienstleister, wenn er Daten für den Kunden verarbeitet, nicht über den Kunden.

Die Abgrenzung ist entscheidend: Ein reiner Software-Verkauf ohne Datenzugriff (z. B. On-Premise-Lizenz, die der Kunde selbst betreibt) ist kein Auftragsverarbeitungsfall. Sobald der Anbieter aber Zugriff auf personenbezogene Daten erhält oder diese in seinen Systemen speichert, wird er regelmäßig zum Auftragsverarbeiter.

2. Typische IT-Dienstleister-Konstellationen

Folgende Geschäftsmodelle sind in der Praxis fast immer auftragsverarbeitungspflichtig:

Webhosting + Server-Hosting — der Kunde lagert Datenbanken, Web-Anwendungen oder Dateien auf der Infrastruktur des Anbieters
Managed Service Provider (MSP) — Remote-Wartung, Patch-Management, Monitoring mit Zugriff auf Kunden-Systeme inkl. Personaldaten
Cloud-Reseller — der IT-Dienstleister vermarktet z. B. Microsoft 365 oder AWS und ist zwischen Hyperscaler und Endkunde geschaltet
SaaS-Anbieter — eigene Plattform, in die der Kunde personenbezogene Daten einspeist (CRM, Projektmanagement, HR-Tools)
IT-Consulting mit Datenzugriff — Datenbank-Migration, ERP-Customizing, Schulungen mit Live-Datenzugriff
Entwicklung mit Kunden-Daten — Test- und Stagingsysteme, in die produktive Kundendaten geladen werden

Reine Sub-Verarbeiterketten (Cloud-Reseller → Hyperscaler) erfordern eine zweistufige Vertragsstruktur: AVV zwischen Kunde und Reseller, plus dokumentierter Sub-AVV zwischen Reseller und Hyperscaler.

3. Auftragsverarbeitungsvertrag (AVV) nach Art. 28

Der AVV ist der zentrale Vertragsbaustein. Art. 28 Abs. 3 DSGVO listet die Pflicht-Inhalte abschließend auf:

Gegenstand und Dauer der Verarbeitung — also das konkrete IT-Produkt (z. B. „Webhosting mit dedizierter VM") und die Laufzeit (i. d. R. an den Hauptvertrag gekoppelt)
Art und Zweck — z. B. „Bereitstellung von E-Mail-Diensten zur geschäftlichen Kommunikation"
Art der personenbezogenen Daten — z. B. Kontaktdaten, Vertragsdaten, ggf. besondere Kategorien nach Art. 9
Kategorien betroffener Personen — Mitarbeiter, Kunden, Lieferanten, ggf. Minderjährige
Rechte und Pflichten des Verantwortlichen
Pflichten des Verarbeiters nach Art. 28 Abs. 3 lit. a–h:
- Verarbeitung nur auf dokumentierter Weisung
- Vertraulichkeitsverpflichtung der Beschäftigten
- TOM nach Art. 32 ergreifen
- Sub-Verarbeiter-Regelung nach Art. 28 Abs. 2/4
- Unterstützung bei Betroffenenrechten (Art. 12–22)
- Unterstützung bei Verantwortlichen-Pflichten (Art. 32–36)
- Datenlöschung/-rückgabe nach Vertragsende
- Nachweisbereitstellung + Duldung von Audits

Der AVV muss schriftlich oder elektronisch geschlossen werden (Art. 28 Abs. 9 DSGVO). Eine reine mündliche Vereinbarung ist unwirksam.

4. Anhänge zum AVV

In der Praxis bewährt sind drei standardisierte Anhänge:

Anhang 1 — Beschreibung der Verarbeitung: tabellarische Auflistung der Datenarten, Betroffenenkategorien, Zwecke, Verarbeitungsorte
Anhang 2 — TOM-Beschreibung: ausführliche Darstellung der technischen und organisatorischen Maßnahmen (siehe Abschnitt 5)
Anhang 3 — Liste der Sub-Verarbeiter: Name, Anschrift, Verarbeitungsort, Aufgabe, Datum der Genehmigung

5. TOM nach Art. 32 DSGVO

Art. 32 verlangt geeignete technische und organisatorische Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Verordnung nennt ausdrücklich:

Pseudonymisierung und Verschlüsselung personenbezogener Daten
Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme
Wiederherstellbarkeit der Verfügbarkeit nach physischen oder technischen Zwischenfällen
Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

In der Praxis hat sich die Strukturierung nach der „8-Kontroll-Systematik" durchgesetzt (analog zu Anlage zu § 9 BDSG-alt, aber inhaltlich weiterhin als Best Practice von Aufsichtsbehörden anerkannt):

Zutrittskontrolle (physischer Zugang zu Rechenzentren, Serverräumen)
Zugangskontrolle (Authentifizierung an Systemen, MFA, Passwortrichtlinie)
Zugriffskontrolle (Berechtigungsmanagement, Need-to-Know, Logging)
Weitergabekontrolle (Verschlüsselung bei Transport, VPN, TLS 1.2+)
Eingabekontrolle (Protokollierung wer wann was eingegeben hat)
Auftragskontrolle (Weisungsbindung, Sub-AV-Management)
Verfügbarkeitskontrolle (Backup, Disaster Recovery, USV, Redundanz)
Trennungskontrolle (Mandantentrennung, getrennte Test-/Produktiv-Umgebungen)

Die TOM-Beschreibung sollte spezifisch genug sein, dass ein Aufseher die Wirksamkeit nachvollziehen kann — generische Floskeln wie „Daten werden geschützt" reichen nicht.

6. Sub-Verarbeiter-Pflicht (Art. 28 Abs. 2 + 4)

Ein Auftragsverarbeiter darf keinen weiteren Verarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen heranziehen (Art. 28 Abs. 2). Zwei Modelle sind zulässig:

Einzelgenehmigung: jeder neue Sub-AV muss explizit freigegeben werden — praxisuntauglich bei größeren Anbietern
Allgemeine Genehmigung: der Verantwortliche stimmt einer Liste aktueller Sub-AV zu; bei Änderungen muss der Verarbeiter rechtzeitig informieren und ein Einspruchsrecht einräumen

Wichtig: Der Hauptverarbeiter muss dem Sub-Verarbeiter dieselben Datenschutzpflichten auferlegen wie im eigenen AVV (Art. 28 Abs. 4 — „back-to-back"-Klausel). Bei Pflichtverletzung des Sub-AV haftet der Hauptverarbeiter wie für eigenes Verschulden.

7. Drittlandtransfer (Kapitel V DSGVO)

Sobald personenbezogene Daten in ein Drittland übermittelt werden — was bei US-Hyperscalern fast immer der Fall ist —, gilt zusätzlich Kapitel V DSGVO. Zulässige Übermittlungsgrundlagen:

Angemessenheitsbeschluss (Art. 45) — für die USA aktuell das EU-US Data Privacy Framework (DPF), in Kraft seit 10.07.2023. Übermittlungen an DPF-zertifizierte US-Empfänger sind zulässig wie EU-interne
Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c) — neue Module der EU-Kommission von Juni 2021, vier Module je nach Konstellation (C2C, C2P, P2P, P2C)
Binding Corporate Rules (BCRs) — konzerninterne Regelwerke für multinationale Gruppen

Nach EuGH C-311/18 („Schrems II") sind SCCs allein nicht ausreichend, wenn das Drittlandsrecht den Schutz untergräbt (Stichwort: US-Überwachungsgesetze FISA 702, EO 12333). Erforderlich ist ein Transfer Impact Assessment (TIA) mit ggf. zusätzlichen technischen Garantien (z. B. Ende-zu-Ende-Verschlüsselung mit kundenseitiger Schlüsselverwaltung).

8. Datenpannenmeldung (Art. 33 + 34)

Die Rollenverteilung bei Datenschutzverletzungen ist klar geregelt:

Der Verantwortliche meldet binnen 72 Stunden an die Aufsichtsbehörde (Art. 33 Abs. 1) und benachrichtigt ggf. Betroffene (Art. 34)
Der Auftragsverarbeiter meldet unverzüglich nach Kenntnis an den Verantwortlichen (Art. 33 Abs. 2) — es gibt keine eigene Frist gegenüber der Behörde

„Unverzüglich" bedeutet in der EDPB-Auslegung: ohne schuldhaftes Zögern, in der Regel innerhalb von 24 Stunden, um dem Verantwortlichen ausreichend Zeit für die eigene 72-h-Meldung zu lassen. Praxis-Empfehlung: vertragliche Festlegung auf 24 oder 48 Stunden mit definiertem Meldeweg (Notfall-E-Mail-Adresse, Telefon-Hotline, dokumentiertes Eskalationsprotokoll).

9. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 2)

Während Art. 30 Abs. 1 das Verzeichnis des Verantwortlichen regelt, verpflichtet Abs. 2 jeden Auftragsverarbeiter zu einem eigenen Verzeichnis. Pflicht-Inhalte:

Name + Kontaktdaten des Verarbeiters, ggf. des Vertreters in der Union, des DSB
Name + Kontaktdaten jedes Verantwortlichen, für den verarbeitet wird
Kategorien der Verarbeitungen im Auftrag jedes Verantwortlichen
Ggf. Drittlandübermittlungen mit Dokumentation der Garantien
Allgemeine Beschreibung der TOM nach Art. 32

Die Befreiung nach Art. 30 Abs. 5 (unter 250 Mitarbeitern) greift in der Praxis bei IT-Dienstleistern fast nie, da deren Verarbeitungen nicht nur „gelegentlich" sind.

10. Vorlagen-Übersicht für IT-Dienstleister

Ein praxistaugliches Vorlagen-Set umfasst regelmäßig:

AVV-Mustervertrag (Art. 28) mit Anhängen 1–3
TOM-Beschreibung nach 8-Kontroll-Systematik mit konkretem Stand
Verzeichnis der Verarbeitungstätigkeiten als Verarbeiter (Art. 30 Abs. 2)
Datenpannen-Meldeprozess + Eskalationsmatrix + Meldeformular an Verantwortlichen
Sub-Processor-Notifikationsvorlage mit Einspruchsfrist (typisch 30 Tage)
SCC-Modul-Auswahlhilfe + Transfer Impact Assessment-Template
Löschkonzept nach Vertragsende (Rückgabe vs. Vernichtung, Nachweis-Protokoll)
Audit-Checkliste für Kunden-Audits (was wird vorgelegt, was bleibt vertraulich)

Zusammenfassung

Kernpunkte dieses Artikels:

IT-Dienstleister sind das Lehrbuch-Beispiel für die Auftragsverarbeiter-Rolle nach Art. 28 DSGVO — der AVV, die TOM-Beschreibung, die Sub-Verarbeiter-Liste und das Datenpannen-Verfahren sind die vier Dokumente, die Aufsichten und Kunden zuerst anfordern.
Einmal sauber mit korrekter Anhang-Struktur aufgebaut, decken die Vorlagen die gesamte Kundenbasis ab — statt jeden Vertrag von Grund auf neu zu verhandeln.
TOM-Beschreibung nach Art. 32 DSGVO muss konkret sein: Verschlüsselung, Zugriffskonzept, Backup-Strategie, Logging — keine generischen Floskeln.
Sub-Verarbeiter-Genehmigungspflicht (Art. 28 Abs. 2): explizite oder allgemeine Zustimmung mit Widerspruchsrecht — beim Wechsel von Sub-Verarbeitern mindestens 30 Tage Vorlauf.

Drittlandstransfer nach Kapitel V DSGVO erfordert SCC, TIA und ggf. ergänzende Maßnahmen — bei US-Sub-Verarbeitern ist DPF-Zertifizierung der schnellste Weg, sofern stabil.

Häufig gestellte Fragen

Brauche ich als IT-Dienstleister immer einen AVV?

Ja, wenn personenbezogene Daten des Kunden in Ihrem Auftrag verarbeitet werden (Hosting, MSP, SaaS mit Kunden-Daten, Wartung mit Datenzugriff). Reine Standard-Software ohne Datenverarbeitung im Kundenauftrag ist kein AVV-Fall.

Muss ich für jeden Sub-Auftragnehmer die Kundenzustimmung einholen?

Ja. Art. 28 Abs. 2 DSGVO verlangt vorherige Genehmigung (allgemein oder einzeln). Bei allgemeiner Genehmigung: Information über jede beabsichtigte Änderung mit Einspruchsrecht.

Welche TOM sind Pflicht?

Art. 32 DSGVO nennt: Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit, regelmäßige Tests. Konkret: Zutritts-/Zugangs-/Zugriffs-/Weitergabe-/Eingabe-/Auftrags-/Verfügbarkeits-/Trennungs-Kontrolle.

Was bei US-Cloud-Anbieter als Sub-Verarbeiter?

EU-US Data Privacy Framework (DPF) prüfen, ansonsten Standardvertragsklauseln + Transfer Impact Assessment. Schrems-II-konforme Zusatzgarantien dokumentieren.

Wie schnell muss ich eine Datenpanne melden?

Als Auftragsverarbeiter unverzüglich nach Kenntnis an den Verantwortlichen (Art. 33 Abs. 2 DSGVO). Der Verantwortliche hat dann 72 Stunden für die Aufsichtsmeldung.

Muss ich als Verarbeiter ein Verarbeitungsverzeichnis führen?

Ja, Art. 30 Abs. 2 DSGVO. Inhalte: Name + Kontakt des Verarbeiters, Verantwortliche, Kategorien der Verarbeitungen, ggf. Drittlandtransfer, Beschreibung der TOM.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 17.05.2026, geltend seit 25.05.2018)
Durchführungsbeschluss (EU) 2021/914 — neue Standardvertragsklauseln (Stand: laufend)
Durchführungsbeschluss (EU) 2023/1795 — EU-US Data Privacy Framework (in Kraft seit 10.07.2023)
EuGH C-311/18 — Schrems II (Urteil vom 16.07.2020)
EDPB Guidelines (07/2020 Verantwortlicher/Verarbeiter, 9/2022 Datenpannenmeldung)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.