Wann braucht ein B2B-Auftraggeber einen Auftragsverarbeitungsvertrag mit dem Reinigungs-Dienstleister, und wann reicht eine Verschwiegenheits-Vereinbarung? Eine sachliche Einordnung nach Art. 28 DSGVO — mit klarer Trennung zwischen Information und Rechtsberatung.
Datenschutz-Anforderungen, AVV-Bedarf und TOM-Themen klären wir im Aufmaß-Termin direkt mit. KACE unterzeichnet auf Anfrage einen vom Auftraggeber vorgelegten AVV nach interner Prüfung.
Der Auftragsverarbeitungsvertrag — kurz AVV — ist in der DSGVO an einem zentralen Punkt verankert: Artikel 28. Er regelt das rechtliche Verhältnis zwischen einem Verantwortlichen, der personenbezogene Daten erhebt und nutzt, und einem externen Dienstleister, der diese Daten im Auftrag verarbeitet. In der Reinigungs-Branche ist das ein Grenzfall, der häufig unterschätzt wird. Reinigungspersonal kommt regelmäßig an Schreibtischen, Akten, Visitenkarten und Bildschirm-Inhalten vorbei — auch wenn die Tätigkeit selbst keine klassische Datenverarbeitung ist.
Die Datenschutzkonferenz und mehrere Aufsichtsbehörden vertreten dabei eine differenzierte Linie: das bloße Wahrnehmen von Daten ist nicht gleich Verarbeiten im Sinne der DSGVO. Trotzdem schließen Auftraggeber aus sensiblen Branchen — Arzt- und Zahnarzt-Praxen, Anwaltskanzleien, Steuerkanzleien, Behörden, HR-Abteilungen — häufig einen AVV oder zumindest eine Verschwiegenheits-Vereinbarung mit dokumentierten technisch-organisatorischen Maßnahmen ab. Dieser Beitrag erklärt, wann was sinnvoll ist, welche Pflicht-Inhalte ein AVV nach Art. 28 mitbringt und warum KACE bewusst keine eigenen Mustervorlagen verteilt.
Ein Auftragsverarbeitungsvertrag — kurz AVV — ist ein in Art. 28 DSGVO ausdrücklich vorgesehener Vertrag zwischen zwei Rollen, die das Datenschutzrecht streng trennt: dem Verantwortlichen, der über Zweck und Mittel einer Verarbeitung personenbezogener Daten entscheidet, und dem Auftragsverarbeiter, der diese Daten im Auftrag und nach Weisung verarbeitet. Der AVV ist kein freiwilliges Beiwerk, sondern Pflicht, sobald eine echte Auftragsverarbeitung vorliegt.
Anwendungs-Bereich ist sehr weit gespannt. Klassische Beispiele sind IT-Hosting, Cloud-Speicher, Mail-Versand-Dienste, externe Buchhaltung, Lohnabrechnungs-Dienste, Call-Center, Druck-Dienstleister mit Adress-Bestand. Reinigungs-Dienstleistungen werden in diesem Spektrum traditionell anders verortet — und genau das ist der Grund, warum die Frage im Reinigungs-Markt regelmäßig wiederkommt.
Die Faustregel lässt sich an einer einfachen Frage festmachen: Kommt das Reinigungspersonal regelmäßig an personenbezogenen Daten vorbei? An offenen Akten auf Schreibtischen, an unverschlossenen Schubladen, an Visitenkarten-Stapeln, an handschriftlichen Notizen, an Bildschirmen mit eingeloggten Sessions, an Aktenarchiven mit Schlüssel-Zugang?
Hier wird sehr deutlich, dass die Antwort vom Objekt-Typ abhängt:
B2B-Büro mit Clean-Desk-Policy und Reinigung außerhalb der Arbeitszeit. Das ist der Standardfall, bei dem die Datenschutzkonferenz und mehrere Aufsichtsbehörden klassische Reinigung nicht als Auftragsverarbeitung im engen Sinne werten. Bildschirme sind gesperrt, Schreibtische sind aufgeräumt, Aktenschränke sind verschlossen, Reinigungspersonal hat keinen Schlüssel zu Datenarchiven. Hier reicht in vielen Konstellationen eine schriftliche Verschwiegenheits-Vereinbarung zwischen Auftraggeber und Dienstleister, ergänzt um dokumentierte technisch-organisatorische Maßnahmen auf Seiten des Reinigers.
Wohnraum-Reinigung und Privatkunden. Hier ist die Konstellation rechtlich noch klarer — der Privatkunde ist in der Regel selbst Verantwortlicher für die in seinen Räumen vorhandenen Daten, ein AVV wird nur in seltenen Ausnahmen relevant. Verschwiegenheit gehört trotzdem zur Berufs-Ethik.
Industrie- und Logistik-Hallen. Auch hier ist klassische Hallenreinigung selten ein Anlass für einen AVV, weil personenbezogene Daten in der Halle meist nicht vorkommen. Anders wird es bei Verwaltungs-Trakten innerhalb der Logistik, bei HR-Räumen, bei IT-Räumen mit Server-Schränken oder Personal-Aktenarchiven.
B2B-Büro mit Tagesreinigung während der Arbeitszeit. Sobald Reinigung parallel zum Geschäftsbetrieb stattfindet, sind die Schutz-Anforderungen höher: offene Bildschirme, offene Akten, Telefon-Notizen am Arbeitsplatz. Viele Unternehmen schließen in dieser Konstellation einen AVV ab, oder zumindest eine sehr ausführliche Verschwiegenheits-Vereinbarung mit dokumentierter TOM-Liste.
Sensible Branchen — Heilberufe, Anwaltskanzleien, Steuerkanzleien, Behörden, HR-Abteilungen. Hier ist ein AVV nach Art. 28 DSGVO sehr häufig Standard. Bei Arzt- und Zahnarzt-Praxen kommt zusätzlich die strafbewehrte Verschwiegenheits-Pflicht nach § 203 StGB in den Blick — das gleiche gilt für Anwälte, Steuerberater, Notare und einige weitere Berufsgeheimnis-Träger. Reinigungs-Personal in diesen Häusern arbeitet praktisch immer auf Basis schriftlicher Verschwiegenheits-Verpflichtung plus AVV plus § 203-Erweiterung.
Wichtig ist, dass die Zuordnung im konkreten Einzelfall nicht abstrakt erfolgt, sondern entlang der tatsächlichen Reinigungs-Routine im Objekt. Ein Anwaltsbüro, in dem nach 19 Uhr gereinigt wird, alle Aktenordner in verschlossenen Schränken stehen und das Personal eine eingewiesene, schriftlich verpflichtete Stamm-Kraft ist, hat ein anderes Risiko-Profil als eine Tagesreinigung mit wechselndem Personal in einer Großkanzlei mit offenen Mandats-Akten. Beide Konstellationen sind realistisch — der vertragliche Rahmen passt sich daran an, nicht umgekehrt.
Art. 28 listet die Pflicht-Bestandteile auf. Sie zu kennen ist sinnvoll, weil sich daran erkennen lässt, ob ein vorgelegter AVV überhaupt vollständig ist:
In der Reinigungs-Praxis ist die Identifikation der Daten-Kategorien und der Kategorien betroffener Personen häufig die anspruchsvollste Frage. Anders als bei einem Cloud-Hoster, wo Datensätze klar definiert sind, geht es beim Reiniger um abstraktere Konstellationen: Mitarbeitende des Auftraggebers, deren Schreibtisch-Inhalte unter Umständen wahrnehmbar werden; Kunden und Patienten, deren Daten in Akten und auf Bildschirmen liegen; Bewerber, deren Unterlagen im HR-Bereich kursieren. Eine sauberer AVV beschreibt diese Personengruppen abstrakt und enthält gleichzeitig eine klare Verarbeitungs-Negativ-Definition — etwa, dass das Reinigungspersonal Daten gerade nicht aktiv erhebt, sortiert oder weitergibt, sondern allenfalls passiv wahrnimmt.
Hinweis zu diesem Beitrag: Wir liefern hier bewusst keine ausformulierten Vertragsklauseln. Die Bereitstellung eines konkreten Mustervertrags mit Beratungs-Anspruch ist Rechtsdienstleistung und gehört in qualifizierte Hände.
Art. 32 DSGVO verlangt vom Auftragsverarbeiter „angemessene technische und organisatorische Maßnahmen" zur Datensicherheit. Im Reinigungs-Kontext sind das nicht primär IT-Themen, sondern Disziplinen aus dem Tagesgeschäft:
Schlüssel-Management. Wer hat welchen Schlüssel, wie wird Schlüssel-Vergabe dokumentiert, wer hat Zugang zu Datenarchiven oder Akten-Schränken? Bei klassischen B2B-Büro-Aufträgen reicht oft die Eingangstür-Schlüssel-Übergabe mit Quittung; in sensiblen Häusern werden Schlüssel zu HR-Räumen, Server-Räumen oder Aktenarchiven gar nicht erst weitergegeben — diese Räume bleiben in der Reinigungs-Routine außen vor oder werden nur in Begleitung des Auftraggebers betreten.
Personal-Vertraulichkeitspflicht. Jede Mitarbeitende unterschreibt beim Eintritt eine schriftliche Verschwiegenheits-Verpflichtung, idealerweise mit Bezug auf die DSGVO-Begrifflichkeit. Diese Verpflichtung gilt fort über das Beschäftigungs-Ende hinaus und sollte als Nachweis archiviert werden.
Datenschutz-Schulung und Schulungs-Dokumentation. Eine jährliche Auffrischung, die in einem nachvollziehbaren Format dokumentiert wird. Im Streit-Fall ist nachweisbare Schulung der Unterschied zwischen einer kleinen Beanstandung und einem Aufsichts-Verfahren.
Vorgaben gegen die Verwendung privater Geräte. Smartphone-Fotos in Auftraggeber-Räumen sind tabu — auch wenn das Motiv noch so unverfänglich aussieht. Im Hintergrund sind oft Bildschirme, Visitenkarten oder Akten zu sehen. Eine schriftliche Vorgabe an die Mitarbeitenden ist Pflicht-TOM.
Kein Auseinanderbreiten von Papier-Vorgängen. Lose Akten und Notizen auf Schreibtischen werden nicht umgeschichtet, sortiert oder zum Wischen weggeräumt — sie bleiben unangetastet liegen. Wenn ein Schreibtisch nicht ohne Datenkontakt zu reinigen ist, dann wird er an diesem Tag eben nicht gewischt.
Subunternehmer-Disziplin. Jeder eingesetzte Sub-Reiniger durchläuft denselben Onboarding-Prozess: schriftliche Vertraulichkeits-Verpflichtung, Schulung, Aufnahme in die TOM-Liste, Anzeige beim Auftraggeber.
Dokumentation und Nachweisbarkeit. Im DSGVO-Kontext ist Disziplin nur so viel wert wie ihr Nachweis. TOMs gehören in eine eigene Liste, die mindestens einmal jährlich überprüft und aktualisiert wird — typischerweise im Zuge der Mitarbeiter-Schulung. Bei einer Auskunfts-Anfrage durch den Auftraggeber, bei einem Audit oder im Ernst-Fall einer Datenpanne ist die schriftliche TOM-Liste das erste Dokument, das auf den Tisch kommt.
Art. 28 Abs. 4 DSGVO bindet den Auftragsverarbeiter, jeden Sub-Auftragsverarbeiter denselben Pflichten zu unterwerfen. Vor jedem Sub-Wechsel hat der Auftraggeber ein Vorab-Informations-Recht und kann widersprechen. In der Reinigungs-Praxis bedeutet das: spontan eingesetzte Aushilfen ohne vorherige Information sind ein klassischer Stolperstein. Eine saubere Lösung ist eine im AVV festgehaltene Whitelist eingesetzter Sub-Unternehmen mit der Vorgabe, dass jede Erweiterung dem Auftraggeber zur Genehmigung vorgelegt wird.
KACE arbeitet im Regelfall ohne Sub-Reiniger. Falls in Ausnahme-Konstellationen — Vertretung im Urlaubsfall, kurzfristiger Kapazitätsbedarf — ein Sub eingesetzt werden müsste, würde dieser denselben Verschwiegenheits- und TOM-Standard durchlaufen wie eigene Mitarbeitende, und der Auftraggeber würde vorab informiert.
Das Rechtsdienstleistungsgesetz reserviert die konkrete Rechtsberatung Personen mit anwaltlicher Zulassung. Die Bereitstellung eines Mustervertrags mit Beratungs-Anspruch — „so sieht ein guter AVV aus, nehmen Sie diesen Wortlaut" — fällt in diese Reservat-Zone und wäre für einen Reinigungs-Dienstleister rechtlich nicht zulässig. Verweise auf öffentlich verfügbare Quellen sind dagegen unbedenklich:
KACE unterzeichnet einen vom Auftraggeber vorgelegten AVV nach interner Prüfung. Im Aufmaß-Termin sprechen wir über das Thema, klären, ob ein AVV vorgesehen ist, und nehmen den Entwurf zur Durchsicht mit. Wenn Punkte aus unserer Sicht klarstellungsbedürftig sind — etwa zur Sub-Vergabe oder zu Audit-Anlässen — bringen wir Vorschläge ein, die der Auftraggeber dann mit seinem Datenschutz-Beauftragten oder Anwalt prüft.
Bei Hausverwaltern stellt sich die AVV-Frage typischerweise zweistufig. Die Reinigung von Gemeinschaftsflächen — Treppenhaus, Aufzug, Hof, Tiefgarage, Müllraum — ist in aller Regel keine Auftragsverarbeitung, weil dort keine personenbezogenen Daten verarbeitet werden. Sobald Namensschilder an Briefkästen oder Klingeln, Bewohner-Listen für Schlüssel-Übergaben oder Verwalter-eigene Datenbestände in den Reinigungs-Workflow einfließen, kann eine schriftliche Verschwiegenheits-Vereinbarung mit TOMs sinnvoll werden. Bei größeren Verwaltungs-Portfolios ist eine Rahmen-Vereinbarung üblich, die alle betreuten Objekte unter eine gemeinsame Datenschutz-Klausel stellt.
Ein zweiter Punkt aus der Hausverwalter-Praxis: bei Eigentümer-Wechseln oder neuen Mietern wandern Schlüssel-Bestände, Adressen-Listen und manchmal Bewohner-Profile zwischen Verwalter und Reiniger. Hier ist eine kurze, dokumentierte Datenfluss-Beschreibung im AVV oder in der Verschwiegenheits-Vereinbarung sinnvoll — wer bekommt welche Liste, in welchem Format, wie lange wird sie aufbewahrt und wie wieder gelöscht. Das schützt beide Seiten und vermeidet die typischen Grau-Zonen, in denen ein WhatsApp-Foto einer Mieter-Liste zum DSGVO-Stolperstein wird.
Die ehrliche Antwort kommt aus dem Aufmaß: erst Objekt-Routine prüfen, dann Datenfluss-Punkte identifizieren, dann den passenden vertraglichen Rahmen wählen — Festpreis-nach-Aufmaß gilt auch für die rechtliche Sauberkeit, nicht nur für die Reinigungs-Kalkulation.
Dieser Beitrag dient der Information. Er ist keine Rechtsberatung im Einzelfall und keine Empfehlung für oder gegen einen konkreten AVV-Wortlaut. Verbindliche Auskunft zu DSGVO-Pflichten, TOMs und Vertrags-Gestaltung erteilen Datenschutzbeauftragte, die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) sowie Fachanwälte für IT-Recht. Bei Bedarf an einem konkreten AVV-Muster bieten die LfDI-BW-Mustertexte und die Praxishilfen der Datenschutzkonferenz einen geprüften Ausgangspunkt. Stand: Mai 2026.
Service-Übersicht für B2B-Büro-Auftraggeber — Frequenz-Pakete, Tagesreinigung versus Abendreinigung, Schlüssel-Übergabe und Vertrauens-Rahmen.
Mehr ansehenWie berichtspflichtige Unternehmen Lieferketten-Anforderungen an externe Dienstleister herunterbrechen — und was das für Reinigungs-Auftragsvergaben bedeutet.
Mehr ansehenIm Vor-Ort-Termin besprechen wir das Reinigungs-Konzept und klären, ob für Ihr Objekt ein AVV vorgesehen ist. Wir nehmen Ihren AVV- Entwurf zur internen Prüfung mit und stimmen offene Punkte transparent ab — Festpreis kommt aus dem Aufmaß.
