Seit 25. Mai 2018 gelten durch die Datenschutz-Grundverordnung (DS-GVO) erweiterte Anforderungen im Bereich der Auftragsverarbeitung nach Art. 28 DS-GVO. Hier ergänzt die DS-GVO das Gesellschaftsrecht und schreibt eine Fixierung von Verträgen in schriftlicher oder elektronischer Form vor, sobald personenbezogene Daten im Auftrag verarbeitet werden. Das betrifft bspw. die Beauftragung von Lohnbüros, Call Centern oder IT-Dienstleistern.
Der Gesetzgeber hat in Art. 28 DS-GVO zahlreiche Vorgaben für Auftragsverarbeitungsverträge (AVV) erlassen: sie reichen von der Beschreibung der Datenverarbeitung über die Kontrollrechte des Auftraggebers bis hin zu IT-Sicherheitsmaßnahmen beim Auftragnehmer. Vergisst man einen dieser Punkte, kann das zu einem Bußgeld von bis zu 10 Mio. Euro oder - sofern höher - 2% des weltweiten Konzernvorjahresumsatzes führen.
Zu beachten ist außerdem: