1. Home/
  2. Leistungen/
  3. Regulatory Compliance Management/
  4. DSGVO/
  5. DSGVO Vendor Management

Newsletter abonnieren

Bleiben Sie auf dem Laufenden mit den neuesten Trends und Entwicklungen

Durch Abonnieren stimmen Sie unseren Datenschutzbestimmungen zu.

A
ADVISORI FTC GmbH

Transformation. Innovation. Sicherheit.

Firmenadresse

Kaiserstraße 44

60329 Frankfurt am Main

Deutschland

Auf Karte ansehen

Kontakt

info@advisori.de+49 69 913 113-01

Mo-Fr: 9:00 - 18:00 Uhr

Unternehmen

Leistungen

Social Media

Folgen Sie uns und bleiben Sie auf dem neuesten Stand.

  • /
  • /

© 2024 ADVISORI FTC GmbH. Alle Rechte vorbehalten.

Ihr Browser unterstützt das Video-Tag nicht.
DSGVO-konforme Auftragsverarbeitung und Vendor Management für Unternehmen

DSGVO Vendor Management

Art. 28 DSGVO verpflichtet Verantwortliche, nur Auftragsverarbeiter mit hinreichenden Garantien einzusetzen. Ein rechtssicherer Auftragsverarbeitungsvertrag (AVV) regelt Gegenstand, Dauer, Zweck und technisch-organisatorische Maßnahmen der Datenverarbeitung. ADVISORI unterstützt Sie bei der Auswahl und Prüfung von Dienstleistern, der Gestaltung Ihres AVV und der laufenden Überwachung Ihrer Auftragsverarbeiter – praxisnah, rechtssicher und effizient.

  • ✓Auftragsverarbeitungsverträge nach Art. 28 DSGVO rechtssicher gestalten
  • ✓Dienstleister-Due-Diligence mit Prüfung von TOMs, Zertifizierungen und Datenschutzkonzepten
  • ✓Laufende Überwachung und Audit-Prozesse für Auftragsverarbeiter etablieren
  • ✓Unterauftragsverarbeiter-Management und Drittlandtransfers regelkonform umsetzen

Ihr Erfolg beginnt hier

Bereit für den nächsten Schritt?

Schnell, einfach und absolut unverbindlich.

Zur optimalen Vorbereitung:

  • Ihr Anliegen
  • Wunsch-Ergebnis
  • Bisherige Schritte

Oder kontaktieren Sie uns direkt:

info@advisori.de+49 69 913 113-01

Zertifikate, Partner und mehr...

ISO 9001 CertifiedISO 27001 CertifiedISO 14001 CertifiedBeyondTrust PartnerBVMW Bundesverband MitgliedMitigant PartnerGoogle PartnerTop 100 InnovatorMicrosoft AzureAmazon Web Services

Was regelt Art. 28 DSGVO zur Auftragsverarbeitung und zum Auftragsverarbeitungsvertrag?

Unsere Expertise in der Auftragsverarbeitung

  • Langjährige Erfahrung in der Gestaltung von Auftragsverarbeitungsverträgen für regulierte Branchen
  • Praxiserprobte Prüfkonzepte für Dienstleister-Due-Diligence und Auftragsverarbeiter-Audits
  • Expertise in Drittlandtransfers und internationalen Datenschutzanforderungen
  • Verständnis für branchenspezifische Anforderungen (Finanzsektor, Gesundheitswesen, Industrie)
⚠

Auftragsverarbeitung richtig umsetzen

Ohne gültigen AVV ist die Weitergabe personenbezogener Daten an Dienstleister unzulässig. Art. 28 DSGVO verlangt dokumentierte Weisungen, technisch-organisatorische Maßnahmen und klare Regelungen zu Unterauftragsverarbeitern. Bußgelder bei Verstößen können bis zu 10 Millionen Euro betragen.

ADVISORI in Zahlen

11+

Jahre Erfahrung

120+

Mitarbeiter

520+

Projekte

Wir entwickeln mit Ihnen ein strukturiertes Vorgehen für die Auftragsverarbeitung – von der Bestandsaufnahme über die Vertragsgestaltung bis zur laufenden Überwachung Ihrer Dienstleister.

Unser Vorgehen beim DSGVO Vendor Management

1
Phase 1

Bestandsaufnahme aller Dienstleister und bestehender Auftragsverarbeitungsverträge

2
Phase 2

Risikobewertung und Priorisierung nach Schutzbedarf der verarbeiteten Daten

3
Phase 3

AVV-Erstellung oder -Überarbeitung mit allen Mindestinhalten nach Art. 28 DSGVO

4
Phase 4

Etablierung regelmäßiger Audit- und Prüfprozesse für Auftragsverarbeiter

5
Phase 5

Laufende Überwachung und Dokumentation für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

"ADVISORI hat uns bei der Neugestaltung unserer Auftragsverarbeitungsverträge und der Einführung eines strukturierten Dienstleister-Prüfprozesses maßgeblich unterstützt. Durch die systematische Bewertung unserer Auftragsverarbeiter und die klaren Prüfkriterien konnten wir die Datenschutz-Compliance in unserer Lieferantenkette deutlich verbessern."
Sarah Richter

Sarah Richter

Head of Informationssicherheit, Cyber Security

Expertise & Erfahrung:

10+ Jahre Erfahrung, CISA, CISM, Lead Auditor, DORA, NIS2, BCM, Cyber- und Informationssicherheit

LinkedIn Profil

Unsere Dienstleistungen

Wir bieten Ihnen maßgeschneiderte Lösungen für Ihre digitale Transformation

AVV-Erstellung und Vertragsgestaltung

Wir erstellen und prüfen Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit allen Pflichtinhalten – Gegenstand, Dauer, TOMs, Weisungsbindung, Unterauftragsverarbeiter und Löschregelungen.

  • Erstellung von AVV-Vorlagen mit allen Mindestinhalten nach Art. 28 Abs. 3 DSGVO
  • Prüfung bestehender Auftragsverarbeitungsverträge auf Vollständigkeit und Aktualität
  • Regelung der Weisungsbefugnisse und Dokumentation nach Art. 29 DSGVO
  • Vertragliche Absicherung von Lösch- und Rückgabepflichten bei Vertragsende

Dienstleister-Prüfung und Due Diligence

Wir bewerten Ihre Auftragsverarbeiter systematisch: Prüfung der technisch-organisatorischen Maßnahmen, Zertifizierungen, Datenschutzkonzepte und Referenzen vor Vertragsschluss.

  • Strukturierte Due-Diligence-Checklisten für die Dienstleisterbewertung
  • Prüfung von TOMs nach Art. 32 DSGVO und Bewertung von Sicherheitszertifizierungen
  • Risikobasierte Einordnung der Auftragsverarbeiter nach Schutzbedarf
  • Dokumentation der Prüfergebnisse für die Rechenschaftspflicht

Unterauftragsverarbeiter-Management

Wir regeln den Einsatz von Unterauftragsverarbeitern vertraglich und organisatorisch – mit Genehmigungsverfahren, Informationspflichten und Durchgriffsrechten nach Art. 28 Abs. 2 und 4 DSGVO.

  • Genehmigungsverfahren für den Einsatz neuer Unterauftragsverarbeiter
  • Vertragliche Weitergabe der Datenschutzpflichten an Unterauftragnehmer
  • Informations- und Widerspruchsrechte des Verantwortlichen absichern
  • Haftungsregelungen und Durchgriffsrechte bei Verstößen der Unterauftragsverarbeiter

Auftragsverarbeiter-Audits und Überwachung

Wir etablieren regelmäßige Prüf- und Audit-Prozesse für bestehende Auftragsverarbeiter – von der Jahresprüfung über anlassbezogene Kontrollen bis zum Nachweis der Compliance.

  • Jährliche Compliance-Prüfungen der Auftragsverarbeiter mit standardisierten Fragebögen
  • Anlassbezogene Audits bei Sicherheitsvorfällen oder Beschwerden
  • Monitoring der Einhaltung technisch-organisatorischer Maßnahmen
  • Dokumentation und Reporting für die Geschäftsleitung und Aufsichtsbehörden

Drittlandtransfers und internationale Auftragsverarbeitung

Wir beraten zu Datentransfers in Drittländer – mit Standardvertragsklauseln, Transfer Impact Assessments und Angemessenheitsbeschlüssen nach Kapitel V DSGVO.

  • Bewertung der Rechtsgrundlage für Datentransfers in Drittländer
  • Erstellung und Prüfung von Standardvertragsklauseln (SCCs)
  • Transfer Impact Assessments (TIA) für risikobehaftete Transfers
  • Ergänzende Schutzmaßnahmen nach Schrems-II-Rechtsprechung

Schulung und Prozessintegration

Wir schulen Ihre Fachabteilungen und den Einkauf in Datenschutzanforderungen bei der Dienstleisterauswahl und integrieren AVV-Prozesse in bestehende Beschaffungsabläufe.

  • Schulungen für Einkauf und Fachabteilungen zu Art. 28 DSGVO
  • Integration von Datenschutz-Checklisten in Beschaffungsprozesse
  • Erstellung von Handlungsleitfäden für die Dienstleisterauswahl
  • Aufbau einer datenschutzbewussten Unternehmenskultur im Vendor Management

Unsere Kompetenzen im Bereich DSGVO

Wählen Sie den passenden Bereich für Ihre Anforderungen

DSGVO AI Compliance

Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an KI-Systeme durch Privacy-by-Design-Prinzipien, automatisierte Entscheidungsfindung-Compliance, Transparenz-Verpflichtungen und algorithmische Rechenschaftspflicht für sichere AI-Datenverarbeitung. Erfolgreiches DSGVO-AI-Compliance-Management geht über traditionelle Datenschutz-Ansätze hinaus und schafft integrierte KI-Governance-Systeme, die AI-Innovation, regulatorische Compliance und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte AI-Compliance-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische KI-Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene AI-Governance und KI-Datenschutz-Excellence etablieren.

DSGVO Asset Management

Art. 30 DSGVO verpflichtet Vermögensverwalter und Kapitalverwaltungsgesellschaften, alle Verarbeitungstätigkeiten mit personenbezogenen Daten lückenlos zu dokumentieren. Ein strukturiertes Dateninventar bildet die Grundlage für das Verarbeitungsverzeichnis, Löschkonzepte und die Umsetzung von Betroffenenrechten. Wir begleiten Finanzdienstleister von der Bestandsaufnahme über die Erstellung des Verarbeitungsverzeichnisses bis zur auditierbaren Dokumentation technischer und organisatorischer Maßnahmen.

DSGVO Banking Sector

Die Datenschutz-Grundverordnung stellt Banken und Finanzdienstleister vor einzigartige Herausforderungen durch komplexe Kundendatenverarbeitung, grenzüberschreitende Datentransfers und strenge regulatorische Anforderungen. Erfolgreiche DSGVO-Compliance im Bankensektor erfordert mehr als standardisierte Datenschutz-Ansätze – sie benötigt spezialisierte Banking-Expertise, die Datenschutzrecht mit Finanzregulierung nahtlos verbindet. Wir entwickeln maßgeschneiderte DSGVO-Banking-Frameworks, die nicht nur rechtliche Compliance gewährleisten, sondern auch operative Effizienz steigern, Kundenvertrauen stärken und nachhaltige Wettbewerbsvorteile durch überlegene Datenschutz-Governance im Finanzsektor etablieren.

DSGVO Cloud Computing

Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Cloud-Computing-Umgebungen durch grenzüberschreitende Datenübertragung-Compliance, Cloud-Provider-Due-Diligence, Datenresidenz-Anforderungen und Multi-Cloud-Governance-Strukturen für sichere Cloud-Datenverarbeitung. Erfolgreiches DSGVO-Cloud-Computing-Management geht über traditionelle Datenschutz-Ansätze hinaus und schafft integrierte Cloud-Governance-Systeme, die Cloud-Privacy, Vendor-Management und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte Cloud-Compliance-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Cloud-Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Cloud-Governance und Cloud-Datenschutz-Excellence etablieren.

DSGVO Cross-Border Transfers

Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an internationale Datentransfers durch Adequacy-Decisions, Standard-Contractual-Clauses und Transfer-Impact-Assessments für sichere grenzüberschreitende Datenübertragung. Erfolgreiches Cross-Border-Transfer-Management geht über traditionelle Compliance-Ansätze hinaus und schafft integrierte Governance-Systeme, die internationale Datentransfer-Sicherheit, regulatorische Compliance und operative Effizienz nahtlos verbinden. Wir entwickeln maßgeschneiderte Transfer-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische internationale Geschäftschancen ermöglichen, Risiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Cross-Border-Governance und internationale Datenschutz-Excellence etablieren.

DSGVO Data Breach Response

Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Data-Breach-Response-Management durch zeitkritische Notification-Compliance, umfassende Data-Subject-Rights-Erfüllung, Regulatory-Authority-Communication und systematische Post-Breach-Recovery-Prozesse für nachhaltige Datenschutz-Governance. Erfolgreiches DSGVO-Breach-Response-Management geht über traditionelle Incident-Response-Ansätze hinaus und schafft integrierte Governance-Systeme, die Breach-Prevention, Rapid-Response und Stakeholder-Communication nahtlos verbinden. Wir entwickeln maßgeschneiderte Breach-Response-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Business-Continuity ermöglichen, Reputationsrisiken minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Incident-Management-Governance und Data-Protection-Excellence etablieren.

DSGVO Insurance Sector

Versicherungsunternehmen verarbeiten besonders sensible personenbezogene Daten — von Gesundheitsdaten über Bonitätsinformationen bis zu Risikoprofilen. Die DSGVO stellt deshalb hohe Anforderungen an die Versicherungsbranche: Rechtsgrundlagen nach Art. 6 und Art. 9, Einwilligungsmanagement, Datenschutz-Folgenabschätzungen für Scoring und Profiling sowie Löschkonzepte unter Berücksichtigung versicherungsrechtlicher Aufbewahrungspflichten. Wir beraten Versicherer bei der praxistauglichen Umsetzung aller DSGVO-Pflichten — rechtssicher, effizient und abgestimmt auf branchenspezifische Vorgaben wie den GDV-Datenschutzkodex und die VAIT.

DSGVO Ongoing Compliance

Gewährleisten Sie die kontinuierliche Einhaltung der DSGVO-Anforderungen durch unseren ganzheitlichen Ongoing Compliance-Ansatz. Wir etablieren robuste Datenschutz-Governance-Strukturen, automatisierte Überwachungsmechanismen und proaktive Anpassungsprozesse, die dauerhafte Compliance sicherstellen und Datenschutzrisiken nachhaltig minimieren.

DSGVO Privacy by Design

Die Datenschutz-Grundverordnung stellt komplexe Anforderungen an Privacy-by-Design-Implementation durch proaktive Privacy-Protection, Privacy-as-Default-Settings, Privacy-embedded-Design und Full-Functionality-Privacy-Balance für nachhaltige Datenschutz-Governance. Erfolgreiches DSGVO-Privacy-by-Design-Management geht über traditionelle Compliance-Ansätze hinaus und schafft integrierte Privacy-Systeme, die Privacy-Engineering, Data-Minimization und User-Privacy-Rights nahtlos verbinden. Wir entwickeln maßgeschneiderte Privacy-by-Design-Frameworks, die nicht nur regulatorische Anforderungen erfüllen, sondern auch strategische Business-Innovation ermöglichen, Privacy-Risks minimieren und nachhaltige Wettbewerbsvorteile durch überlegene Privacy-Governance und Data-Protection-Excellence etablieren.

DSGVO Readiness

Ein professionelles DSGVO Readiness Assessment zeigt, wo Ihr Unternehmen in Sachen Datenschutz steht. Wir bewerten Ihren aktuellen Reifegrad, decken Compliance-Lücken auf und entwickeln eine priorisierte Roadmap zur vollständigen DSGVO-Konformität.

DSGVO-Implementierung

Die Datenschutz-Grundverordnung (DSGVO) erfordert eine systematische und nachhaltige Implementierung. Wir begleiten Sie bei der vollständigen Umsetzung aller datenschutzrechtlichen Anforderungen.

Häufig gestellte Fragen zur DSGVO Vendor Management

Wann liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor?

Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Typische Beispiele: Cloud-Hosting, externes Lohn-/Gehaltsabrechnung, Newsletter-Versand, IT-Wartung mit Datenzugriff oder Entsorgung von Datenträgern. Keine Auftragsverarbeitung sind hingegen rein postalische Dienste, Telekommunikation oder Bankdienstleistungen.

Was muss ein Auftragsverarbeitungsvertrag (AVV) enthalten?

Art.

28 Abs.

3 DSGVO definiert Mindestinhalte: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der Betroffenen, Pflichten und Rechte des Verantwortlichen. Zusätzlich muss der AVV Weisungsbindung, Vertraulichkeit, technisch-organisatorische Maßnahmen (TOMs), Unterauftragsverarbeiter-Regelungen, Unterstützungspflichten bei Betroffenenrechten, Löschung nach Auftragsende und Audit-Rechte regeln.

Wie prüft man einen Auftragsverarbeiter vor Vertragsschluss?

Der Verantwortliche muss sich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Prüfungsmöglichkeiten: Vor-Ort-Audits, Prüfung von Zertifizierungen (ISO 27001, SOC 2, BSI C5), Einsicht in TOMs-Dokumentation, Referenzen und Datenschutzkonzepte. Die Prüfung muss dokumentiert werden und ist regelmäßig zu wiederholen.

Welche Rolle spielen Unterauftragsverarbeiter im AVV?

Art.

28 Abs.

2 DSGVO verlangt, dass der Auftragsverarbeiter ohne vorherige Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuzieht. Der AVV muss regeln, ob eine allgemeine oder spezifische Genehmigung gilt, wie Änderungen mitgeteilt werden und welche vertraglichen Pflichten an Unterauftragsverarbeiter weitergegeben werden müssen. Der Auftragsverarbeiter haftet für seine Unterauftragsverarbeiter.

Wer haftet bei Datenschutzverstößen in der Auftragsverarbeitung?

Nach Art.

82 DSGVO haften Verantwortlicher und Auftragsverarbeiter gemeinsam gegenüber Betroffenen. Der Verantwortliche haftet für die gesamte Verarbeitung, der Auftragsverarbeiter nur für Verstöße gegen seine spezifischen Pflichten oder gegen Weisungen. Bußgelder nach Art.

83 DSGVO können beide treffen – bis zu

20 Millionen Euro oder

4 % des Jahresumsatzes.

Was passiert mit den Daten nach Ende der Auftragsverarbeitung?

Art.

28 Abs.

3 lit. g DSGVO schreibt vor, dass der Auftragsverarbeiter nach Abschluss der Verarbeitung alle personenbezogenen Daten löscht oder zurückgibt – je nach Wahl des Verantwortlichen – und bestehende Kopien vernichtet. Der AVV sollte konkrete Fristen, Rückgabeformate und Löschnachweise festlegen. Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt.

Wie unterscheidet sich Auftragsverarbeitung von gemeinsamer Verantwortlichkeit?

Bei der Auftragsverarbeitung (Art.

28 DSGVO) handelt der Dienstleister weisungsgebunden für den Verantwortlichen. Bei gemeinsamer Verantwortlichkeit (Art.

26 DSGVO) legen zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung fest. Die Abgrenzung ist entscheidend: Bei gemeinsamer Verantwortlichkeit ist statt eines AVV eine Vereinbarung nach Art.

26 DSGVO erforderlich, die Zuständigkeiten und Anlaufstellen für Betroffene regelt.

Erfolgsgeschichten

Entdecken Sie, wie wir Unternehmen bei ihrer digitalen Transformation unterstützen

Generative KI in der Fertigung

Bosch

KI-Prozessoptimierung für bessere Produktionseffizienz

Fallstudie
BOSCH KI-Prozessoptimierung für bessere Produktionseffizienz

Ergebnisse

Reduzierung der Implementierungszeit von AI-Anwendungen auf wenige Wochen
Verbesserung der Produktqualität durch frühzeitige Fehlererkennung
Steigerung der Effizienz in der Fertigung durch reduzierte Downtime

AI Automatisierung in der Produktion

Festo

Intelligente Vernetzung für zukunftsfähige Produktionssysteme

Fallstudie
FESTO AI Case Study

Ergebnisse

Verbesserung der Produktionsgeschwindigkeit und Flexibilität
Reduzierung der Herstellungskosten durch effizientere Ressourcennutzung
Erhöhung der Kundenzufriedenheit durch personalisierte Produkte

KI-gestützte Fertigungsoptimierung

Siemens

Smarte Fertigungslösungen für maximale Wertschöpfung

Fallstudie
Case study image for KI-gestützte Fertigungsoptimierung

Ergebnisse

Erhebliche Steigerung der Produktionsleistung
Reduzierung von Downtime und Produktionskosten
Verbesserung der Nachhaltigkeit durch effizientere Ressourcennutzung

Digitalisierung im Stahlhandel

Klöckner & Co

Digitalisierung im Stahlhandel

Fallstudie
Digitalisierung im Stahlhandel - Klöckner & Co

Ergebnisse

Über 2 Milliarden Euro Umsatz jährlich über digitale Kanäle
Ziel, bis 2022 60% des Umsatzes online zu erzielen
Verbesserung der Kundenzufriedenheit durch automatisierte Prozesse

Lassen Sie uns

Zusammenarbeiten!

Ist Ihr Unternehmen bereit für den nächsten Schritt in die digitale Zukunft? Kontaktieren Sie uns für eine persönliche Beratung.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten

ADVISORI Logo
BlogCase StudiesÜber uns
info@advisori.de+49 69 913 113-01