Auftragsverarbeitungsvertrag nach Art. 28 DSGVO: Vorlage und Pflichten

Art. 28 Abs. 3 DSGVO verlangt einen schriftlichen oder elektronischen Vertrag, sobald ein Verantwortlicher personenbezogene Daten durch einen Dienstleister verarbeiten lässt. Ohne diesen Auftragsverarbeitungsvertrag (AVV) ist die Übermittlung rechtswidrig, und der Verantwortliche haftet nach Art. 82 DSGVO für Schäden. Aufsichtsbehörden prüfen die Existenz, die inhaltliche Tiefe und die Anpassung an die konkrete Verarbeitung. Eine generische Vorlage aus dem Internet reicht für ein Audit selten aus, weil sie die technischen und organisatorischen Maßnahmen (TOM) nicht spiegelt und die spezifischen Subunternehmerketten ignoriert. Die Datenschutzkonferenz hat in mehreren Kurzpapieren betont, dass eine pauschale Klausel ohne Bezug zur konkreten Leistung den Anforderungen des Art. 28 DSGVO nicht genügt.

Dieser Beitrag erklärt, welche Pflichtbestandteile ein AVV nach Art. 28 Abs. 3 DSGVO enthalten muss, welche Klauseln über das Pflichtprogramm hinaus sinnvoll sind und wie Sie die Vertragslage zu jedem Dienstleister jederzeit nachweisen. Sie erfahren, wie sich Vorlagen, Bestellurkunden des Datenschutzbeauftragten und TOM-Listen in einer prüffesten Akte zusammenführen lassen, und welche Fallen bei Cloud-Anbietern, Subunternehmern und Drittlandtransfers besonders häufig auftreten. CIVAC betreibt diese Akte als Compliance-Plattform und Officer-as-a-Service, sodass die Bestellurkunde unterschrieben, abgelegt und belegbar ist, wenn die Aufsicht anruft.

Ein Auftragsverarbeitungsvertrag wird immer dann benötigt, wenn ein Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als eine natürliche oder juristische Person, die Daten im Auftrag des Verantwortlichen verarbeitet. Typische Konstellationen sind Cloud-Hosting, Newsletter-Versand, Lohnbuchhaltung, externer IT-Support, CRM-Systeme, Cookie-Banner-Anbieter, Marketing-Automation, Helpdesk-Software und Telefoniedienste. Auch ein externer Datenschutzbeauftragter selbst ist keine Auftragsverarbeitung, weil er als Berater nach Art. 39 DSGVO agiert. Ebenso wenig fällt der externe Wirtschaftsprüfer darunter, der nach § 316 HGB im eigenen Pflichtenkreis prüft.

Keine Auftragsverarbeitung liegt vor, wenn der Dritte eigene Zwecke verfolgt. Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte oder Wirtschaftsprüfer handeln in eigener Verantwortung, hier reicht eine Vertraulichkeitsregelung. Auch reine Wartungsverträge ohne Datenzugriff fallen heraus, ebenso wie Banken oder Zahlungsdienstleister, die nach KWG und ZAG eigene Pflichten erfüllen. Im Graubereich liegen Tracking-Dienste, bei denen der Anbieter die Daten zusätzlich für eigene Zwecke nutzt. Hier ist meist eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO einschlägig, nicht Art. 28. Das verlangt einen anderen Vertragstypus, nämlich eine Joint-Controller-Vereinbarung.

Die Pflicht zur Dokumentation gilt ab dem ersten verarbeiteten Datensatz. Aufsichtsbehörden in Bayern, Baden-Württemberg und Nordrhein-Westfalen prüfen in stichprobenartigen Querschnittsverfahren regelmäßig, ob Verantwortliche für alle externen Dienstleister einen wirksamen AVV vorhalten. Wer keinen Vertrag vorlegen kann, verliert den Privilegierungstatbestand des Art. 28 DSGVO und behandelt jede Übermittlung als eigenständige Verarbeitung mit eigener Rechtsgrundlage. Das ist regelmäßig nicht möglich. Eine saubere AVV-Lage ist deshalb keine bürokratische Pflicht, sondern die Grundlage jedes Outsourcings im Bereich personenbezogener Daten. Wer einen externen Datenschutzbeauftragten bestellt hat, lässt diese Frage routinemäßig prüfen und beim Onboarding neuer Dienstleister abarbeiten.

Art. 28 Abs. 3 DSGVO listet die Mindestinhalte eines AVV in zehn Punkten auf. Erstens, Gegenstand und Dauer der Verarbeitung. Zweitens, Art und Zweck der Verarbeitung. Drittens, die Art der personenbezogenen Daten, einschließlich der Frage, ob besondere Kategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit) verarbeitet werden. Viertens, die Kategorien betroffener Personen (Beschäftigte, Kunden, Lieferanten, Bewerber). Fünftens, die Pflichten und Rechte des Verantwortlichen. Diese fünf Punkte bilden den deskriptiven Teil und müssen die konkrete Leistung spiegeln, nicht eine abstrakte Formel.

Sechstens, Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Siebtens, Vertraulichkeit: Personen, die zur Verarbeitung befugt sind, müssen sich zur Vertraulichkeit verpflichten oder einer Geheimhaltungspflicht unterliegen. Achtens, technische und organisatorische Maßnahmen nach Art. 32 DSGVO: Diese müssen konkret, nicht abstrakt, beschrieben sein. Neuntens, Unterauftragsverarbeiter: Allgemeine oder spezifische schriftliche Genehmigung, plus die Pflicht, die gleichen Datenschutzpflichten an den Unterauftragnehmer weiterzugeben. Zehntens, Unterstützung des Verantwortlichen bei Betroffenenrechten nach Art. 12 bis 22 DSGVO, bei Sicherheit nach Art. 32 bis 36 DSGVO und bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO.

Hinzu kommen die Pflicht zur Rückgabe oder Löschung der Daten nach Ende der Verarbeitung sowie das Audit-Recht des Verantwortlichen, das die Bereitstellung von Informationen, Inspektionen und Audits umfasst. In der Praxis wird das Audit-Recht häufig durch akzeptierte Zertifikate wie ISO/IEC 27001:2022 oder branchenspezifische Auditberichte (SOC 2 Type II, BSI C5) substituiert. Wichtig: Die Vorlage muss alle zehn Punkte enthalten und für die konkrete Verarbeitung spezifiziert sein. Eine pauschale Klausel "TOM gemäß DSGVO" ist nach Auffassung mehrerer Aufsichtsbehörden nicht ausreichend. Empfehlenswert ist eine Tabellenform, in der jeder der zehn Pflichtpunkte mit konkretem Vertragsabschnitt verknüpft wird, sodass der Prüfer die Vollständigkeit binnen Minuten verifizieren kann.

Die TOM sind die häufigste Schwachstelle in AVV-Vorlagen. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau und nennt Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit als Schutzziele. Eine prüffeste TOM-Anlage muss diese Schutzziele in konkrete Maßnahmen übersetzen. Dazu gehören Zutrittskontrolle (Werkschutz, Schließanlage, Besucherregistrierung), Zugangskontrolle (Authentifizierung, Passwortrichtlinie, Zwei-Faktor-Authentifizierung), Zugriffskontrolle (Berechtigungsmanagement, Need-to-know-Prinzip, regelmäßige Rezertifizierung), Trennungskontrolle (Mandantentrennung, Testumgebungen ohne Echtdaten), Weitergabekontrolle (Transportverschlüsselung TLS 1.2 oder höher, VPN, sichere E-Mail) und Eingabekontrolle (Protokollierung, Audit-Logs, Aufbewahrung der Logs nach Löschkonzept).

Für Cloud-Dienste ergänzt sich die Liste um Verfügbarkeitskontrolle (Recovery Point Objective, Recovery Time Objective, Backup-Konzept, Disaster-Recovery-Tests) und Auftragskontrolle (Subunternehmerliste, Weisungsbefolgung, Eskalationspfade). Verantwortliche sollten die TOM-Anlage des Auftragsverarbeiters nicht blind übernehmen, sondern auf Plausibilität prüfen. Eine TOM-Liste, die für ein Cloud-Rechenzentrum die gleiche Aussage trifft wie für eine Steuerkanzlei mit fünf Mitarbeitern, ist ein Warnsignal. Die ISO/IEC 27001:2022 mit ihren 93 Controls liefert einen anerkannten Referenzrahmen, der in Audits regelmäßig akzeptiert wird, ebenso die BSI-IT-Grundschutz-Bausteine in der Edition 2023.

Praxistipp: Verlangen Sie eine TOM-Anlage, die sich nach den Schutzzielen der DSGVO gliedert, und ergänzen Sie sie um die EU-Datenresidenz (Speicherort, Backup-Standort, Support-Zugriff aus Drittländern). Bei Drittlandtransfers benötigen Sie zusätzlich Standardvertragsklauseln nach Durchführungsbeschluss 2021/914/EU und ein Transfer Impact Assessment (TIA). Wer die TOM-Liste im Compliance-Workspace versioniert ablegt, kann die jeweilige Vertragsgrundlage zu jedem Dienstleister jederzeit als PDF exportieren und im Aufsichtsverfahren binnen Minuten vorlegen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Im Mandat des externen Datenschutzbeauftragten gehört diese Pflege zur monatlichen Routine, sodass die Vertragslage nicht erst im Audit-Stress aufgefrischt wird, sondern dauerhaft auditfähig bleibt.

Auftragsverarbeiter dürfen nach Art. 28 Abs. 2 DSGVO weitere Auftragsverarbeiter (Subunternehmer) nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. In der Praxis wird meist eine allgemeine Genehmigung erteilt, gekoppelt an eine Informationspflicht bei Wechseln und ein Widerspruchsrecht des Verantwortlichen. Diese Klausel ist nicht trivial: Cloud-Anbieter wie Microsoft, Google und Amazon Web Services unterhalten dutzende Unterauftragsverarbeiter weltweit. Eine Liste, die sich quartalsweise ändert, muss überwacht werden, damit Widerspruchsrechte fristgerecht ausgeübt werden können. Häufig betragen die Fristen 30 Tage ab Information.

Der Hauptauftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Pflichtverletzungen seiner Unterauftragsverarbeiter wie für eigene. Er muss diesen die gleichen Datenschutzpflichten auferlegen, insbesondere die TOM nach Art. 32 DSGVO. Verantwortliche sollten die Subunternehmerliste regelmäßig anfordern und mit ihrem AVV-Register abgleichen. Eine sinnvolle Praxis ist die halbjährliche Stichprobe bei kritischen Dienstleistern, etwa beim primären Cloud-Provider, beim CRM-Hoster und beim E-Mail-Sicherheitsdienst. Stichproben sollten dokumentiert und in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.

Bei Drittlandtransfers innerhalb der Subunternehmerkette wird die Lage komplex. Wenn ein deutsches SaaS-Unternehmen Google Cloud nutzt und Google wiederum Subunternehmer in den USA, Indien und Singapur einsetzt, hängt die Rechtmäßigkeit an den Standardvertragsklauseln und am EU-US Data Privacy Framework. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Datenschutzkonferenz haben in mehreren Beschlüssen darauf hingewiesen, dass das Privilegierungsmodell des Art. 28 DSGVO keine Pflicht zur Drittlandprüfung ersetzt. Wer einen externen Datenschutzbeauftragten beauftragt, lässt die Subunternehmerketten der wichtigsten Dienstleister jährlich auditieren und die TIA-Dokumentation aktualisieren. Bestellurkunde, unterschrieben, abgelegt, belegbar. Bei US-Anbietern empfiehlt sich zudem ein Blick auf das Cloud Act Risk Assessment, das die theoretische Reichweite US-amerikanischer Behörden auf in der EU gespeicherte Daten bewertet.

Die Pflicht zum Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist allgemein bekannt. Weniger bekannt ist, dass ein parallel geführtes AVV-Register faktisch Pflicht ist, sobald Auftragsverarbeitungen stattfinden. Aufsichtsbehörden verlangen bei Kontrollen die Liste aller Auftragsverarbeiter mit Vertragsdatum, Vertragsstand, TOM-Version, Subunternehmerliste und Risikoeinstufung. Eine verstreute Ablage in Outlook-Postfächern, Sharepoint-Ordnern und Vertragsmappen ist im Audit-Fall nicht prüffest. Im schlimmsten Fall fehlt der unterschriebene AVV, weil er als Anhang in einer Mail-Konversation versandet ist und nie in die Vertragsakte überführt wurde.

Ein wirksames AVV-Register erfasst pro Dienstleister mindestens neun Felder: Firmenname, Sitz, Leistung, Vertragsdatum, Vertragsversion, TOM-Version, Subunternehmerliste, Drittlandbezug und Risikoklasse (niedrig, mittel, hoch). Hinzu kommen Wiedervorlage-Fristen für TOM-Updates und Subunternehmerwechsel sowie ein Feld für den Ansprechpartner beim Dienstleister mit dessen E-Mail-Adresse und Telefonnummer. Wer das Register als Tabelle führt, sollte die Zellen mit den jeweiligen PDF-Verträgen verknüpfen, sodass die vollständige Vertragsakte mit zwei Klicks aufrufbar ist. Eine Spalte für den letzten Audit-Termin rundet die Tabelle ab.

Bei mittelständischen Unternehmen mit 30 bis 80 Dienstleistern wird die manuelle Pflege zur Vollzeitaufgabe. Eine Compliance-Plattform übernimmt dies, indem sie Verträge versioniert, TOM-Listen mit Änderungshistorie führt und Wiedervorlagen automatisch auslöst. CIVAC stellt für Datenschutz-Beauftragte einen Workspace mit 37 einsatzbereiten Audit-Vorlagen bereit, darunter AVV-Mustertexte, TOM-Anlagen und Subunternehmer-Register. Die EU-Datenresidenz ist standardmäßig aktiv, sodass keine Daten in Drittländer abfließen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Der Prüfer ruft an, der Nachweis liegt bereit. Die SLA-Antwortzeit von zwei Werktagen für AVV-Updates und neue Onboardings ersetzt die klassische Wartezeit von zwei bis sechs Wochen, die in vielen Beratungsmandaten üblich ist.

Das Audit-Recht nach Art. 28 Abs. 3 lit. h DSGVO ist ein zweischneidiges Schwert. Theoretisch darf jeder Verantwortliche jederzeit jeden Auftragsverarbeiter vor Ort prüfen. Praktisch würde ein Hyperscaler tausende Vor-Ort-Audits pro Jahr empfangen. Die Lösung liegt in einem gestuften Modell: Standardmäßig akzeptiert der Verantwortliche unabhängige Auditberichte und Zertifikate, etwa ISO/IEC 27001:2022, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type II oder den BSI C5-Testat. Erst bei begründetem Anlass (Datenpanne, Hinweis der Aufsicht, wesentliche Vertragsänderung) wird ein eigener Audit durchgeführt. Dieses Modell ist auch im Hinweispapier des Europäischen Datenschutzausschusses zur Auftragsverarbeitung anerkannt.

Die AVV-Klausel sollte das Stufenmodell explizit beschreiben: erstens Recht auf Bereitstellung von Audit-Berichten, zweitens Recht auf schriftliche Auskünfte, drittens Recht auf Vor-Ort-Audit nach Voranmeldung von mindestens vier Wochen, viertens Sonderkündigungsrecht bei Verweigerung. Wichtig ist die Klärung der Kostenfrage: Wer trägt Reisekosten, Honorare des Auditors, Aufwand des Auftragsverarbeiters? In der Praxis werden Routinekosten vom Verantwortlichen getragen, anlassbezogene Audits nach Verstoß des Auftragsverarbeiters von diesem. Sinnvoll ist ein Deckel auf den jährlichen Audit-Aufwand, etwa zwei Personentage des Auftragsverarbeiters ohne Kostenfolge.

Für den Verantwortlichen ist die Aktenpflege entscheidend. Jede erhaltene Auditbescheinigung gehört in die Vertragsakte mit Ausstellungsdatum, Gültigkeit und Geltungsbereich. Ein Zertifikat ISO/IEC 27001:2022, das nicht die für Sie relevante Leistung abdeckt, ist wertlos. Achten Sie auf den Statement of Applicability (SoA) und den Geltungsbereich. Bei Beauftragten, die im Informationssicherheitsbeauftragten-Workspace arbeiten, wird die Zertifikatslage zentral überwacht und Wiedervorlagen werden automatisch ausgelöst. So wird das Audit-Recht praktisch und nicht nur theoretisch wirksam. Audit-fest, dokumentiert, Art. 28-fest.

Kostenlose AVV-Vorlagen aus dem Internet decken meist nur den Pflichtbestandteil ab, der für eine generische Verarbeitung gilt. Drei typische Lücken: Erstens, die TOM-Anlage ist eine Liste von Allgemeinplätzen ohne Bezug zur konkreten Leistung. Zweitens, die Subunternehmerregelung enthält keinen Mechanismus für Wechsel und kein Widerspruchsrecht. Drittens, die Klausel zur Datenrückgabe oder Löschung nach Vertragsende ist unklar, insbesondere bei Backup-Beständen, die nach Löschauftrag noch Wochen oder Monate fortbestehen. Eine prüffeste Klausel benennt Löschfristen für Primärdaten und Backups getrennt.

Eine weitere Falle: Die Sprache des Vertrags. Bei Dienstleistern mit Sitz außerhalb der EU werden AVVs häufig nur in Englisch angeboten. Das ist rechtlich zulässig, im Audit aber problematisch, weil Aufsichtsbehörden eine deutsche oder zumindest beglaubigte Übersetzung verlangen können. Bei kritischen Verarbeitungen sollte der AVV zweisprachig oder mit beglaubigter Übersetzung vorgehalten werden. Bei Streitfällen vor deutschen Gerichten ist die deutsche Sprachversion in der Regel maßgebend, was bei reinem Englisch zu Auslegungsproblemen führen kann.

Auch die Klausel zur Haftung wird oft übersehen. Standard-AVVs der Auftragsverarbeiter enthalten regelmäßig Haftungsbeschränkungen, die nach § 309 Nr. 7 BGB unwirksam sein können, wenn sie Vorsatz oder grobe Fahrlässigkeit ausschließen. Verantwortliche sollten diese Klauseln streichen oder durch eine ausgewogene Regelung ersetzen. Schließlich fehlt in vielen Vorlagen die explizite Regelung zur Meldepflicht bei Datenpannen: Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich, in der Regel innerhalb von 24 Stunden, informieren, damit dieser die 72-Stunden-Frist nach Art. 33 DSGVO einhalten kann. Frist läuft ab Kenntnis. Wer hier ungenau formuliert, verliert Stunden im Ernstfall und kann den Meldetermin verpassen, was nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis 10 Mio. Euro sanktionierbar ist.

Seit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sind rund 29.500 Unternehmen in Deutschland verpflichtet, Lieferanten-Risiken systematisch zu managen (§ 30 BSIG-Entwurf). Auftragsverarbeitungen sind Teil dieses Lieferketten-Managements. Wer für seine Cloud-Dienste, IT-Dienstleister und SaaS-Anbieter AVVs vorhält, hat einen erheblichen Teil der NIS-2-Lieferantendokumentation bereits geleistet. Allerdings verlangt NIS-2 zusätzlich eine Risikoanalyse pro Lieferant und ein dokumentiertes Wiederanlauf-Konzept bei Ausfall, ebenso ein Konzept für die geordnete Beendigung der Geschäftsbeziehung.

Die Brücke zur ISO/IEC 27001:2022 läuft über Control 5.19 (Information Security in Supplier Relationships), Control 5.20 (Addressing Information Security in Supplier Agreements) und Control 5.21 (Managing Information Security in the ICT Supply Chain). Wer ein zertifiziertes ISMS nach ISO/IEC 27001:2022 betreibt, hat die Strukturen für AVV-Management bereits geschaffen: Lieferantenregister, Risikoeinstufung, Audit-Plan, Wiedervorlage-Fristen. Die Übergangsfrist zur ISO/IEC 27001:2022 läuft bis Oktober 2026, danach werden Audits ausschließlich nach der neuen Fassung durchgeführt. Wer die Umstellung verschleppt, verliert den Zertifikatsstatus und damit den vertraglichen Nachweis gegenüber Kunden, Aufsicht und Auftraggebern.

Eine sinnvolle Konsolidierung führt drei Sichten zusammen: erstens die DSGVO-Sicht (AVV-Register nach Art. 28), zweitens die NIS-2-Sicht (Lieferantenregister nach § 30 BSIG-E), drittens die ISO-27001-Sicht (Supplier Inventory nach Control 5.19). In der Praxis ist es derselbe Datenbestand mit unterschiedlichen Filtern. CIVAC führt diese drei Sichten in einer einzigen Akte zusammen, sodass Beauftragte mit drei verschiedenen Rollen (DSB, ISB, NIS-2-Verantwortlicher) auf dieselbe Quelle zugreifen. Sehen Sie dazu den Beitrag zur NIS-2-Umsetzung in Deutschland. Mehrfacherfassung ist kein Schicksal, sondern eine Werkzeugfrage und ein Ergebnis sauberer Datenmodellierung. Wer früh konsolidiert, spart bei der nächsten Audit-Welle mehrere Personentage Vorbereitungsaufwand.

Ein AVV ist kein Papier, sondern ein Versprechen, das im Ernstfall belegt werden muss. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die diese Belegfunktion übernimmt. Im Workspace liegen alle Verträge versioniert, jede TOM-Anlage ist mit dem Vertrag verknüpft, jeder Subunternehmer hat einen eigenen Datensatz mit Drittland-Markierung und Risikoklasse. Wiedervorlagen für TOM-Updates, Zertifikatsverlängerungen und Audit-Pläne laufen automatisch. Die EU-Datenresidenz ist standardmäßig aktiv, sodass die Plattform selbst keine Drittlandtransfers auslöst.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde des externen Datenschutzbeauftragten wird innerhalb von zwei Werktagen ausgestellt (statt der üblichen zwei bis sechs Wochen). Sie ist unterschrieben, abgelegt und über die Berichtslinie an die Geschäftsleitung angebunden. Bei einer Datenpanne ist der 72-Stunden-Meldepfad nach Art. 33 DSGVO vorbereitet, und das AVV-Register zeigt sofort, welche Auftragsverarbeiter betroffen sind. Die Meldetexte für die Aufsichtsbehörde liegen als Vorlage bereit.

Wer den AVV-Bestand erst im Audit überprüft, hat verloren. Wer ihn in einer prüffesten Akte mit Berichtslinie führt, gewinnt zwei Werktage Reaktionszeit und reduziert das Bußgeldrisiko nach Art. 83 DSGVO erheblich. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, um die Bestellung eines externen Datenschutzbeauftragten oder die Lizenzierung des Workspace anzustoßen. Wir senden Ihnen eine Mustermappe mit AVV-Vorlage, TOM-Anlage und Subunternehmer-Register, abgestimmt auf Ihre Branche und Verarbeitungstiefe. Eine 30-minütige Erstberatung zur konkreten Vertragslage Ihrer fünf wichtigsten Dienstleister ist Bestandteil des Erstkontakts. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.