Die mangelnde Kontrolle über Auftragsverarbeiter (Art. 28 DSGVO) ist einer der am schnellsten wachsenden Bußgeldauslöser in der EU. Seit 2018 haben Datenschutzbehörden DSGVO-Bußgelder in Höhe von über 7,1 Milliarden EUR verhängt – und ein steigender Anteil betrifft unzureichendes Vendor-Management. Kiteworks: GDPR Fines Hit €7.1 Billion (2026) Das Vodafone-Bußgeld von 45 Millionen EUR im Juni 2025 – davon 15 Millionen EUR explizit für mangelhafte Auftragsverarbeiter-Kontrolle – zeigt: Behörden prüfen nicht mehr nur, ob ein Auftragsverarbeitungsvertrag (AVV) existiert. Sie prüfen, ob Sie Ihre Dienstleister tatsächlich laufend kontrollieren.
Heuking: EUR 45 Mio. DSGVO-Bußgeld gegen VodafoneArt. 28 DSGVO: Was das Gesetz konkret verlangt
Artikel 28 DSGVO definiert die Pflichten des Verantwortlichen bei der Einbindung von Auftragsverarbeitern. Die Anforderungen gehen weit über den Abschluss eines Vertrags hinaus: DSGVO-Gesetz.de: Art. 28 – Auftragsverarbeiter
- Sorgfältige Auswahl: Nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen (TOMs) bieten
- Vertragliche Bindung: Schriftlicher AVV mit allen Pflichtinhalten nach Art. 28 Abs. 3 – Gegenstand, Dauer, Art und Zweck der Verarbeitung, betroffene Personenkategorien, Datenkategorien
- Weisungsbindung: Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
- Vertraulichkeit: Alle zur Verarbeitung befugten Personen müssen zur Vertraulichkeit verpflichtet sein
- Unterauftragnehmer-Kontrolle: Kein Einsatz von Sub-Processoren ohne vorherige schriftliche Genehmigung (spezifisch oder allgemein mit Widerspruchsrecht)
- Löschpflicht: Nach Ende der Verarbeitung alle personenbezogenen Daten löschen oder zurückgeben
- Kontrollrechte: Dem Verantwortlichen alle erforderlichen Informationen, Prüfungen und Inspektionen ermöglichen
Warum Vendor-Audits der am schnellsten wachsende Bußgeldauslöser sind
Der CMS GDPR Enforcement Tracker Report 2025 zeigt: Die Bußgeldhöhen steigen signifikant – vier Bußgelder über 1 Million EUR im Berichtszeitraum 2025 gegenüber nur zwei im Vorjahr. CMS: GDPR Enforcement Tracker Report 2025 Drei Trends treiben diese Entwicklung:
1. Behörden prüfen die gesamte Kette Nicht nur der direkte AVV wird geprüft, sondern die vollständige Unterauftragnehmer-Kette. Die NIS2-Richtlinie verschärft diese Anforderung zusätzlich durch eine Lieferketten-Risikobewertungspflicht. Ein fehlender Sub-Processor-Vertrag kann das Bußgeld für den Verantwortlichen auslösen – auch wenn der direkte Auftragsverarbeiter korrekt agiert. Dr. Datenschutz: Auftragsverarbeitung und Subunternehmer
2. Fortlaufende Kontrollpflicht Gerichte bestätigen: Art. 28 DSGVO begründet eine fortlaufende Überwachungspflicht – nicht nur eine einmalige Prüfung bei Vertragsabschluss. Ein festes Intervall nennt die DSGVO nicht; die Häufigkeit richtet sich risikobasiert nach Art und Umfang der Verarbeitung. In der Praxis gelten Kontrollen etwa alle ein bis anderthalb Jahre als angemessen, bei Hochrisiko-Verarbeitungen entsprechend häufiger. bITs: Kontrollpflichten bei Auftragsverarbeitung
3. Verantwortliche haften für Processor-Fehler – aber nur innerhalb ihrer Weisungen Der EuGH hat in seinem Urteil vom 5. Dezember 2023 (Rechtssache C-683/21) bestätigt: Verantwortliche können für unrechtmäßige Verarbeitungen ihrer Auftragsverarbeiter mit Bußgeldern belegt werden – aber nur, wenn die Verarbeitung innerhalb ihrer Weisungen erfolgte und sie selbst vorsätzlich oder fahrlässig gehandelt haben. Handelt der Auftragsverarbeiter eigenmächtig oder weisungswidrig zu eigenen Zwecken, besteht keine Haftung des Verantwortlichen. EuGH: Urteil vom 5.12.2023, Rechtssache C-683/21
Reale Bußgeld-Fälle: Auftragsverarbeiter-Versagen
Die jüngsten Enforcement-Aktionen zeigen das Muster:
- Vodafone (DE), Juni 2025 – 45 Mio. EUR: 15 Mio. EUR für jahrelang unzureichende Kontrolle von Partneragenturen als Auftragsverarbeiter; 30 Mio. EUR für Sicherheitsmängel bei der Authentifizierung The Record: Germany Fines Vodafone $51 Million
- Advanced Computer Software (UK), 2025 – £3,07 Mio.: Erstes Bußgeld der ICO gegen einen Auftragsverarbeiter selbst unter der UK GDPR (verhängt am 27. März 2025) – für unzureichende technische und organisatorische Maßnahmen (u.a. fehlende Multi-Faktor-Authentifizierung, mangelhaftes Patch-Management), die einen Ransomware-Angriff mit 79.404 betroffenen Personen ermöglichten ICO: Advanced Computer Software Group Limited
- Clearview AI (NL), 2024 – 30,5 Mio. EUR: Die niederländische DPA untersucht zudem die persönliche Haftung der Geschäftsführer für die DSGVO-Verstöße Data Privacy Manager: Biggest GDPR Fines
Das US-Processor-Problem: CLOUD Act trifft DSGVO
Ein besonderes Risiko entsteht, wenn SaaS-Plattformen US-basierte Auftragsverarbeiter einsetzen. Der US CLOUD Act verpflichtet US-Unternehmen zur Datenherausgabe an US-Behörden – unabhängig vom Speicherort der Daten. Das steht in direktem Konflikt mit der DSGVO: Exoscale: CLOUD Act vs. GDPR – Der Konflikt erklärt
- Art. 48 DSGVO legt fest: Gerichtsentscheidungen von Drittstaaten sind nur auf Basis internationaler Abkommen (MLAT) gültig – der CLOUD Act umgeht diese Mechanismen
- Das EDPB hat klargestellt: Service-Provider unter EU-Recht können Datenübermittlungen an US-Behörden nicht allein auf CLOUD-Act-Anfragen stützen
- Standardvertragsklauseln (SCCs) und „EU Sovereign Cloud"-Labels beseitigen diese Exposition nicht – der CLOUD Act folgt der Unternehmenskontrolle, nicht dem Datenstandort
| Kriterium | US-basierter Processor | EU-basierter Processor |
|---|---|---|
| CLOUD Act Exposition | Ja – Herausgabepflicht an US-Behörden | Nein – nur EU-Recht anwendbar |
| Art. 48 DSGVO Konflikt | Unlösbarer Rechtskonflikt | Kein Konflikt |
| Schrems-III-Risiko | DPF kann jederzeit gekippt werden | Keine Abhängigkeit von DPF |
| Sub-Processor-Kette | Oft intransparent, US-Tochtergesellschaften | EU-Kette dokumentierbar |
| AVV-Compliance | Löschpflicht vs. US-Aufbewahrungspflicht | Volle DSGVO-Konformität möglich |
| Audit-Fähigkeit | Vor-Ort-Audits praktisch unmöglich | Vor-Ort-Audits realisierbar |
Vibe-codierte Plattformen: Der blinde Fleck im Vendor-Management
KI-generierte Plattformen haben ein systematisches Problem mit Auftragsverarbeiter-Compliance: Vibe-Coding-Tools binden Third-Party-Services ein, ohne die DSGVO-Implikationen zu berücksichtigen: Scrut: GDPR Fines & Penalties Guide
- Analytics-Tracker (Google Analytics, Hotjar, Mixpanel) – US-Auftragsverarbeiter, oft ohne AVV
- Auth-Provider (Auth0, Firebase Auth, Clerk) – Personenbezogene Daten fließen an US-Dienste
- Payment-Gateways (Stripe, PayPal) – Finanzdaten bei US-Unternehmen
- CDN/Hosting (Cloudflare, Vercel, AWS) – Datenverarbeitung unter US-Jurisdiktion
- KI-APIs (OpenAI, Anthropic) – Nutzerdaten als Input für US-basierte KI-Modelle
- Error-Tracking (Sentry, Bugsnag) – Stack-Traces mit personenbezogenen Daten an US-Server
Ein typisches vibe-codiertes MVP hat 8–15 eingebundene Drittanbieter – und für die meisten davon existiert weder ein geprüfter AVV noch eine dokumentierte Rechtsgrundlage für die Datenübermittlung. MakerKit: The SaaS Stack 2026
Praxis-Checkliste: Auftragsverarbeiter-Management für SaaS
Ein strukturiertes Vendor-Management nach Art. 28 DSGVO umfasst: RDV: Auswahl und Überprüfung des Auftragsverarbeiters
Vor Vertragsabschluss:
- Prüfung der TOMs des Auftragsverarbeiters (Art. 32 DSGVO)
- Bewertung der Jurisdiktion (EU vs. Drittland)
- AVV mit allen Pflichtinhalten nach Art. 28 Abs. 3
- Dokumentation der Auswahlentscheidung
Laufende Kontrolle:
- Regelmäßiger Audit (risikobasiert) – häufiger bei Hochrisiko-Verarbeitungen
- Prüfung von Unterauftragnehmer-Änderungen (Widerspruchsrecht wahrnehmen)
- Aktualität des Verarbeitungsverzeichnisses (Art. 30 DSGVO)
- Überwachung der TOM-Umsetzung
Bei Vertragsende:
- Datenlöschung oder -rückgabe bestätigen lassen
- Löschnachweis dokumentieren
- Unterauftragnehmer einbeziehen
Wie AnvilStack DSGVO-konformes Vendor-Management sicherstellt
Wir nutzen KI-Tools für schnelle Entwicklung – aber jeder Drittanbieter wird vor der Integration auf DSGVO-Konformität geprüft:
- Vendor-Assessment vor Integration: Jeder Drittanbieter wird auf Jurisdiktion, TOMs, Sub-Processor-Kette und AVV-Qualität geprüft – bevor eine einzige Zeile Code geschrieben wird
- EU-First-Stack: PostgreSQL (self-hosted), Hetzner (DE), EU-basierte Dienste – keine US-Processor-Abhängigkeiten in der Kern-Infrastruktur
- Vollständiges Verarbeitungsverzeichnis: Art.-30-konforme Dokumentation aller Datenflüsse, automatisch aktualisiert bei Architekturänderungen
- Sub-Processor-Monitoring: Automatisierte Benachrichtigung bei Unterauftragnehmer-Änderungen der eingesetzten Dienste
- CLOUD-Act-frei: Durch exklusives Hetzner-Hosting (Deutschland) und EU-basierte Tool-Kette entfällt das Risiko US-amerikanischer Datenherausgabepflichten. Unser Security-Hardening-Service implementiert die technischen Schutzmaßnahmen nach Art. 32 DSGVO
- Audit-Dokumentation: Alle Vendor-Entscheidungen dokumentiert und jederzeit vorlagefähig für Behördenprüfungen
Im kostenlosen Erstgespräch klären wir Ausgangslage und Ziel; die Analyse bewertet anschließend Ihre SaaS-Plattform auf DSGVO-konforme Auftragsverarbeiter-Integration – von der Sub-Processor-Kette bis zur CLOUD-Act-Exposition. Für €6.000 pro Monat über 6 Monate (€36.000 gesamt) migrieren und härten wir Ihre Plattform auf EU-souveräner Infrastruktur.
Häufig gestellte Fragen
Was ist ein Auftragsverarbeiter nach DSGVO?
Welche Strafen drohen bei mangelhaftem Vendor-Management?
Wie oft muss ich meine Auftragsverarbeiter prüfen?
Warum sind US-basierte Auftragsverarbeiter ein Problem?
Hafte ich für Fehler meiner Auftragsverarbeiter?
Wie viele Drittanbieter hat ein typisches Vibe-Coded MVP?
Quellen
- DSGVO-Gesetz.de: Art. 28 – Auftragsverarbeiter
- DSK: Kurzpapier Nr. 13 – Auftragsverarbeitung
- Kiteworks: GDPR Fines Hit €7.1 Billion (2026)
- CMS: GDPR Enforcement Tracker Report 2025
- Heuking: EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone
- The Record: Germany Fines Vodafone $51 Million
- ICO: Advanced Computer Software Group Limited
- EuGH: Urteil vom 5.12.2023, Rechtssache C-683/21
- Exoscale: CLOUD Act vs. GDPR
- Kiteworks: CLOUD Act & European Data Protection
- bITs: Kontrollpflichten bei Auftragsverarbeitung
- Dr. Datenschutz: Auftragsverarbeitung und Subunternehmer
- RDV: Auswahl und Überprüfung des Auftragsverarbeiters
- BayLfD: Orientierungshilfe Auftragsverarbeitung
- Scrut: GDPR Fines & Penalties Guide
- MakerKit: The SaaS Stack 2026
- Data Privacy Manager: Biggest GDPR Fines