DSGVO Vendor Management
Art. 28 DSGVO verpflichtet Verantwortliche, nur Auftragsverarbeiter mit hinreichenden Garantien einzusetzen. Ein rechtssicherer Auftragsverarbeitungsvertrag (AVV) regelt Gegenstand, Dauer, Zweck und technisch-organisatorische Maßnahmen der Datenverarbeitung. ADVISORI unterstützt Sie bei der Auswahl und Prüfung von Dienstleistern, der Gestaltung Ihres AVV und der laufenden Überwachung Ihrer Auftragsverarbeiter – praxisnah, rechtssicher und effizient.
- ✓Auftragsverarbeitungsverträge nach Art. 28 DSGVO rechtssicher gestalten
- ✓Dienstleister-Due-Diligence mit Prüfung von TOMs, Zertifizierungen und Datenschutzkonzepten
- ✓Laufende Überwachung und Audit-Prozesse für Auftragsverarbeiter etablieren
- ✓Unterauftragsverarbeiter-Management und Drittlandtransfers regelkonform umsetzen
Ihr Erfolg beginnt hier
Bereit für den nächsten Schritt?
Schnell, einfach und absolut unverbindlich.
Zur optimalen Vorbereitung:
- Ihr Anliegen
- Wunsch-Ergebnis
- Bisherige Schritte
Oder kontaktieren Sie uns direkt:
Zertifikate, Partner und mehr...
Was regelt Art. 28 DSGVO zur Auftragsverarbeitung und zum Auftragsverarbeitungsvertrag?
Unsere Expertise in der Auftragsverarbeitung
- Langjährige Erfahrung in der Gestaltung von Auftragsverarbeitungsverträgen für regulierte Branchen
- Praxiserprobte Prüfkonzepte für Dienstleister-Due-Diligence und Auftragsverarbeiter-Audits
- Expertise in Drittlandtransfers und internationalen Datenschutzanforderungen
- Verständnis für branchenspezifische Anforderungen (Finanzsektor, Gesundheitswesen, Industrie)
Auftragsverarbeitung richtig umsetzen
Ohne gültigen AVV ist die Weitergabe personenbezogener Daten an Dienstleister unzulässig. Art. 28 DSGVO verlangt dokumentierte Weisungen, technisch-organisatorische Maßnahmen und klare Regelungen zu Unterauftragsverarbeitern. Bußgelder bei Verstößen können bis zu 10 Millionen Euro betragen.
ADVISORI in Zahlen
11+
Jahre Erfahrung
120+
Mitarbeiter
520+
Projekte
Wir entwickeln mit Ihnen ein strukturiertes Vorgehen für die Auftragsverarbeitung – von der Bestandsaufnahme über die Vertragsgestaltung bis zur laufenden Überwachung Ihrer Dienstleister.
Unser Vorgehen beim DSGVO Vendor Management
Bestandsaufnahme aller Dienstleister und bestehender Auftragsverarbeitungsverträge
Risikobewertung und Priorisierung nach Schutzbedarf der verarbeiteten Daten
AVV-Erstellung oder -Überarbeitung mit allen Mindestinhalten nach Art. 28 DSGVO
Etablierung regelmäßiger Audit- und Prüfprozesse für Auftragsverarbeiter
Laufende Überwachung und Dokumentation für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
"ADVISORI hat uns bei der Neugestaltung unserer Auftragsverarbeitungsverträge und der Einführung eines strukturierten Dienstleister-Prüfprozesses maßgeblich unterstützt. Durch die systematische Bewertung unserer Auftragsverarbeiter und die klaren Prüfkriterien konnten wir die Datenschutz-Compliance in unserer Lieferantenkette deutlich verbessern."
Sarah Richter
Head of Informationssicherheit, Cyber Security
Expertise & Erfahrung:
10+ Jahre Erfahrung, CISA, CISM, Lead Auditor, DORA, NIS2, BCM, Cyber- und Informationssicherheit
Unsere Dienstleistungen
Wir bieten Ihnen maßgeschneiderte Lösungen für Ihre digitale Transformation
AVV-Erstellung und Vertragsgestaltung
Wir erstellen und prüfen Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit allen Pflichtinhalten – Gegenstand, Dauer, TOMs, Weisungsbindung, Unterauftragsverarbeiter und Löschregelungen.
- Erstellung von AVV-Vorlagen mit allen Mindestinhalten nach Art. 28 Abs. 3 DSGVO
- Prüfung bestehender Auftragsverarbeitungsverträge auf Vollständigkeit und Aktualität
- Regelung der Weisungsbefugnisse und Dokumentation nach Art. 29 DSGVO
- Vertragliche Absicherung von Lösch- und Rückgabepflichten bei Vertragsende
Dienstleister-Prüfung und Due Diligence
Wir bewerten Ihre Auftragsverarbeiter systematisch: Prüfung der technisch-organisatorischen Maßnahmen, Zertifizierungen, Datenschutzkonzepte und Referenzen vor Vertragsschluss.
- Strukturierte Due-Diligence-Checklisten für die Dienstleisterbewertung
- Prüfung von TOMs nach Art. 32 DSGVO und Bewertung von Sicherheitszertifizierungen
- Risikobasierte Einordnung der Auftragsverarbeiter nach Schutzbedarf
- Dokumentation der Prüfergebnisse für die Rechenschaftspflicht
Unterauftragsverarbeiter-Management
Wir regeln den Einsatz von Unterauftragsverarbeitern vertraglich und organisatorisch – mit Genehmigungsverfahren, Informationspflichten und Durchgriffsrechten nach Art. 28 Abs. 2 und 4 DSGVO.
- Genehmigungsverfahren für den Einsatz neuer Unterauftragsverarbeiter
- Vertragliche Weitergabe der Datenschutzpflichten an Unterauftragnehmer
- Informations- und Widerspruchsrechte des Verantwortlichen absichern
- Haftungsregelungen und Durchgriffsrechte bei Verstößen der Unterauftragsverarbeiter
Auftragsverarbeiter-Audits und Überwachung
Wir etablieren regelmäßige Prüf- und Audit-Prozesse für bestehende Auftragsverarbeiter – von der Jahresprüfung über anlassbezogene Kontrollen bis zum Nachweis der Compliance.
- Jährliche Compliance-Prüfungen der Auftragsverarbeiter mit standardisierten Fragebögen
- Anlassbezogene Audits bei Sicherheitsvorfällen oder Beschwerden
- Monitoring der Einhaltung technisch-organisatorischer Maßnahmen
- Dokumentation und Reporting für die Geschäftsleitung und Aufsichtsbehörden
Drittlandtransfers und internationale Auftragsverarbeitung
Wir beraten zu Datentransfers in Drittländer – mit Standardvertragsklauseln, Transfer Impact Assessments und Angemessenheitsbeschlüssen nach Kapitel V DSGVO.
- Bewertung der Rechtsgrundlage für Datentransfers in Drittländer
- Erstellung und Prüfung von Standardvertragsklauseln (SCCs)
- Transfer Impact Assessments (TIA) für risikobehaftete Transfers
- Ergänzende Schutzmaßnahmen nach Schrems-II-Rechtsprechung
Schulung und Prozessintegration
Wir schulen Ihre Fachabteilungen und den Einkauf in Datenschutzanforderungen bei der Dienstleisterauswahl und integrieren AVV-Prozesse in bestehende Beschaffungsabläufe.
- Schulungen für Einkauf und Fachabteilungen zu Art. 28 DSGVO
- Integration von Datenschutz-Checklisten in Beschaffungsprozesse
- Erstellung von Handlungsleitfäden für die Dienstleisterauswahl
- Aufbau einer datenschutzbewussten Unternehmenskultur im Vendor Management
Unsere Kompetenzen im Bereich DSGVO
Wählen Sie den passenden Bereich für Ihre Anforderungen
Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an KI-Systeme durch Privacy-by-Design-Prinzipien, automatisierte Entscheidungsfindung-Compliance, Transparenz-Verpflichtungen und algorithmische Rechenschaftspflicht für sichere AI-Datenverarbeitung. Erfolgreiches DSGVO-AI-Compliance-Management geht über traditionelle Datenschutz-Ansätze hinaus und schafft integrierte KI-Governance-Systeme, die AI-Innovation, regulatorische Compliance und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte AI-Compliance-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische KI-Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene AI-Governance und KI-Datenschutz-Excellence etablieren.
Art. 30 DSGVO verpflichtet Vermögensverwalter und Kapitalverwaltungsgesellschaften, alle Verarbeitungstätigkeiten mit personenbezogenen Daten lückenlos zu dokumentieren. Ein strukturiertes Dateninventar bildet die Grundlage für das Verarbeitungsverzeichnis, Löschkonzepte und die Umsetzung von Betroffenenrechten. Wir begleiten Finanzdienstleister von der Bestandsaufnahme über die Erstellung des Verarbeitungsverzeichnisses bis zur auditierbaren Dokumentation technischer und organisatorischer Maßnahmen.
Die Datenschutz-Grundverordnung stellt Banken und Finanzdienstleister vor einzigartige Herausforderungen durch komplexe Kundendatenverarbeitung, grenzüberschreitende Datentransfers und strenge regulatorische Anforderungen. Erfolgreiche DSGVO-Compliance im Bankensektor erfordert mehr als standardisierte Datenschutz-Ansätze – sie benötigt spezialisierte Banking-Expertise, die Datenschutzrecht mit Finanzregulierung nahtlos verbindet. Wir entwickeln maßgeschneiderte DSGVO-Banking-Frameworks, die nicht nur rechtliche Compliance gewährleisten, sondern auch operative Effizienz steigern, Kundenvertrauen stärken und nachhaltige Wettbewerbsvorteile durch überlegene Datenschutz-Governance im Finanzsektor etablieren.
Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Cloud-Computing-Umgebungen durch grenzüberschreitende Datenübertragung-Compliance, Cloud-Provider-Due-Diligence, Datenresidenz-Anforderungen und Multi-Cloud-Governance-Strukturen für sichere Cloud-Datenverarbeitung. Erfolgreiches DSGVO-Cloud-Computing-Management geht über traditionelle Datenschutz-Ansätze hinaus und schafft integrierte Cloud-Governance-Systeme, die Cloud-Privacy, Vendor-Management und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte Cloud-Compliance-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Cloud-Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Cloud-Governance und Cloud-Datenschutz-Excellence etablieren.
Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an internationale Datentransfers durch Adequacy-Decisions, Standard-Contractual-Clauses und Transfer-Impact-Assessments für sichere grenzüberschreitende Datenübertragung. Erfolgreiches Cross-Border-Transfer-Management geht über traditionelle Compliance-Ansätze hinaus und schafft integrierte Governance-Systeme, die internationale Datentransfer-Sicherheit, regulatorische Compliance und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte Transfer-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische internationale Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Cross-Border-Governance und internationale Datenschutz-Excellence etablieren.
Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Data-Breach-Response-Management durch zeitkritische Notification-Compliance, umfassende Data-Subject-Rights-Erfüllung, Regulatory-Authority-Communication und systematische Post-Breach-Recovery-Prozesse für nachhaltige Datenschutz-Governance. Erfolgreiches DSGVO-Breach-Response-Management geht über traditionelle Incident-Response-Ansätze hinaus und schafft integrierte Governance-Systeme, die Breach-Prevention, Rapid-Response und Stakeholder-Communication nahtlos verbinden. Wir entwickeln maßgeschneiderte Breach-Response-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Business-Continuity ermöglichen, Reputationsrisiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Incident-Management-Governance und Data-Protection-Excellence etablieren.
Versicherungsunternehmen verarbeiten besonders sensible personenbezogene Daten — von Gesundheitsdaten über Bonitätsinformationen bis zu Risikoprofilen. Die DSGVO stellt deshalb hohe Anforderungen an die Versicherungsbranche: Rechtsgrundlagen nach Art. 6 und Art. 9, Einwilligungsmanagement, Datenschutz-Folgenabschätzungen für Scoring und Profiling sowie Löschkonzepte unter Berücksichtigung versicherungsrechtlicher Aufbewahrungspflichten. Wir beraten Versicherer bei der praxistauglichen Umsetzung aller DSGVO-Pflichten — rechtssicher, effizient und abgestimmt auf branchenspezifische Vorgaben wie den GDV-Datenschutzkodex und die VAIT.
Gewährleisten Sie die kontinuierliche Einhaltung der DSGVO-Anforderungen durch unseren ganzheitlichen Ongoing Compliance-Ansatz. Wir etablieren robuste Datenschutz-Governance-Strukturen, automatisierte Überwachungsmechanismen und proaktive Anpassungsprozesse, die dauerhafte Compliance sicherstellen und Datenschutzrisiken nachhaltig minimieren.
Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Privacy-by-Design-Implementation durch proaktive Privacy-Protection, Privacy-as-Default-Settings, Privacy-embedded-Design und Full-Functionality-Privacy-Balance für nachhaltige Datenschutz-Governance. Erfolgreiches DSGVO-Privacy-by-Design-Management geht über traditionelle Compliance-Ansätze hinaus und schafft integrierte Privacy-Systeme, die Privacy-Engineering, Data-Minimization und User-Privacy-Rights nahtlos verbinden. Wir entwickeln maßgeschneiderte Privacy-by-Design-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Business-Innovation ermöglichen, Privacy-Risks minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Privacy-Governance und Data-Protection-Excellence etablieren.
Ein professionelles DSGVO Readiness Assessment zeigt, wo Ihr Unternehmen in Sachen Datenschutz steht. Wir bewerten Ihren aktuellen Reifegrad, decken Compliance-Lücken auf und entwickeln eine priorisierte Roadmap zur vollständigen DSGVO-Konformität.
Die Datenschutz-Grundverordnung (DSGVO) erfordert eine systematische und nachhaltige Implementierung. Wir begleiten Sie bei der vollständigen Umsetzung aller datenschutzrechtlichen Anforderungen.
Häufig gestellte Fragen zur DSGVO Vendor Management
Wann liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor?
Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Typische Beispiele: Cloud-Hosting, externes Lohn-/Gehaltsabrechnung, Newsletter-Versand, IT-Wartung mit Datenzugriff oder Entsorgung von Datenträgern. Keine Auftragsverarbeitung sind hingegen rein postalische Dienste, Telekommunikation oder Bankdienstleistungen.
Was muss ein Auftragsverarbeitungsvertrag (AVV) enthalten?
Art.
28 Abs.
3 DSGVO definiert Mindestinhalte: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der Betroffenen, Pflichten und Rechte des Verantwortlichen. Zusätzlich muss der AVV Weisungsbindung, Vertraulichkeit, technisch-organisatorische Maßnahmen (TOMs), Unterauftragsverarbeiter-Regelungen, Unterstützungspflichten bei Betroffenenrechten, Löschung nach Auftragsende und Audit-Rechte regeln.
Wie prüft man einen Auftragsverarbeiter vor Vertragsschluss?
Der Verantwortliche muss sich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Prüfungsmöglichkeiten: Vor-Ort-Audits, Prüfung von Zertifizierungen (ISO 27001, SOC 2, BSI C5), Einsicht in TOMs-Dokumentation, Referenzen und Datenschutzkonzepte. Die Prüfung muss dokumentiert werden und ist regelmäßig zu wiederholen.
Welche Rolle spielen Unterauftragsverarbeiter im AVV?
Art.
28 Abs.
2 DSGVO verlangt, dass der Auftragsverarbeiter ohne vorherige Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuzieht. Der AVV muss regeln, ob eine allgemeine oder spezifische Genehmigung gilt, wie Änderungen mitgeteilt werden und welche vertraglichen Pflichten an Unterauftragsverarbeiter weitergegeben werden müssen. Der Auftragsverarbeiter haftet für seine Unterauftragsverarbeiter.
Wer haftet bei Datenschutzverstößen in der Auftragsverarbeitung?
Nach Art.
82 DSGVO haften Verantwortlicher und Auftragsverarbeiter gemeinsam gegenüber Betroffenen. Der Verantwortliche haftet für die gesamte Verarbeitung, der Auftragsverarbeiter nur für Verstöße gegen seine spezifischen Pflichten oder gegen Weisungen. Bußgelder nach Art.
83 DSGVO können beide treffen – bis zu
20 Millionen Euro oder
4 % des Jahresumsatzes.
Was passiert mit den Daten nach Ende der Auftragsverarbeitung?
Art.
28 Abs.
3 lit. g DSGVO schreibt vor, dass der Auftragsverarbeiter nach Abschluss der Verarbeitung alle personenbezogenen Daten löscht oder zurückgibt – je nach Wahl des Verantwortlichen – und bestehende Kopien vernichtet. Der AVV sollte konkrete Fristen, Rückgabeformate und Löschnachweise festlegen. Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt.
Wie unterscheidet sich Auftragsverarbeitung von gemeinsamer Verantwortlichkeit?
Bei der Auftragsverarbeitung (Art.
28 DSGVO) handelt der Dienstleister weisungsgebunden für den Verantwortlichen. Bei gemeinsamer Verantwortlichkeit (Art.
26 DSGVO) legen zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung fest. Die Abgrenzung ist entscheidend: Bei gemeinsamer Verantwortlichkeit ist statt eines AVV eine Vereinbarung nach Art.
26 DSGVO erforderlich, die Zuständigkeiten und Anlaufstellen für Betroffene regelt.
Erfolgsgeschichten
Entdecken Sie, wie wir Unternehmen bei ihrer digitalen Transformation unterstützen
Generative KI in der Fertigung
Bosch
KI-Prozessoptimierung für bessere Produktionseffizienz
Ergebnisse
AI Automatisierung in der Produktion
Festo
Intelligente Vernetzung für zukunftsfähige Produktionssysteme
Ergebnisse
KI-gestützte Fertigungsoptimierung
Siemens
Smarte Fertigungslösungen für maximale Wertschöpfung
Ergebnisse
Digitalisierung im Stahlhandel
Klöckner & Co
Digitalisierung im Stahlhandel
Ergebnisse
Digitalization in Steel Trading
Klöckner & Co
Digital Transformation in Steel Trading
Ergebnisse
AI-Powered Manufacturing Optimization
Siemens
Smart Manufacturing Solutions for Maximum Value Creation
Ergebnisse
AI Automation in Production
Festo
Intelligent Networking for Future-Proof Production Systems
Ergebnisse
Generative AI in Manufacturing
Bosch
AI Process Optimization for Improved Production Efficiency
Ergebnisse
Lassen Sie uns
Zusammenarbeiten!
Ist Ihr Unternehmen bereit für den nächsten Schritt in die digitale Zukunft? Kontaktieren Sie uns für eine persönliche Beratung.
Ihr strategischer Erfolg beginnt hier
Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement
Bereit für den nächsten Schritt?
Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten
30 Minuten • Unverbindlich • Sofort verfügbar
Zur optimalen Vorbereitung Ihres Strategiegesprächs:
Bevorzugen Sie direkten Kontakt?
Direkte Hotline für Entscheidungsträger
Strategische Anfragen per E-Mail
Detaillierte Projektanfrage
Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten