Die rechtliche Grundlage zu einem Auftragsverarbeitungsvertrag ist die EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft getreten ist. Diese aktualisiert und ergänzt das bisherige Datenschutzrecht, das im Bundesdatenschutzgesetz BDSG verankert war. Im „BDSG neu“ sind die in der EU-Datenschutz-Grundverordnung (EU-DSGVO) verankerten Regeln auf nationales Recht eingeflossen. Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, in der die weiteren Vorgaben zur Auftragsverarbeitung zu beschreiben und zu vereinbaren sind; dazu gehören unter anderem die Pflichten und Rechte des Verantwortlichen und Auftragsverarbeiters oder der Umgang mit personenbezogenen Daten.
Der Artikel 28 – EU-DSGVO – Auftragsverarbeiter regelt insbesondere, dass eine Verarbeitung im Auftrag eines Verantwortlichen nur mit Auftragsverarbeitern durchzuführen ist, die hinreichend Garantien dafür bieten, dass der Schutz der Rechte von möglicherweise betroffenen Personen gewährleistet ist. Dazu hat der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der übertragenen Daten im Einklang mit den Anforderungen dieser Verordnung erfolgt.