Auftrags- vs. Aufsichtsverarbeitung: Wo sind die Unterschiede?

Artikel von Dr. Datenschutz·27. Januar 2026

Eine zentrale Säule für einen rechtmäßigen Datenaustausch unter der DSGVO ist die Auftragsdatenverarbeitung (Art. 28 DSGVO). Neben der Auftragsverwaltung gibt es aber auch die weniger beachtete Aufsichtsverwaltung (Art. 29 DSGVO). Der Beitrag beleuchtet die Idee der Aufsichtsverarbeitung und stellt diese der Auftragsverarbeitung gegenüber.

Der Inhalt im Überblick

Aufsichts- vs. Auftragsverarbeitung – Definition laut DSGVO
Das Weisungsrecht als wesentliches Unterscheidungskriterium?
Art. 29 DSGVO – ein gesetzliches Mauerblümchen?

Aufsichts- vs. Auftragsverarbeitung – Definition laut DSGVO

Wie bei (fast) jeder juristischen Analyse empfiehlt es sich, am Anfang die Normtexte gegenüberzustellen. Diese lauten wie folgt:

Art. 29 DSGVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters)

„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“

Stellt man dem Text den des Art. 28 Abs. 3 S. 2 lit. a) DSGVO gegenüber, findet man folgende ähnliche Bestimmung:

Art. 28 DSGVO

„Dieser Vertrag (…) sieht (.) vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen (…) verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten (…) hierzu verpflichtet ist“

Das Weisungsrecht als wesentliches Unterscheidungskriterium?

So weit, so gleich, könnte man meinen. Legt man beide Texte jedoch aufeinander, findet man jedoch folgenden Satzteil in Art. 29 DSGVO: „Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die (…)“. Aufgrund dieses Satzteils „jede (…) unterstellte Person” kann man davon ausgehen, dass dem Verantwortlichen bei der Aufsichtsverarbeitung ein Weisungsrecht zusteht, das über das der Auftragsverarbeitung hinausgeht.
Während dem Auftraggeber bei der Auftragsverarbeitung nur gegenüber dem Auftragnehmer ein Weisungsrecht zusteht, kann bei der Aufsichtsverarbeitung jeder unterstellten Person eine Weisung erteilt werden.

Damit ließen sich beispielsweise freiberufliche Beauftragte wie Anwälte oder Steuerberater erfassen, bei denen die Bedingungen der Auftragsverarbeitung nur schwer zu erfüllen sind. Aber auch andere Projektdienstleister, die wegen ihrer Expertise faktisch unabhängig sind, können so einem Weisungsrecht unterstellt werden. Selbstverständlich sollte zuvor die Frage geklärt werden, ob eine betriebliche Eingliederung der Person zur Begründung der Aufsichtsverarbeitung sinnvoll ist.

Art. 29 DSGVO – ein gesetzliches Mauerblümchen?

In der Praxis spielt Art. 29 DSGVO bislang keine große Rolle. Es wird oft eher ein Auftragsverarbeitungsvertrag geschlossen. Wenn jedoch rechtlich oder tatsächlich kein Auftragsverarbeitungsvertrag geschlossen werden kann, der Auftraggeber aber ein Weisungsrecht eingeräumt haben will, bietet sich die Aufsichtsverarbeitung an. Für diese bedarf es keines Vertrags, sondern lediglich der faktischen Eingliederung der jeweiligen Person. So kann im Einzelfall eine Situation erreicht werden, die der Auftragsverarbeitung teils ähnelt aber keine ist. Ein Kuriosum sicher, aber vielleicht ein nützliches.

- Auftragsverarbeiter
  Anforderungen an die DienstleisterkontrolleFachbeitrag·19. Mai 2025
- Wann haften Verantwortliche für ihre Auftragsverarbeiter?Urteil·7. November 2024
- Regelung der Dienstleisterkontrolle bei der AuftragsverarbeitungFachbeitrag·9. September 2024
Mehr zum Thema
- Auftragsverarbeitung
  Auftragsverarbeitung: Subdienstleisterwechsel in der KriseFachbeitrag·19. Januar 2026
- Digitale Gesundheit & PatientendatenschutzFachbeitrag·6. Januar 2026
- Gemeinsame Verantwortlichkeit beim Lettershop-Verfahren?Urteil·11. Dezember 2025
Mehr zum Thema
- Auftragsverarbeitungsvertrag
  Auftragsverarbeitung: Subdienstleisterwechsel in der KriseFachbeitrag·19. Januar 2026
- AVV vs. SLA: Was ist bei IT-Notfällen wichtiger?Fachbeitrag·16. Januar 2026
- HBDI Hessen – Microsoft 365 ist datenschutzkonform nutzbarFachbeitrag·3. Dezember 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Interessante Überlegungen, nur fehlt leider eine Auseinandersetzung mit den entscheidenden Begriffen: „unterstellt“ und „faktische Eingliederung“. Wie kann z.B. ein Anwalt oder Steuerberater „faktisch unterstellt“ werden?

Arch Lindhorst am 29. Januar 2026, 09:26 Uhr

Antworten
- Mangels bisheriger relevanter Auseinandersetzung der Gerichte und juristischen Literatur sind die Maßstäbe für eine tragfähige Unterstellung oder faktische Eingliederung noch ungeklärt.
  
  Um diese auf eine rechtssichere Grundlage zu stellen, sollten bestenfalls die folgenden Punkte bedacht und geregelt werden:
  - Wer verarbeitet,
  - wann wird verarbeitet,
  - was wird verarbeitet und
  - wie wird verarbeitet.
  Pragmatisch wäre es an den obigen Punkten gemessen, die Person in die materielle und immaterielle betriebliche Infrastruktur so gut wie möglich einzubinden (eigener Arbeitsplatz, vorgegebene Software für die Arbeit…).
  Für eine weitere Konkretisierung kann man sich daran orientieren, wie die Arbeit von Syndikus-Anwälten organisiert ist. Auch diese sollen nach § 46 BRAO weisungsunabhängig sein, sind aber bei ihrer Arbeit infrastrukturell abhängig. Alles Weitere wird eine Frage des Einzelfalls sein.
  Dr. Datenschutz am 3. Februar 2026, 13:55 Uhr
  
  Antworten
Vielen Dank für diesen Newsletter. Art 29 liegt mir sehr am Herzen.
Es würde mich sehr freuen, von Dr. Datenschutz eine Rückmeldung zu erhalten, ob weitere Einzelfälle neben den bereits genannten durch den Newsletter bekannt geworden sind.
Im Fall der gesetzlichen Unfallversicherung fällt der sogenannte Beratungsarzt unter diese Vorschrift.

Datenschutzbeauftragter am 29. Januar 2026, 10:51 Uhr

Antworten
- Die – dem Autor – bekannten Fälle, in denen in Richtung Art. 29 DSGVO beraten wurde sind:
  
  • die Beauftragung von Freelancern als Einzelpersonen,
  • sowie bei Beratungsfirmen angestellte Projektbeschäftigte
  
  Im Übrigen sind dem Autor aus seiner bisherigen Beratungspraxis keine Fälle bekannt, in die in Richtung von Art. 29 DSGVO beraten wurde.
  
  Dr. Datenschutz am 4. Februar 2026, 14:27 Uhr
  
  Antworten
Vielen Dank für die Darstellung – tatsächlich stellt sich mir die Frage, ob die betriebliche Eingliederung einer zu weisenden Person dann nicht wiederum einer Arbeitnehmerüberlassung gleichkommt, womit ohnehin § 26 Abs. 8 BDSG einschlägig wäre… Dienst-/Werkleistungsverträge lassen sich für mein Dafürhalten jedenfalls nur schwer über Art. 29 DSGVO abbilden.

NG am 2. Februar 2026, 13:02 Uhr

Antworten
- Es gibt jedenfalls nur wenige von den Aufsichtsbehörden oder Gerichten festgelegte Maßstäbe dafür, wann eine Person, die einen Werk- oder Dienstvertrag abgeschlossen hat, unter Aufsicht arbeitet.
  Dies lässt sich am ehesten bei Projekten abbilden, bei denen die externen Projektteilnehmer einen vom Auftraggeber bereitgestellten Arbeitsplatz und Arbeitsmittel erhalten. Ein Beispiel hierfür ist die Implementierung einer SAP-Infrastruktur. Dies setzt jedoch voraus, dass wesentliche Teile des Projekts vor Ort im Betrieb erledigt werden sollen oder müssen. Dass dem so ist, sollte dann auch vertraglich geregelt werden.
  
  Wo sehen Sie einen Zusammenhang zwischen § 26 Abs. 8 BDSG und dem datenschutzrechtlichen Weisungsrecht nach Art. 29 DSGVO? Bei Einschlägigkeit von § 26 Abs. 8 BDSG darf der Verantwortliche die Daten gemäß den für Beschäftigte geltenden Regeln verarbeiten. Dann mag ein arbeitsrechtliches Weisungsrecht bestehen, aber nicht notwendig ein datenschutzrechtliches. Hierzu trifft § 26 Abs. 8 BDSG keine eigene Regelung.
  
  Dr. Datenschutz am 3. Februar 2026, 13:52 Uhr
  
  Antworten