Viele Tools sind Auftragsverarbeiter: Hosting, Newsletter, CRM, Videokonferenzen. So setzen Sie Auftragsverarbeitung strukturiert um.

Schritt 1: Klassifizieren

Ist der Anbieter Auftragsverarbeiter oder eigenständige Stelle? Prüfen Sie Zweckbindung, Weisungsgebundenheit und eigene Zwecke.

Schritt 2: AV-Vertrag abschließen

Der Vertrag muss Mindestinhalte nach Art. 28 Abs. 3 DSGVO enthalten. Achten Sie auf:

• Unterauftragsverhältnisse und Informationspflichten
• Technische und organisatorische Maßnahmen (TOMs)
• Unterstützung bei Betroffenenrechten und Löschkonzepten

Schritt 3: Drittlandbezug prüfen

Bei Übermittlungen in die USA/EWR-Drittländer: Rechtsgrundlage (z. B. Angemessenheitsbeschluss), zusätzliche Maßnahmen, Risikoabwägung dokumentieren.

Schritt 4: Dokumentation und Review

Dokumentieren Sie Entscheidung, Vertrag, TOMs und jährliche Stichproben. Hinterlegen Sie alles im Verarbeitungsverzeichnis.

Checklisten und Muster helfen, den Überblick zu behalten – genau das liefert DSGVO Mentor.