Dieser Beitrag zeigt, worauf es ankommt — und warum die Auftragsverarbeiter-Rolle die zentrale Weichenstellung ist.
Die Grundkonstellation: Sie sind fast immer Auftragsverarbeiter
Sobald Sie personenbezogene Daten im Auftrag eines Kunden verarbeiten — Hosting einer Website, Wartung eines Systems, Betrieb eines Newsletters, eine Marketing-Kampagne mit Kundendaten —, sind Sie Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das ist die Definition aus Art. 4 Nr. 8 DSGVO: eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Daraus folgt unmittelbar: Mit jedem Kunden, für den Sie in dieser Rolle tätig sind, ist ein Auftragsverarbeitungsvertrag (AVV) zu schließen. Das ist keine Kür und kein Papierkram, sondern die rechtliche Grundlage Ihrer Zusammenarbeit. Fehlt der AVV, fehlt die Grundlage — und das fällt spätestens dann auf, wenn der Kunde selbst geprüft wird oder eine Datenpanne passiert.
Eine kleine Agentur, die zehn Kunden betreut, braucht also zehn AVV. Das klingt nach Aufwand, lässt sich aber mit einer guten Vorlage standardisieren — und genau diese Professionalität ist es, die Kunden überzeugt.
Was in den AVV gehört
Der AVV regelt nach Art. 28 DSGVO unter anderem:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- die Art der personenbezogenen Daten und die Kategorien betroffener Personen
- die Pflichten und Rechte des Verantwortlichen
- die technisch-organisatorischen Maßnahmen (TOM)
- den Umgang mit Unterauftragnehmern
Gerade der letzte Punkt wird oft unterschätzt — dazu gleich mehr.
TOM: die Dokumentation, die Kunden sehen wollen
Die technisch-organisatorischen Maßnahmen beschreiben, wie Sie Daten technisch und organisatorisch schützen — von der Zugriffskontrolle über die Verschlüsselung bis zum Backup- und Notfallkonzept. Für IT-Dienstleister ist die TOM-Dokumentation besonders wichtig, weil sie nach außen wirkt: Kunden verlangen sie zunehmend, bevor sie beauftragen, und manche prüfen sie sogar aktiv.
Hier liegt die Chance: Eine professionelle, belastbare TOM-Dokumentation ist für einen IT-Dienstleister kein lästiger Pflichtteil, sondern ein Differenzierungsmerkmal. Sie signalisiert dem Kunden: Hier wird Sicherheit ernst genommen. In einer Branche, in der Vertrauen über Aufträge entscheidet, ist das bares Geld.
Unterauftragnehmer: die Kette muss vollständig sein
Kaum ein Dienstleister arbeitet ganz allein. Hosting läuft über einen Rechenzentrumsbetreiber, Daten liegen in einer Cloud, Tools von Drittanbietern sind eingebunden. All diese Stellen sind Unterauftragnehmer — und sie müssen im AVV benannt und ihrerseits vertraglich gebunden sein. Wer hier Lücken hat, gibt Daten an Stellen weiter, für die die rechtliche Grundlage fehlt. In der Prüfungspraxis ist die unvollständige Unterauftragnehmer-Kette ein häufiger Befund.
Die eigene Verantwortlichkeit nicht vergessen
Bei aller Konzentration auf die Auftragsverarbeiter-Rolle: Für die eigenen Daten ist der Dienstleister selbst Verantwortlicher. Das betrifft die eigenen Kundendaten (Akquise, Rechnungen, Verträge) und die Beschäftigtendaten. Hier gelten dieselben Pflichten wie für jedes andere Unternehmen — eigene Datenschutzerklärung, Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept.
NIS-2: das Thema, das größer wird
Datenschutz und Informationssicherheit wachsen zusammen, und für IT-Dienstleister besonders schnell. Die NIS-2-Anforderungen zur Cybersicherheit, die seit November 2025 gelten, betreffen je nach Größe, Sektor und Tätigkeit auch IT-Dienstleister — teils direkt, teils mittelbar über die Anforderungen ihrer Kunden. Ob und wie Sie betroffen sind, hängt vom Einzelfall ab. Aber die Richtung ist klar: Kunden werden zunehmend nicht nur nach Datenschutz, sondern auch nach Informationssicherheit fragen. Wer beides zusammen denkt und sauber dokumentiert, ist im Vorteil.
Datenpannen: besondere Pflichten als Auftragsverarbeiter
Als Auftragsverarbeiter haben Sie eine besondere Rolle im Pannenfall: Stellen Sie eine Verletzung des Datenschutzes fest, müssen Sie unverzüglich Ihren Auftraggeber (den Verantwortlichen) informieren — denn dieser muss die 72-Stunden-Meldung an die Aufsicht (Art. 33 DSGVO) machen. Ein klarer, vorab definierter Meldeweg gehört deshalb in jeden AVV und in Ihre internen Abläufe.
Braucht der IT-Dienstleister eine/n Datenschutzbeauftragte/n?
Häufig ja. Die nationale 20-Personen-Schwelle (§ 38 BDSG) ist in vielen Agenturen erreicht. Vor allem aber kann sich die Pflicht aus Art. 37 DSGVO ergeben, wenn die Kerntätigkeit in umfangreicher oder systematischer Datenverarbeitung besteht — was bei datenintensiven Dienstleistern oft der Fall ist. Die Bewertung sollte fundiert erfolgen.
Was Sie konkret mitnehmen sollten
Drei Dinge: Erstens, sorgen Sie dafür, dass Sie mit jedem Kunden, für den Sie Daten verarbeiten, einen AVV haben — und nutzen Sie eine gute Standardvorlage. Zweitens, bauen Sie eine professionelle TOM-Dokumentation auf; sie ist Ihr Verkaufsargument. Drittens, vervollständigen Sie Ihre Unterauftragnehmer-Kette und definieren Sie einen klaren Meldeweg für Datenpannen.
Für IT-Dienstleister und Agenturen ist Datenschutz kein notwendiges Übel, sondern ein Qualitätsmerkmal, das Aufträge sichert.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026.
