Die Idee der Auftragsverarbeitung ist es, sicherzustellen, dass personenbezogene Daten datenschutzkonform verarbeitet werden, wenn sie von einem Dienstleister wie z.B. einer Marketingagentur oder einer Cloud-Speicherplattform im Auftrag eines anderen Unternehmens verarbeitet werden.

Besteht eine gültige Vereinbarung über die Auftragsverarbeitung, kann der sog. "Auftragsverarbeiter" (also der Dienstleister) personenbezogene Daten verarbeiten und mit dem sogenannten "Verantwortlichen" (also dem Auftraggeber) austauschen, ohne dass hierfür eine zusätzliche Rechtsgrundlage (z.B. die Einwilligung der betroffenen Person) erforderlich ist. Die Verarbeitung des Auftragsverarbeiters und sein Datenaustausch mit dem Verantwortlichen basieren also auf der Rechtsgrundlage, auf die sich der Verantwortliche stützt.

Die Anforderung, einen Datenschutzvertrag abzuschließen, richtet sich sowohl an den Verantwortlichen als auch an den Auftragsverarbeiter, weshalb große Dienstleistungsanbieter häufig eine eigene Vorlage für ihre Kunden bereithalten. Ohne eine Vereinbarung würde der Auftragsverarbeiter rechtlich gesehen als Verantwortlicher gelten und müsste selbst für die Einhaltung der Vorschriften bei der Datenverarbeitung sorgen.

Der Vertrag über die Auftragsverarbeitung muss vor Beginn der Datenverarbeitung abgeschlossen werden. Ein fehlender oder ungültiger Datenverarbeitungsvertrag kann mit einer Geldbuße von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.