DSGVO für Agenturen und Freelancer: Pflichten gegenüber Kunden
Agenturen und Freelancer haben besondere DSGVO-Pflichten: AVV, Unterauftragsverarbeiter, Haftung und sichere Übergabe. Der komplette Leitfaden mit Checklisten.
Agenturen und Freelancer bewegen sich datenschutzrechtlich in einer komplexen Doppelrolle: Sie verarbeiten eigene Daten (Mitarbeiter, Kunden, Interessenten) und gleichzeitig die Daten ihrer Auftraggeber. Wer Websites entwickelt, Hosting verwaltet oder Marketing-Kampagnen betreut, wird in vielen Fällen zum Auftragsverarbeiter nach Art. 28 DSGVO — mit allen Pflichten, die das mit sich bringt.
Dieser Leitfaden zeigt dir, wann du als Agentur oder Freelancer Auftragsverarbeiter bist, welche Verträge du brauchst, wie du dich gegen Haftung absicherst und wie du Kundenprojekte DSGVO-konform übergibst.
Wann bist du Auftragsverarbeiter?
Die Abgrenzung zwischen eigener Verantwortlichkeit und Auftragsverarbeitung ist in der Praxis oft unklar. Die entscheidende Frage lautet: Verarbeitest du personenbezogene Daten im Auftrag und nach Weisung deines Kunden?
Typische Auftragsverarbeitung
| Tätigkeit | Begründung |
|---|---|
| Webhosting für Kunden | Du speicherst Kundendaten (Besucher-IPs, Formulardaten) auf deinem Server |
| Newsletterversand | Du versendest E-Mails an die Abonnenten deines Kunden |
| Website-Wartung mit DB-Zugriff | Du hast Zugriff auf die Datenbank mit Kundendaten (Bestellungen, Nutzerkonten) |
| Social-Media-Management | Du verwaltest Accounts, siehst Follower-Daten, Nachrichten |
| Google Ads / Meta Ads Management | Du hast Zugriff auf Conversion-Daten, Zielgruppen, Remarketing-Listen |
| Analytics-Auswertung | Du analysierst Nutzerdaten im Analytics-Konto des Kunden |
Eigenständige Verantwortlichkeit (kein AVV nötig)
| Tätigkeit | Begründung |
|---|---|
| Webdesign ohne Datenzugriff | Du erstellst ein Design/Layout, hast aber keinen Zugriff auf Nutzerdaten |
| SEO-Beratung | Du gibst strategische Empfehlungen, verarbeitest aber keine personenbezogenen Daten |
| Print-Design | Kein Bezug zu personenbezogenen Daten |
| Reine Code-Entwicklung (lokal) | Du entwickelst auf deinem Rechner mit Testdaten, nicht mit Echtdaten |
Grauzone: Webentwicklung
Hier wird es kompliziert. Eine reine Webentwicklung mit Dummy-Daten in einer lokalen Entwicklungsumgebung ist in der Regel keine Auftragsverarbeitung. Sobald du aber Zugriff auf die Produktivumgebung mit echten Nutzerdaten hast — zum Beispiel für Deployment, Bugfixing oder Datenbankmigrationen — wirst du zum Auftragsverarbeiter.
Empfehlung: Im Zweifel immer einen AVV abschließen. Der Aufwand ist gering, die rechtliche Sicherheit erheblich.
AVV mit jedem Kunden: Pflichtinhalte nach Art. 28
Wenn du Auftragsverarbeiter bist, brauchst du mit jedem Kunden einen Auftragsverarbeitungsvertrag. Art. 28 Abs. 3 DSGVO legt die Mindestinhalte fest:
Pflichtbestandteile deines AVV
- Gegenstand und Dauer: Was genau verarbeitest du und wie lange? (z.B. “Hosting der Website inkl. Logfiles, Dauer: Vertragslaufzeit + 30 Tage”)
- Art und Zweck: Welche Verarbeitungstätigkeiten führst du durch? (z.B. “Speicherung, Sicherung, Übermittlung”)
- Datenkategorien: Welche personenbezogenen Daten sind betroffen? (z.B. IP-Adressen, E-Mail-Adressen, Bestelldaten)
- Betroffene Personen: Wessen Daten verarbeitest du? (z.B. Website-Besucher, Kunden des Auftraggebers)
- Weisungsgebundenheit: Du darfst Daten nur nach Weisung des Kunden verarbeiten (Art. 29 DSGVO)
- Vertraulichkeit: Alle Personen mit Zugang müssen zur Vertraulichkeit verpflichtet sein
- TOMs: Beschreibung deiner technischen und organisatorischen Maßnahmen (Verschlüsselung, Zugangskontrolle, Backups)
- Unterauftragsverarbeiter: Liste aller Sub-Dienstleister mit Genehmigungsvorbehalt
- Unterstützungspflichten: Hilfe bei Betroffenenrechten, Meldepflichten, DSFA
- Löschung nach Vertragsende: Daten löschen oder zurückgeben
- Kontroll- und Auditrechte: Der Kunde muss die Einhaltung prüfen dürfen
Formerfordernis: Der AVV muss schriftlich oder in einem elektronischen Format vorliegen (Art. 28 Abs. 9 DSGVO). Eine E-Mail mit PDF-Anhang und digitaler Unterschrift reicht aus.
Unterauftragsverarbeiter: Deine Sub-Dienstleister auflisten
Als Agentur nutzt du dutzende Tools und Dienste. Jeder davon, der potenziell mit den Daten deiner Kunden in Kontakt kommt, ist ein Unterauftragsverarbeiter. Du musst diese im AVV auflisten und dein Kunde muss sie genehmigen (Art. 28 Abs. 2 DSGVO).
Typische Unterauftragsverarbeiter einer Agentur
| Kategorie | Dienste | AVV verfügbar? |
|---|---|---|
| Hosting | Hetzner, IONOS, AWS, DigitalOcean, Vercel, Netlify | Ja (alle) |
| Analytics | Google Analytics, Matomo Cloud, Plausible Cloud | Ja |
| Brevo, Mailchimp, Postmark, SendGrid | Ja | |
| CMS | WordPress.com, Contentful, Strapi Cloud | Ja |
| Monitoring | Sentry, New Relic, Datadog | Ja |
| CDN | Cloudflare, BunnyCDN, Fastly | Ja |
| Projektmanagement | Asana, Monday, Notion, ClickUp | Ja (meistens) |
| Kommunikation | Slack, Microsoft Teams, Google Workspace | Ja |
| Versionskontrolle | GitHub, GitLab, Bitbucket | Ja |
| Design | Figma, Canva | Ja |
Wichtig: Auch wenn du einen Dienst nur intern nutzt (z.B. Slack für die Kommunikation), kann er zum Unterauftragsverarbeiter werden, sobald du dort Kundendaten teilst — etwa Screenshots mit Nutzerdaten, Logfiles oder Datenbank-Exports.
Genehmigungsverfahren
Art. 28 Abs. 2 DSGVO bietet zwei Modelle:
- Einzelgenehmigung: Der Kunde genehmigt jeden neuen Unterauftragsverarbeiter einzeln. Sicher, aber aufwändig.
- Allgemeine Genehmigung: Der Kunde genehmigt die aktuelle Liste und wird bei Änderungen vorab informiert (mit Widerspruchsrecht). Praxistauglicher.
Haftung bei DSGVO-Verstößen
Die Haftung ist der Punkt, der Agenturen und Freelancer am meisten betrifft — und am wenigsten bekannt ist.
Gesamtschuldnerische Haftung (Art. 82 DSGVO)
Art. 82 Abs. 4 DSGVO sieht eine gesamtschuldnerische Haftung vor: Wenn sowohl Verantwortlicher (dein Kunde) als auch Auftragsverarbeiter (du) an einer schadhaften Verarbeitung beteiligt sind, kann der Betroffene den vollen Schadensersatz von jedem der Beteiligten verlangen.
Konkretes Beispiel: Du hostest die Website deines Kunden. Ein Plugin hat eine Sicherheitslücke, über die Kundendaten abfließen. Der Betroffene kann den gesamten Schaden von dir einfordern — auch wenn die Sicherheitslücke im Plugin des Kunden lag. Du kannst anschließend Regress beim Kunden nehmen, aber das Risiko liegt zunächst bei dir.
Bußgelder
Art. 83 Abs. 4 DSGVO sieht für Verstöße gegen Art. 28 (fehlendes AVV, unzureichende TOMs) Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes vor. In der Praxis liegen die Bußgelder für KMU zwischen 5.000 und 50.000 Euro — aber auch das kann für einen Freelancer existenzbedrohend sein.
Reale Fälle
- Kolibri Image (Niederlande, 2021): Eine Marketingagentur wurde mit 12.000 Euro Bußgeld belegt, weil sie Newsletter an eine Liste versendete, für die kein gültiges Opt-in vorlag.
- Verschiedene deutsche Fälle: Mehrere Webagenturen erhielten Abmahnungen wegen fehlender AVVs mit Hosting-Anbietern und externer Einbindung von Google Fonts auf Kundenwebsites.
Vertragliche Absicherung: DSGVO-Klauseln in deinen AGB
Neben dem AVV solltest du deine allgemeinen Geschäftsbedingungen um DSGVO-relevante Klauseln ergänzen:
Empfohlene Vertragsklauseln
- Mitwirkungspflichten des Kunden: Der Kunde muss dir die notwendigen Informationen zur Datenschutz-Compliance liefern (z.B. welche Daten verarbeitet werden, welche Rechtsgrundlagen bestehen).
- Haftungsbegrenzung: Begrenze deine Haftung für datenschutzrechtliche Verstöße, die der Kunde durch fehlerhafte Weisungen verursacht.
- Pflicht zur DSE-Pflege: Der Kunde ist verantwortlich für die Aktualisierung seiner Datenschutzerklärung. Du stellst die technische Lösung bereit, nicht die rechtliche Prüfung.
- Zugangsregelung: Definiere klar, welche Zugänge du zu Kundensystemen hast und wie diese nach Vertragsende entzogen werden.
- Keine Rechtsberatung: Stelle klar, dass du keine Rechtsberatung erbringst und der Kunde für die Rechtmäßigkeit seiner Datenverarbeitung selbst verantwortlich ist.
Kunden-Websites DSGVO-konform übergeben
Die Übergabe einer fertigen Website an den Kunden ist ein kritischer Moment. Wenn die Website bei Go-Live DSGVO-Verstöße aufweist, haftest du mit.
Übergabe-Checkliste (technisch)
| Prüfpunkt | Details |
|---|---|
| SSL/TLS | HTTPS auf allen Seiten, HSTS-Header aktiv, kein Mixed Content |
| Cookie-Banner | CMP mit echtem Script-Blocking, gleichwertige Buttons, Consent-Dokumentation |
| Google Fonts | Lokal eingebunden, keine Requests an fonts.googleapis.com |
| Analytics | Nur nach Consent, Consent Mode v2 konfiguriert (falls Google) |
| Impressum | Vollständig nach DDG SS 5, von jeder Seite erreichbar |
| Datenschutzerklärung | Alle Verarbeitungen dokumentiert, von jeder Seite erreichbar |
| Kontaktformulare | Verschlüsselte Übertragung, nur notwendige Felder, Hinweis auf Verarbeitung |
| Third-Party-Requests | Keine unkontrollierten externen Verbindungen vor Consent |
| Security-Headers | X-Content-Type-Options, X-Frame-Options, Referrer-Policy |
Übergabedokument erstellen
Erstelle für jeden Kunden ein Übergabedokument mit:
- Liste aller eingesetzten Drittanbieter-Dienste (mit Hinweis auf AVV-Pflicht)
- Cookie-Tabelle (Name, Zweck, Laufzeit, Anbieter, Kategorie)
- Empfehlungen für regelmäßige Scans und Aktualisierungen
- Hinweis auf Verantwortlichkeiten nach Übergabe
Tools für Agenturen: Multi-Domain-Verwaltung
Agenturen betreuen oft dutzende Kundenprojekte gleichzeitig. Einzelne CMP-Lizenzen pro Domain werden schnell teuer und unübersichtlich.
Was eine Agentur-Lösung können muss
- Zentrales Dashboard: Alle Kunden-Domains in einem Account verwalten
- Individuelle Banner-Konfiguration: Pro Domain eigenes Design, eigene Cookie-Kategorien
- Automatische Scans: Regelmäßige Compliance-Checks ohne manuellen Aufwand
- White-Label: Banner ohne Anbieter-Branding für Kundenprojekte
- Rechtstexte pro Domain: Individuelle Datenschutzerklärungen basierend auf den tatsächlich eingesetzten Diensten
Compliso Agency-Plan
Der Compliso Agency-Plan ist speziell für diese Anforderungen konzipiert:
| Feature | Agency-Plan |
|---|---|
| Domains | Bis zu 25 |
| Scans | Täglich, automatisch, 500 Seiten pro Domain |
| Cookie-Banner | Alle Layouts, A/B-Testing, White-Label |
| Rechtstexte | Content-Generator für alle Domains |
| DSGVO-Checks | 30 Prüfpunkte pro Scan |
| Barrierefreiheit | axe-core WCAG-Prüfung inklusive |
| Preis | 129 EUR/Mo (116 EUR/Mo bei Jahreszahlung) |
Zum Vergleich: 25 einzelne Cookiebot-Lizenzen kosten mindestens 300 EUR/Mo — ohne Scanner, ohne Rechtstexte, ohne Accessibility.
Praxis-Checkliste: DSGVO für Agenturen und Freelancer
- AVV-Vorlage erstellt und mit jedem Kunden abgeschlossen?
- Liste aller eigenen Unterauftragsverarbeiter aktuell und im AVV referenziert?
- TOMs dokumentiert (Verschlüsselung, Zugangskontrolle, Backup-Konzept)?
- AGB um DSGVO-Klauseln ergänzt (Mitwirkungspflichten, Haftungsbegrenzung)?
- Kunden-Websites vor Übergabe auf DSGVO-Konformität geprüft?
- Google Fonts lokal eingebunden auf allen Kundenprojekten?
- Cookie-Banner mit echtem Script-Blocking auf allen Kundenprojekten?
- Übergabedokument mit Drittanbieter-Liste und Cookie-Tabelle für jeden Kunden?
- Kundenzugänge nach Vertragsende nachweisbar entzogen?
- Regelmäßige Scans aller betreuten Domains auf neue Tracker und Cookies?
- Berufshaftpflichtversicherung mit Datenschutz-Deckung abgeschlossen?
Fazit
DSGVO-Compliance ist für Agenturen und Freelancer kein optionales Nice-to-have, sondern eine Kernverantwortung gegenüber den eigenen Kunden. Fehlende AVVs, ungeprüfte Websites und undokumentierte Unterauftragsverarbeiter sind die häufigsten Risiken — und gleichzeitig die am einfachsten zu beseitigenden.
Mit einer zentralen Plattform wie Compliso kannst du alle Kundenprojekte im Blick behalten: automatische Scans erkennen neue Tracker, der Cookie-Banner blockiert Scripts zuverlässig und der Content-Generator erstellt Rechtstexte pro Domain.
Erfahre mehr über den Compliso Agency-Plan — oder scanne eine Kunden-Website jetzt kostenlos, um den aktuellen Compliance-Status zu prüfen.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.