Kontakt
Kontakt
Recht & Datenschutz

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungs-Vertrag (AVV) ist der nach Artikel 28 DSGVO verbindliche Vertrag zwischen einem verantwortlichen Unternehmen und jedem externen Dienstleister, der in dessen Auftrag personenbezogene Daten verarbeitet – vom Newsletter-Anbieter bis zum Cloud-Hoster.

Auftragsverarbeitungs-Verträge sind eine der zentralen formalen Pflichten der DSGVO. Ohne AVV ist die Weitergabe personenbezogener Daten an einen externen Dienstleister rechtswidrig – unabhängig davon, wie professionell der Dienstleister technisch arbeitet.

In einfachen Worten

Sobald ein externer Anbieter Daten Ihrer Kunden, Mitarbeitenden oder Interessenten verarbeitet – speichert, auswertet, versendet, hostet – bleibt das verantwortliche Unternehmen rechtlich Verantwortlicher im Sinne der DSGVO. Der Auftragsverarbeitungs-Vertrag regelt, wer was tun darf, welche technischen und organisatorischen Schutz-Maßnahmen gelten, wie Unterauftragnehmer beauftragt werden dürfen und was bei einem Datenschutz-Vorfall passiert. Die Anforderungen sind in Artikel 28 DSGVO konkret aufgelistet. Ohne unterzeichneten AVV ist die Datenweitergabe an einen externen Dienstleister rechtswidrig – auch wenn der Dienstleister selbst datenschutzrechtlich vorbildlich arbeitet.

Wozu brauche ich das?

Ein AVV ist Pflicht bei praktisch jedem digitalen Werkzeug mit Zugriff auf personenbezogene Daten: Newsletter-Anbieter, Cloud-Speicher, CRM-System, Buchhaltungs-Software, Web-Hosting, Webanalyse-Werkzeuge, externe IT-Wartung. Auch die Übergabe von Bewerbungs-Unterlagen an eine externe Personal-Beratung erfordert einen AVV. Fehlt der Vertrag, drohen bei einer datenschutzrechtlichen Prüfung empfindliche Bußgelder nach Artikel 83 DSGVO.

Beispiel aus der Praxis

Eine typische Lage in mittelständischen Betrieben: Ein Maschinenbau-Unternehmen mit mehreren Dutzend Beschäftigten nutzt eine Cloud-Büro-Suite, einen Newsletter-Anbieter, ein Webanalyse-Werkzeug, ein CRM-System und ein externes Buchhaltungs-Büro – ohne einen einzigen AVV abgeschlossen zu haben. Eine Datenschutz-Beauftragte stößt bei der Erst-Prüfung typischerweise auf eine zweistellige Zahl fehlender Verträge. Mit einer systematischen Nachbearbeitung über wenige Wochen ist das Risiko vollständig beseitigt: Verzeichnis aller Dienstleister mit Datenzugriff, schriftliche Einholung der AVVs (jeder seriöse Anbieter stellt einen Standard-AVV zur Verfügung), zentrale Ablage und Verknüpfung mit dem Verarbeitungs-Verzeichnis nach Artikel 30 DSGVO.

Wirtschaftlicher Nutzen

AVVs sind ohne zusätzliche Kosten verfügbar – jeder seriöse Anbieter stellt einen Standard-AVV zur Verfügung. Der Aufwand pro Dienstleister bleibt überschaubar und beschränkt sich auf Einholen, Prüfung und Ablage. Der wirtschaftliche Nutzen entsteht in der Vermeidung: ein einzelner Datenschutz-Vorfall ohne dokumentierten AVV kann nach Artikel 83 DSGVO Bußgelder auslösen, die jeden Aufwand für die saubere Vertragsführung um ein Vielfaches übersteigen. Zusätzlich relevant ist der B2B-Aspekt: Geschäftspartner verlangen zunehmend Nachweise über die saubere AVV-Aufstellung bei eigenen Unter-Auftragnehmern; fehlt diese, scheitern Geschäftsaufnahmen bereits im Lieferanten-Auswahl-Prozess.

Typische Fehler

  • AVV nie aktiv eingeholt – die Annahme „der Anbieter ist DSGVO-konform" ersetzt den schriftlichen Vertrag rechtlich nicht.
  • AVV abgeschlossen, aber nie inhaltlich geprüft – manche Verträge enthalten unzulässige Klauseln oder unklare Regelungen zu Unterauftragnehmern.
  • Keine Liste der Dienstleister mit Datenzugriff geführt – im Prüf-Fall ist nicht nachweisbar, mit wem überhaupt ein AVV besteht und mit wem nicht.
  • AVV beim Einführen eines neuen Werkzeugs vergessen – häufige Lücke nach Werkzeug-Wechseln oder bei Pilot-Projekten, die produktiv übernommen werden.
  • Bei Anbietern außerhalb der EU keine dokumentierte Drittstaaten-Bewertung – das Schrems-II-Urteil verlangt zusätzliche Schutz-Maßnahmen, die schriftlich begründet werden müssen.

Worauf achten?

  • Liste aller Dienstleister mit Datenzugriff führen und mindestens jährlich aktualisieren – idealerweise verknüpft mit dem Verarbeitungs-Verzeichnis nach Artikel 30 DSGVO.
  • AVV in einer zentralen Ablage speichern – nicht nur per E-Mail bestätigen lassen.
  • Unterauftragnehmer prüfen: Wer arbeitet im Hintergrund für den eingesetzten Dienstleister?
  • Bei Anbietern außerhalb der EU besonders sorgfältig prüfen – Schrems-II-Risiko und Anforderungen an zusätzliche Schutz-Maßnahmen dokumentieren.
  • Vor der Einführung eines neuen Werkzeugs den AVV einfordern, nicht erst nachträglich – im Zweifel scheitert die Einführung an Vertrags-Engstellen, die später nicht mehr zu beheben sind.

Häufig gestellte Fragen

Was ist ein Auftragsverarbeitungs-Vertrag?

Ein nach Artikel 28 DSGVO verbindlicher Vertrag zwischen einem verantwortlichen Unternehmen und jedem externen Dienstleister, der in dessen Auftrag personenbezogene Daten verarbeitet. Er regelt Schutz-Maßnahmen, Unterauftragnehmer, Lösch-Pflichten und das Verhalten im Datenschutz-Vorfall.

Wann braucht es einen AVV?

Bei praktisch jedem externen digitalen Werkzeug mit Zugriff auf personenbezogene Daten: Cloud-Speicher, Newsletter-Anbieter, CRM-System, Buchhaltungs-Software, Web-Hosting, Webanalyse, externe IT-Wartung. Auch die Übergabe von Personal-Daten an externe Beratungen ist AVV-pflichtig.

Was kostet ein AVV?

In der Regel nichts. Jeder seriöse Anbieter stellt einen Standard-AVV zur Verfügung, der den Anforderungen aus Artikel 28 DSGVO entspricht. Der Aufwand beschränkt sich auf Einholen, Prüfen und zentrale Ablage.

Wer prüft den AVV inhaltlich?

Inhaltliche Prüfung sollte durch eine Datenschutz-Beauftragte oder eine fachkundige Rechtsberatung erfolgen, besonders bei nicht-standardisierten Verträgen oder bei Anbietern außerhalb der EU. Die technische Einbindung des Anbieters und die Pflege des Dienstleister-Verzeichnisses liegt häufig bei der umsetzenden Agentur.

Was passiert ohne AVV?

Die Datenweitergabe an den betroffenen Dienstleister ist rechtswidrig. Im Prüf-Fall durch eine Aufsichts-Behörde drohen Bußgelder nach Artikel 83 DSGVO; im Schadens-Fall kann der Verantwortliche persönlich haften, weil keine vertragliche Grundlage für die Datenverarbeitung vorliegt.

Zurück zu Recht & Datenschutz