Die Idee der Auftragsverarbeitung ist es, sicherzustellen, dass personenbezogene Daten auf eine konforme und sichere Weise verarbeitet werden, wenn sie von einem Dienstleister wie einer Marketingagentur oder einer Cloud-Speicherplattform gesammelt oder an diesen übermittelt werden.

Besteht eine gültige Vereinbarung über die Auftragsverarbeitung, können der sogenannte Verantwortliche - das Unternehmen, das die Zwecke und wesentlichen Mittel der Datenverarbeitung festlegt - und sein Auftragsverarbeiter (der als Dienstleister auf der Grundlage der Anweisungen des Verantwortlichen handelt) personenbezogene Daten austauschen, ohne dass eine Rechtsgrundlage für die Datenübermittlung, wie etwa die Einwilligung der betroffenen Person, erforderlich ist.

Das Gesetz verlangt den Abschluss eines Datenschutzvertrags. Während das Gesetz die Verpflichtung des Auftragsverarbeiters betont, ist ein Dokument mit Unterschriften beider Parteien zu Beweiszwecken empfehlenswert.

Die Anforderung richtet sich sowohl an den Verantwortlichen als auch an den Auftragsverarbeiter, weshalb große Dienstleistungsanbieter häufig eine eigene Vorlage für ihre Kunden bereithalten. Ohne eine Vereinbarung würde der Auftragsverarbeiter rechtlich gesehen als Verantwortlicher gelten und müsste selbst für die Einhaltung der Vorschriften bei der Datenverarbeitung sorgen, die er durchführt.

Der Vertrag über die Auftragsverarbeitung muss vor Beginn der Datenverarbeitung abgeschlossen werden. Mit der Datenverarbeitung zu beginnen, bevor ein Vertrag vorliegt, wäre rechtswidrig und könnte mit einer Geldstrafe geahndet werden. Ein fehlender oder ungültiger Datenverarbeitungsvertrag kann mit einer Geldbuße von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.