DSGVO Subprozessor-Änderungsmitteilung: Kostenlose Vorlage (DOCX & PDF)
Published 11. Juli 2026
By Orbiq Team

DSGVO Subprozessor-Änderungsmitteilung: Kostenlose Vorlage (DOCX & PDF)

Kostenlose Vorlage für die DSGVO-Subprozessor-Änderungsmitteilung mit allen vom EDSA erwarteten Feldern, plus E-Mail-Variante, Widerspruchsbearbeitung und Freigabe-Workflow.

DSGVO
Subprozessoren
Vorlagen
Datenschutz
AVV

Vorlage herunterladen

Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch

DSGVO Subprozessor-Änderungsmitteilung: Vorlage (Word, PDF & Markdown)

Diese kostenlose Vorlage für Subprozessor-Änderungsmitteilungen liefert Ihnen eine versandfertige Benachrichtigung nach DSGVO Artikel 28 Abs. 2: jedes Feld, das die EDSA-Stellungnahme 22/2024 erwartet — Identität des Subprozessors, Ansprechpartner, Dienst- und Datenkategorien, Ort der Verarbeitung, Übermittlungsmechanismus, Wirksamkeitsdatum und Widerspruchsfrist — plus die E-Mail-Variante der Mitteilung, Muster-Antworttexte für Widersprüche und den internen Freigabe-Workflow. Laden Sie sie als Word (DOCX), PDF oder maschinenlesbare Markdown-Datei herunter, aus der Ihr KI-Tooling Entwürfe erstellen kann (die herunterladbaren Dateien sind auf Englisch).

Unter allgemeiner schriftlicher Genehmigung müssen Sie jeden betroffenen Verantwortlichen über eine beabsichtigte Hinzufügung oder Ersetzung eines Subprozessors informieren und ihm eine echte Gelegenheit zum Widerspruch geben, bevor die Änderung wirksam wird. Seit der EDSA-Stellungnahme 22/2024 genügt eine einzeilige „Wir haben Anbieter X hinzugefügt"-E-Mail dieser Anforderung nicht mehr. Diese Vorlage bündelt die Mitteilung, die die meisten europäischen Datenschutzbeauftragten heute erwarten. Für den Prozess dahinter — Mitteilungsfenster, Grenzen von Schweigen-als-Zustimmung, Abonnenten-Modelle — lesen Sie den vollständigen Leitfaden: DSGVO-Änderungsmitteilungen für Subprozessoren: Der Meldeprozess nach Artikel 28.

Die wichtigsten Erkenntnisse

  1. Die Mitteilung ist ein strukturiertes Dokument, keine Höflichkeits-E-Mail. Nach der EDSA-Stellungnahme 22/2024 muss sie genügend Details für eine informierte Widerspruchsentscheidung des Verantwortlichen enthalten — die acht Pflichtfelder der Vorlage bilden diese Erwartung eins zu eins ab.
  2. Die Frist geben Sie an, weil die DSGVO es nicht tut. Artikel 28 legt keine gesetzliche Mitteilungsfrist fest. Die Vorlage zwingt Sie, eine explizite Widerspruchsfrist samt Widerspruchsweg zu nennen, abgeleitet aus Ihrem AVV — in der europäischen Praxis typischerweise ~15 Tage, 30–60 Tage verhandelt, 90 Tage selten.
  3. Übermittlungen sind Teil der Mitteilung. Verarbeitet der neue Subprozessor Daten außerhalb des EWR, muss die Mitteilung den Mechanismus benennen — Standardvertragsklauseln oder ein Angemessenheitsbeschluss —, damit Verantwortliche ihre eigene Übermittlungsbewertung durchführen können.
  4. Die Freigabe kommt vor dem Versand. Den eingebauten Workflow (Recht → DSB → Veröffentlichen → Benachrichtigen) gibt es, weil eine Mitteilung, die vor der Aktualisierung der Subprozessor-Liste oder vor Abschluss der Übermittlungsanalyse verschickt wird, genau die Audit-Lücke erzeugt, die sie schließen sollte.
  5. Eine Vorlage deckt EU, EWR und UK ab. Die UK GDPR und Norwegens personopplysningsloven übernehmen Artikel 28 in derselben Form — eine Mitteilung nach der strengsten Auslegung funktioniert in allen drei Räumen.

Was in der Vorlage steckt

Das Kernartefakt ist das Mitteilungsdokument selbst — die eigentliche DSGVO-Subprozessor-Benachrichtigungsvorlage — ein Ausfüllformular mit den acht Feldern, die ein Verantwortlicher (und sein Datenschutzbeauftragter) zur Bewertung der Änderung benötigt:

FeldWas Sie eintragenWarum es erforderlich ist
Name & Anschrift des SubprozessorsName der juristischen Person und eingetragene AnschriftGrundlegende Identifizierung — die EDSA-Stellungnahme 22/2024 erwartet die Identität jedes Akteurs in der Kette
Land / Ort der VerarbeitungWo die Daten tatsächlich verarbeitet werdenEntscheidet, ob die Übermittlungsregeln des Kapitels V greifen
Dienst- / VerarbeitungsbeschreibungWas der Subprozessor tut und welche Ihrer Produkte er unterstütztVerantwortliche müssen wissen, welche Verarbeitung anvertraut wird, nicht nur an wen
Kategorien personenbezogener DatenZ. B. Kontaktdaten, Nutzungsdaten, Support-InhalteErlaubt dem Verantwortlichen die Risikoeinschätzung und die Prüfung, ob besondere Kategorien betroffen sind
ÜbermittlungsmechanismusSCCs (Beschluss 2021/914), Angemessenheitsbeschluss oder n/a (nur EWR)Nach Schrems II zwingt eine Mitteilung ohne Übermittlungsgrundlage den Verantwortlichen, Ihnen hinterherzulaufen
SicherheitsgarantienZertifizierungen (ISO 27001, SOC 2) oder eine Zusammenfassung der MaßnahmenStützt die Beurteilung der „hinreichenden Garantien" nach Artikel 28 Abs. 1 durch den Verantwortlichen
WirksamkeitsdatumDas Datum, an dem der Subprozessor mit der Verarbeitung beginntDie Mitteilung muss diesem Datum um das volle Widerspruchsfenster vorausgehen
Widerspruchsfrist & -wegExplizites Datum plus Widerspruchsweg (E-Mail-Adresse, Portal)Die Gelegenheit zum Widerspruch muss real sein — eine Frist, die niemand findet, ist keine

Rund um die Mitteilung selbst enthält der Download:

  • Die E-Mail-Variante — Betreffzeile und Nachrichtentext für die Zustellung der Mitteilung an abonnierte Verantwortliche, so formuliert, dass die Widerspruchsfrist ohne Öffnen eines Anhangs sichtbar ist.
  • Muster-Antworttexte für Widersprüche — die Bestätigung, die Sie senden, wenn ein Verantwortlicher widerspricht, mit Zusage des Wegs über angemessene Anstrengungen / Ausweichlösung / Kündigung.
  • Den Freigabe-Workflow — eine vierstufige interne Checkliste (Recht → DSB → Veröffentlichen → Benachrichtigen) mit den Prüfpunkten jedes Gates.
  • Ein ausgefülltes Beispiel — eine realistische, vollständig ausgefüllte Mitteilung, damit juristische wie nicht-juristische Prüfer sehen, wie „fertig" aussieht.

Die Markdown-Version trägt denselben Inhalt mit maschinenlesbaren Felddefinitionen, sodass ein KI-Agent oder internes Tooling allein aus der Datei eine konforme Mitteilung entwerfen kann.

So nutzen Sie sie: der Freigabe-Workflow

Eine Mitteilung ist nur so gut wie der Prozess, der sie versendet. Der Workflow der Vorlage hat vier Gates:

  1. Rechtsprüfung. Bestätigen Sie, was Ihre AVVs tatsächlich zusagen: das Mitteilungsfenster, den Widerspruchsweg und die Konsequenz eines Widerspruchs. Haben unterschiedliche Kundensegmente unterschiedliche Fenster ausgehandelt (Unternehmenskunden halten oft 30–60 Tage), muss die Mitteilung das längste anwendbare Fenster respektieren — oder Sie versenden segmentierte Mitteilungen.
  2. DSB-Freigabe. Der Datenschutzbeauftragte oder Privacy Lead verifiziert die Substanz: Sorgfaltsprüfung des neuen Subprozessors, Übermittlungsanalyse (SCCs unterzeichnet? Angemessenheitsbeschluss anwendbar?) und Vollständigkeit aller acht Felder. Hier wird eine Nur-Name-Mitteilung abgefangen, bevor sie Sie blamiert.
  3. Veröffentlichen. Aktualisieren Sie das öffentliche Subprozessor-Register vor oder gleichzeitig mit der Mitteilung, damit ein Verantwortlicher, der durchklickt, eine Liste sieht, die mit dem übereinstimmt, was ihm mitgeteilt wurde. Die EDSA-Stellungnahme 22/2024 erwartet, dass diese Liste jederzeit aktuell ist.
  4. Benachrichtigen. Senden Sie die Mitteilung — Push, nicht Pull — an jeden Verantwortlichen, dessen Daten der Subprozessor berühren wird, starten Sie die Widerspruchsfrist und protokollieren Sie den Versand. Das Protokoll ist Ihr Nachweis, wer wann mit welchem Inhalt informiert wurde.

Zur Frist: Widerstehen Sie der Versuchung, eine Zahl aus dem AVV eines anderen zu kopieren. Die europäische Praxis konzentriert sich auf ~15 Tage als typisches Fenster, 30–60 Tage als üblichen ausgehandelten Bereich für Unternehmens- und regulierte Verantwortliche und 90 Tage als zunehmend selten. Der Maßstab des EDSA ist nicht die Zahl, sondern ob das Fenster einen sinnvollen, informierten Widerspruch erlaubt — ein kurzes Fenster bei einer risikoreichen Änderung ist angreifbar, selbst wenn der Vertrag es erlaubt.

Widerspricht ein Verantwortlicher, folgt der Muster-Antworttext dem Standardmodell: Bestätigung innerhalb einer genannten Zeit, Versuch einer Ausweichlösung (etwa die Daten dieses Verantwortlichen nicht an den neuen Subprozessor zu leiten) und, falls keine möglich ist, das Angebot einer straffreien Kündigung der betroffenen Dienste. Dokumentieren Sie den Widerspruch und seine Lösung — er gehört in denselben Prüfpfad wie die Mitteilung.

Die Rechtsgrundlage hinter jedem Feld

Jedes Feld der Vorlage geht auf eine konkrete Pflicht zurück — hier kurz gefasst, da der vollständige Leitfaden jede im Detail behandelt:

  • DSGVO Artikel 28 Abs. 2 begründet die Mitteilungspflicht selbst: Unter allgemeiner schriftlicher Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter und gibt ihm damit die Möglichkeit zum Einspruch. Die Felder Wirksamkeitsdatum und Widerspruchsfrist operationalisieren „beabsichtigt" und „Möglichkeit".
  • Artikel 28 Abs. 3 Buchst. d und 28 Abs. 4 verlangen vom Auftragsverarbeiter, die Bedingungen des Absatzes 2 im Vertrag zu respektieren, dieselben Datenschutzpflichten an den Subprozessor weiterzugeben und gegenüber dem Verantwortlichen für dessen Compliance haftbar zu bleiben — weshalb das Feld Sicherheitsgarantien von Ihnen zu belegen ist, nicht vom Subprozessor. Artikel 28 Abs. 9 verlangt die Schriftform der Vereinbarung, auch in elektronischer Form — eine per E-Mail versandte Mitteilung ist damit ein gültiges Instrument.
  • Kapitel V (Artikel 44–46) regelt das Feld Übermittlungsmechanismus. Verarbeitung außerhalb des EWR braucht einen Angemessenheitsbeschluss (Artikel 45 — derzeit u. a. für UK, die Schweiz, Japan und US-Organisationen mit Zertifizierung unter dem EU–US Data Privacy Framework) oder geeignete Garantien nach Artikel 46, am häufigsten die Standardvertragsklauseln im Durchführungsbeschluss (EU) 2021/914 der Kommission. Für EWR-interne Verantwortlicher-Auftragsverarbeiter-Bedingungen gibt es eigene optionale SCCs nach Beschluss (EU) 2021/915.
  • Die EDSA-Stellungnahme 22/2024 (angenommen am 7. Oktober 2024) definiert die Feldliste: Identität, Ansprechpartner, Verarbeitungsbeschreibung, Ort, Übermittlungsgarantien und Sicherheitsgarantien für jeden Subprozessor in der Kette — jederzeit aktuell gehalten und proaktiv bereitgestellt. Sie beschränkt die fingierte Zustimmung zudem auf die allgemeine Genehmigung mit echter, rechtzeitiger Mitteilung — unter spezifischer Genehmigung ist Schweigen niemals Zustimmung.

Die Detailtiefe ist risikobasiert: Für eine risikoarme Tooling-Änderung genügen zusammenfassende Einträge; bei einem Subprozessor, der sensible Daten berührt, dürfen Verantwortliche in jedem Feld mehr erwarten. Wie sich das in Ihre umfassenderen Register- und Sorgfaltspflichten einfügt, behandelt Subprozessor-Management nach DSGVO Artikel 28; die umgebenden Auftragsverarbeiter-Pflichten behandelt DSGVO-Artikel 28, 32, 33 und 34.

Die Vorlage in UK und Norwegen/EWR nutzen

Für UK und Norwegen ist keine Anpassung nötig. Die UK GDPR behält Artikel 28 in derselben Form bei, beaufsichtigt vom ICO, dessen Vertragsleitlinien Auftragsverarbeitern vorschreiben, das Datum zu nennen, bis zu dem der Verantwortliche etwaige Einwände erheben sollte — exakt das Widerspruchsfrist-Feld der Vorlage. Norwegen wendet die DSGVO über das personopplysningsloven im Rahmen des EWR-Abkommens an, beaufsichtigt vom Datatilsynet, ohne nationale Regel, die die Pflicht zur Änderungsmitteilung abschwächt. Das einzige Feld, das sich zwischen den Jurisdiktionen ändert, ist der Übermittlungsmechanismus: Eine Übermittlung aus dem EWR nach UK stützt sich derzeit auf den UK-Angemessenheitsbeschluss, während EWR-interne Verarbeitung (einschließlich Norwegen) keinen braucht.

Den Mitteilungsprozess automatisch am Laufen halten

Eine Vorlage löst das Entwurfsproblem; sie versendet sich nicht selbst, setzt das Widerspruchsfenster nicht durch und merkt sich nicht, wer benachrichtigt wurde. Das ist die Aufgabe eines Trust Centers: ein aktuelles Subprozessor-Register, eine Abonnentenbasis aus Verantwortlichen und Datenschutzbeauftragten, strukturierte Änderungsmitteilungen und ein Prüfpfad in einem System. Orbiqs Trust-Update-Prozess versendet Subprozessor-Änderungsmitteilungen an abonnierte Verantwortliche, setzt die Widerspruchsfrist durch und führt die Nachweise automatisch — so wird aus der Vorlage, die Sie hier herunterladen, ein Prozess statt einer wiederkehrenden manuellen Aufgabe.

Quellen & Referenzen

  1. Verordnung (EU) 2016/679 (DSGVO) — Artikel 28 — Genehmigung von Subprozessoren und Mitteilungspflicht (28 Abs. 2), Vertragsbedingungen (28 Abs. 3 Buchst. d), Weitergabe und Haftung (28 Abs. 4), Schriftform (28 Abs. 9).
  2. EDSA-Stellungnahme 22/2024 zu bestimmten Pflichten, die sich aus der Hinzuziehung von Auftragsverarbeitern und Subprozessoren ergeben — angenommen am 7. Oktober 2024; erforderliche Subprozessor-Informationen, proaktive und aktuelle Listen, Grenzen der fingierten Zustimmung.
  3. Durchführungsbeschluss (EU) 2021/914 der Kommission — Standardvertragsklauseln für Übermittlungen in Drittländer — der im Übermittlungsfeld der Vorlage referenzierte Mechanismus nach Artikel 46 Abs. 2 Buchst. c.
  4. Durchführungsbeschluss (EU) 2021/915 der Kommission — Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern — SCCs nach Artikel 28 Abs. 7, einschließlich der Bedingungen zur Hinzuziehung von Subprozessoren.
  5. ICO — Contracts and liabilities between controllers and processors — UK-GDPR-Position, einschließlich der Angabe einer Widerspruchsfrist.
  6. Datatilsynet — Norwegische Datenschutzbehörde — Aufsicht über die DSGVO in Norwegen mittels des personopplysningsloven und des EWR-Abkommens.

Weiterführende Lektüre

Vorlage herunterladen

Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch

Häufig gestellte Fragen

Was muss eine Vorlage für eine DSGVO-Subprozessor-Änderungsmitteilung enthalten?

Nach der EDSA-Stellungnahme 22/2024 braucht eine konforme Vorlage den Namen und die eingetragene Anschrift des Subprozessors, einen Ansprechpartner, eine Beschreibung des Dienstes und der Verarbeitung, die betroffenen Kategorien personenbezogener Daten, den Ort der Verarbeitung, den Übermittlungsmechanismus für jede Verarbeitung außerhalb des EWR (SCCs oder ein Angemessenheitsbeschluss), das Wirksamkeitsdatum sowie eine klar angegebene Widerspruchsfrist mit dem Weg für den Widerspruch. Diese Vorlage enthält all dies als ausfüllbare Felder.

Gibt es eine gesetzliche Frist, die ich in die Vorlage aufnehmen sollte?

Nein. DSGVO Artikel 28 legt keine feste Mitteilungsfrist fest — das Fenster wird in Ihrem Auftragsverarbeitungsvertrag (AVV) definiert. In der europäischen Praxis beträgt das typische Fenster rund 15 Tage, wobei 30–60 Tage der übliche von Unternehmens- und regulierten Kunden ausgehandelte Bereich sind und 90 Tage zunehmend selten. Was auch immer Sie wählen: Die EDSA-Stellungnahme 22/2024 erwartet, dass die Frist lang genug für einen sinnvollen, informierten Widerspruch ist.

Kann ich die Subprozessor-Mitteilung als E-Mail versenden?

Ja — E-Mail ist der Standard-Zustellkanal, und diese Vorlage enthält eine versandfertige E-Mail-Variante der Subprozessor-Mitteilung. Rechtlich entscheidend ist, dass die Benachrichtigung als Push und nicht als Pull erfolgt: Das bloße Aktualisieren einer Webseite erfüllt die Pflicht aus Artikel 28 Abs. 2 nicht, sofern es nicht mit einem aktiven Alert gekoppelt ist, der die Verantwortlichen rechtzeitig für einen Widerspruch erreicht.

Wer sollte eine Subprozessor-Änderungsmitteilung vor dem Versand freigeben?

Die Vorlage wird mit einem vierstufigen Freigabe-Workflow ausgeliefert: Die Rechtsprüfung bestätigt die AVV-Bedingungen und die Widerspruchsmechanik, der Datenschutzbeauftragte (oder Privacy Lead) verifiziert die Übermittlungsanalyse und die vom EDSA erwarteten Felder, die Subprozessor-Liste wird aktualisiert und veröffentlicht, und erst dann geht die Mitteilung an alle abonnierten Verantwortlichen — mit gestarteter und protokollierter Widerspruchsfrist.

Funktioniert dieselbe Vorlage für Kunden in UK und Norwegen?

Ja. Die UK GDPR übernimmt Artikel 28 in derselben Form, beaufsichtigt vom ICO, der erwartet, dass der Vertrag eine Widerspruchsfrist nennt. Norwegen wendet die DSGVO über das personopplysningsloven im Rahmen des EWR-Abkommens an, beaufsichtigt vom Datatilsynet, ohne mildere nationale Regel. Eine Mitteilung, die nach der strengsten Auslegung formuliert ist, deckt Verantwortliche in der EU, im EWR und in UK ab.

Was tue ich, wenn ein Verantwortlicher der Mitteilung widerspricht?

Folgen Sie dem in Ihrem AVV definierten Widerspruchsweg — die Vorlage enthält Muster-Antworttexte dafür. Das Standardmodell: Der Auftragsverarbeiter unternimmt angemessene Anstrengungen, dem Widerspruch nachzukommen, etwa indem er die Daten dieses Verantwortlichen nicht an den neuen Subprozessor weiterleitet; ist keine Ausweichlösung möglich, kann der Verantwortliche die betroffenen Dienste straffrei kündigen.

DSGVO Subprozessor-Änderungsmitteilung: Kostenlose...