Die mangelnde Kontrolle über Auftragsverarbeiter (Art. 28 DSGVO) ist einer der am schnellsten wachsenden Bußgeldauslöser in der EU. Seit 2018 haben Datenschutzbehörden DSGVO-Bußgelder in Höhe von über 7,1 Milliarden EUR verhängt — und ein steigender Anteil betrifft unzureichendes Vendor-Management. Kiteworks: GDPR Fines Hit €7.1 Billion (2026) Das Vodafone-Bußgeld von 45 Millionen EUR im Juni 2025 — davon 15 Millionen EUR explizit für mangelhafte Auftragsverarbeiter-Kontrolle — zeigt: Behörden prüfen nicht mehr nur, ob ein Auftragsverarbeitungsvertrag (AVV) existiert. Sie prüfen, ob Sie Ihre Dienstleister tatsächlich laufend kontrollieren.
Heuking: EUR 45 Mio. DSGVO-Bußgeld gegen VodafoneArt. 28 DSGVO: Was das Gesetz konkret verlangt
Artikel 28 DSGVO definiert die Pflichten des Verantwortlichen bei der Einbindung von Auftragsverarbeitern. Die Anforderungen gehen weit über den Abschluss eines Vertrags hinaus: DSGVO-Gesetz.de: Art. 28 — Auftragsverarbeiter
- Sorgfältige Auswahl: Nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen (TOMs) bieten
- Vertragliche Bindung: Schriftlicher AVV mit allen Pflichtinhalten nach Art. 28 Abs. 3 — Gegenstand, Dauer, Art und Zweck der Verarbeitung, betroffene Personenkategorien, Datenkategorien
- Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Vertraulichkeit: Alle zur Verarbeitung befugten Personen müssen zur Vertraulichkeit verpflichtet sein
- Unterauftragnehmer-Kontrolle: Kein Einsatz von Sub-Processoren ohne vorherige schriftliche Genehmigung (spezifisch oder allgemein mit Widerspruchsrecht)
- Löschpflicht: Nach Ende der Verarbeitung alle personenbezogenen Daten löschen oder zurückgeben
- Kontrollrechte: Dem Verantwortlichen alle erforderlichen Informationen, Prüfungen und Inspektionen ermöglichen
Warum Vendor-Audits der am schnellsten wachsende Bußgeldauslöser sind
Der CMS GDPR Enforcement Tracker Report 2025 zeigt: Die Bußgeldhöhen steigen signifikant — vier Bußgelder über 1 Million EUR im Berichtszeitraum 2025 gegenüber nur zwei im Vorjahr. CMS: GDPR Enforcement Tracker Report 2025 Drei Trends treiben diese Entwicklung:
1. Behörden prüfen die gesamte Kette Nicht nur der direkte AVV wird geprüft, sondern die vollständige Unterauftragnehmer-Kette. Die NIS2-Richtlinie verschärft diese Anforderung zusätzlich durch eine Lieferketten-Risikobewertungspflicht. Ein fehlender Sub-Processor-Vertrag kann das Bußgeld für den Verantwortlichen auslösen — auch wenn der direkte Auftragsverarbeiter korrekt agiert. Dr. Datenschutz: Auftragsverarbeitung und Subunternehmer
2. Fortlaufende Kontrollpflicht Gerichte bestätigen: Art. 28 DSGVO begründet eine fortlaufende Überwachungspflicht — nicht nur eine einmalige Prüfung bei Vertragsabschluss. Mindestens jährliche Audits werden empfohlen, bei Hochrisiko-Verarbeitungen halbjährlich. bITs: Kontrollpflichten bei Auftragsverarbeitung
3. Verantwortliche haften für Processor-Fehler Der EuGH-Generalanwalt hat bestätigt: Verantwortliche können für Verstöße ihrer Auftragsverarbeiter mit Bußgeldern belegt werden — auch wenn der Verstoß ausschließlich beim Processor lag. Datenschutz-Notizen: EuGH — Bußgeldhaftung für Auftragsverarbeiter
Reale Bußgeld-Fälle: Auftragsverarbeiter-Versagen
Die jüngsten Enforcement-Aktionen zeigen das Muster:
- Vodafone (DE), Juni 2025 — 45 Mio. EUR: 15 Mio. EUR für jahrelang unzureichende Kontrolle von Partneragenturen als Auftragsverarbeiter; 30 Mio. EUR für Sicherheitsmängel bei der Authentifizierung The Record: Germany Fines Vodafone $51 Million
- Advanced Computer Software (UK), 2025 — £3,1 Mio.: Erstes Bußgeld gegen einen Auftragsverarbeiter selbst unter der UK GDPR — für unzureichende technische Maßnahmen, die einen Ransomware-Angriff mit 79.404 betroffenen Personen ermöglichten Skillcast: Biggest GDPR Fines 2025
- Clearview AI (NL), 2024 — 30,5 Mio. EUR: Die niederländische DPA untersucht zudem die persönliche Haftung der Geschäftsführer für die DSGVO-Verstöße Data Privacy Manager: Biggest GDPR Fines
Das US-Processor-Problem: CLOUD Act trifft DSGVO
Ein besonderes Risiko entsteht, wenn SaaS-Plattformen US-basierte Auftragsverarbeiter einsetzen. Der US CLOUD Act verpflichtet US-Unternehmen zur Datenherausgabe an US-Behörden — unabhängig vom Speicherort der Daten. Das steht in direktem Konflikt mit der DSGVO: Exoscale: CLOUD Act vs. GDPR — Der Konflikt erklärt
- Art. 48 DSGVO legt fest: Gerichtsentscheidungen von Drittstaaten sind nur auf Basis internationaler Abkommen (MLAT) gültig — der CLOUD Act umgeht diese Mechanismen
- Das EDPB hat klargestellt: Service-Provider unter EU-Recht können Datenübermittlungen an US-Behörden nicht allein auf CLOUD-Act-Anfragen stützen
- Standardvertragsklauseln (SCCs) und „EU Sovereign Cloud"-Labels beseitigen diese Exposition nicht — der CLOUD Act folgt der Unternehmenskontrolle, nicht dem Datenstandort
| Kriterium | US-basierter Processor | EU-basierter Processor |
|---|---|---|
| CLOUD Act Exposition | Ja — Herausgabepflicht an US-Behörden | Nein — nur EU-Recht anwendbar |
| Art. 48 DSGVO Konflikt | Unlösbarer Rechtskonflikt | Kein Konflikt |
| Schrems-III-Risiko | DPF kann jederzeit gekippt werden | Keine Abhängigkeit von DPF |
| Sub-Processor-Kette | Oft intransparent, US-Tochtergesellschaften | EU-Kette dokumentierbar |
| AVV-Compliance | Löschpflicht vs. US-Aufbewahrungspflicht | Volle DSGVO-Konformität möglich |
| Audit-Fähigkeit | Vor-Ort-Audits praktisch unmöglich | Vor-Ort-Audits realisierbar |
Vibe-codierte Plattformen: Der blinde Fleck im Vendor-Management
KI-generierte Plattformen haben ein systematisches Problem mit Auftragsverarbeiter-Compliance: Vibe-Coding-Tools binden Third-Party-Services ein, ohne die DSGVO-Implikationen zu berücksichtigen: Scrut: GDPR Fines & Penalties Guide
- Analytics-Tracker (Google Analytics, Hotjar, Mixpanel) — US-Auftragsverarbeiter, oft ohne AVV
- Auth-Provider (Auth0, Firebase Auth, Clerk) — Personenbezogene Daten fließen an US-Dienste
- Payment-Gateways (Stripe, PayPal) — Finanzdaten bei US-Unternehmen
- CDN/Hosting (Cloudflare, Vercel, AWS) — Datenverarbeitung unter US-Jurisdiktion
- KI-APIs (OpenAI, Anthropic) — Nutzerdaten als Input für US-basierte KI-Modelle
- Error-Tracking (Sentry, Bugsnag) — Stack-Traces mit personenbezogenen Daten an US-Server
Ein typisches vibe-codiertes MVP hat 8–15 eingebundene Drittanbieter — und für die meisten davon existiert weder ein geprüfter AVV noch eine dokumentierte Rechtsgrundlage für die Datenübermittlung.
Praxis-Checkliste: Auftragsverarbeiter-Management für SaaS
Ein strukturiertes Vendor-Management nach Art. 28 DSGVO umfasst: RDV: Auswahl und Überprüfung des Auftragsverarbeiters
Vor Vertragsabschluss:
- Prüfung der TOMs des Auftragsverarbeiters (Art. 32 DSGVO)
- Bewertung der Jurisdiktion (EU vs. Drittland)
- AVV mit allen Pflichtinhalten nach Art. 28 Abs. 3
- Dokumentation der Auswahlentscheidung
Laufende Kontrolle:
- Jährlicher Audit — halbjährlich bei Hochrisiko-Verarbeitungen
- Prüfung von Unterauftragnehmer-Änderungen (Widerspruchsrecht wahrnehmen)
- Aktualität des Verarbeitungsverzeichnisses (Art. 30 DSGVO)
- Überwachung der TOM-Umsetzung
Bei Vertragsende:
- Datenlöschung oder -rückgabe bestätigen lassen
- Löschnachweis dokumentieren
- Unterauftragnehmer einbeziehen
Wie AnvilStack DSGVO-konformes Vendor-Management sicherstellt
Wir nutzen KI-Tools für schnelle Entwicklung — aber jeder Drittanbieter wird vor der Integration auf DSGVO-Konformität geprüft:
- Vendor-Assessment vor Integration: Jeder Drittanbieter wird auf Jurisdiktion, TOMs, Sub-Processor-Kette und AVV-Qualität geprüft — bevor eine einzige Zeile Code geschrieben wird
- EU-First-Stack: PostgreSQL (self-hosted), Hetzner (DE), EU-basierte Dienste — keine US-Processor-Abhängigkeiten in der Kern-Infrastruktur
- Vollständiges Verarbeitungsverzeichnis: Art.-30-konforme Dokumentation aller Datenflüsse, automatisch aktualisiert bei Architekturänderungen
- Sub-Processor-Monitoring: Automatisierte Benachrichtigung bei Unterauftragnehmer-Änderungen der eingesetzten Dienste
- CLOUD-Act-frei: Durch exklusives Hetzner-Hosting (Deutschland) und EU-basierte Tool-Kette entfällt das Risiko US-amerikanischer Datenherausgabepflichten. Unser Security-Hardening-Service implementiert die technischen Schutzmaßnahmen nach Art. 32 DSGVO
- Audit-Dokumentation: Alle Vendor-Entscheidungen dokumentiert und jederzeit vorlagefähig für Behördenprüfungen
In einem kostenlosen Erstgespräch bewerten wir Ihre SaaS-Plattform auf DSGVO-konforme Auftragsverarbeiter-Integration — von der Sub-Processor-Kette bis zur CLOUD-Act-Exposition. Ab €5.000+ migrieren und härten wir Ihre Plattform auf EU-souveräner Infrastruktur.
Quellen
- DSGVO-Gesetz.de: Art. 28 — Auftragsverarbeiter
- DSK: Kurzpapier Nr. 13 — Auftragsverarbeitung
- Kiteworks: GDPR Fines Hit €7.1 Billion (2026)
- CMS: GDPR Enforcement Tracker Report 2025
- Heuking: EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone
- The Record: Germany Fines Vodafone $51 Million
- Skillcast: Biggest GDPR Fines 2025
- Datenschutz-Notizen: EuGH-Generalanwalt — Bußgeldhaftung
- Exoscale: CLOUD Act vs. GDPR
- Kiteworks: CLOUD Act & European Data Protection
- bITs: Kontrollpflichten bei Auftragsverarbeitung
- Dr. Datenschutz: Auftragsverarbeitung und Subunternehmer
- RDV: Auswahl und Überprüfung des Auftragsverarbeiters
- BayLfD: Orientierungshilfe Auftragsverarbeitung
- Scrut: GDPR Fines & Penalties Guide
- Data Privacy Manager: Biggest GDPR Fines