Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) — auch Auftragsdatenverarbeitungsvertrag oder kurz AVV Datenschutz genannt — ist ein verbindlicher Vertrag zwischen einem Verantwortlichen (z. B. Ihrem Unternehmen) und einem Auftragsverarbeiter (z. B. einem Cloud-Anbieter, einer Softwarefirma oder einem externen Dienstleister). Er regelt, wie personenbezogene Daten im Rahmen einer Dienstleistungserbringung verarbeitet werden dürfen.

Rechtsgrundlage ist Art. 28 DSGVO. Danach ist jeder Verantwortliche verpflichtet, einen solchen Vertrag abzuschließen, wenn er personenbezogene Daten durch einen Dritten verarbeiten lässt. Der AVV ist damit kein optionales Zusatzdokument, sondern eine gesetzliche Pflicht — ein Verstoß kann Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.

Der Begriff Auftragsverarbeitung bedeutet konkret: Ein Dritter verarbeitet Daten ausschließlich nach Weisung des Verantwortlichen, nicht für eigene Zwecke. Der Auftragsverarbeiter bestimmt weder Mittel noch Zweck der Verarbeitung — das bleibt allein Aufgabe des Verantwortlichen. Mehr zur Abgrenzung lesen Sie im Abschnitt Auftragsdatenverarbeitung vs. Auftragsverarbeitung weiter unten.

Weitere rechtliche Hintergründe finden Sie auf unserer Detailseite zu Art. 28 DSGVO.

Wann brauche ich einen AVV? (Praxis-Beispiele)

Ein AVV ist immer dann erforderlich, wenn Sie als Unternehmen personenbezogene Daten an einen externen Dienstleister weitergeben, der diese in Ihrem Auftrag verarbeitet. Die folgende Liste zeigt typische Praxisfälle:

• Cloud-Dienste & SaaS: Microsoft 365, Google Workspace, Salesforce, HubSpot — alle verarbeiten Schutz von Kundendaten auf Ihren Servern.
• E-Mail-Marketing: Mailchimp, Brevo (Sendinblue), CleverReach — Newsletter-Versand mit Empfängerdaten.
• Buchhaltungs-Software: DATEV, Lexware, sevDesk — enthalten Kunden- und Lieferantendaten.
• Lohnabrechnungen: Externes Steuerberatüro oder Personaldienstleister, die Gehaltsabrechnungen erstellen.
• Website-Hosting: Jeder Hoster, auf dem Ihre Website läuft und Besucherdaten (IP-Adressen, Logfiles) verarbeitet.
• Webanalyse: Google Analytics, Matomo, Hotjar — Tracking-Tools verarbeiten Nutzerdaten.
• IT-Support & Fernwartung: Externe IT-Dienstleister, die auf Systeme mit personenbezogenen Daten zugreifen.
• Druckdienstleister: Wer Ihnen personalisierte Mailings druckt, verarbeitet Adressdaten.
• Rechenzentren & Housing: Anbieter, die Ihre Server betreiben oder hosten.
• Aktenvernichtung: Dienstleister, die Dokumente mit personenbezogenen Inhalten vernichten.

Kein AVV benötigt wird dagegen bei einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO), bei Behörden im Rahmen behördlicher Aufgaben oder bei Dienstleistern, die Daten für eigene Zwecke nutzen (dann liegt keine Auftragsverarbeitung vor).

Unsicher, ob in Ihrem konkreten Fall ein AVV notwendig ist? Sprechen Sie uns an — als externer Datenschutzbeauftragter für Unternehmen prüfen wir Ihre Verarbeitungstätigkeiten und sagen Ihnen genau, welche Verträge Sie noch benötigen.

Pflichtinhalte nach Art. 28 DSGVO (die 10 Mindestangaben)

Art. 28 DSGVO schreibt verbindlich vor, welche Mindestinhalte ein AVV enthalten muss. Fehlt auch nur eine dieser Angaben, ist der Vertrag rechtlich unvollständig — und damit ein Bußgeldrisiko. Die zehn Mindestangaben sind:

1. Gegenstand und Dauer: Was wird verarbeitet, wie lange dauert der Auftrag?
2. Art und Zweck der Verarbeitung: Welche Verarbeitungsvorgänge finden statt (Speichern, Übermitteln, Löschen etc.) und zu welchem Zweck?
3. Art der personenbezogenen Daten: Welche Datenkategorien sind betroffen (z. B. Name, E-Mail, Gesundheitsdaten, Zahlungsdaten)?
4. Kategorien betroffener Personen: Wessen Daten werden verarbeitet (Kunden, Mitarbeiter, Interessenten)?
5. Weisungsgebundenheit: Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen handeln.
6. Vertraulichkeit: Alle Personen, die Zugang zu den Daten haben, müssen zur Verschwiegenheit verpflichtet sein.
7. Technische und organisatorische Maßnahmen (TOM): Maßnahmen gemäß Art. 32 DSGVO zur Datensicherheit müssen beschrieben oder referenziert sein.
8. Unterauftragsverarbeiter: Regeln zur Hinzuziehung von Sub-Dienstleistern, einschließlich Genehmigungsvorbehalt.
9. Unterstützungspflichten: Der Auftragsverarbeiter muss bei der Erfüllung von Betroffenenrechten, Datenschutz-Folgenabschätzungen und Sicherheitsvorfällen helfen.
10. Löschung und Rückgabe: Nach Auftragsende müssen Daten zurückgegeben oder vollständig gelöscht werden.

Außerdem ist dem AVV üblicherweise eine Anlage mit den konkreten Technischen und Organisatorischen Maßnahmen (TOM) beizufügen. Was diese umfassen müssen, erläutern wir weiter unten sowie auf unserer Seite zu den TOM im Datenschutz.

AVV-Vorlage: Was muss drin stehen? (Gliederung)

Eine rechtssichere AVV-Vorlage nach DSGVO sollte folgender Gliederung folgen. Beachten Sie: Eine Mustervorlage muss laufend auf Ihren konkreten Anwendungsfall angepasst werden — ein generischer Muster-AVV reicht nicht aus, wenn er nicht die tatsächlichen Verarbeitungsumstände widerspiegelt.

Empfohlene Gliederung einer AVV-Vorlage

Präambel / Vorbemerkung
Beschreibung der Geschäftsbeziehung, die zur Verarbeitung führt.

§ 1 Gegenstand und Dauer
Konkreter Auftrag, Vertragslaufzeit, automatische Verlängerung.

§ 2 Art und Zweck der Verarbeitung
Auflistung der Verarbeitungstätigkeiten (z. B. Speichern, Übertragen, Analysieren).

§ 3 Betroffene Datenkategorien und Personengruppen
Tabellarische Übersicht der verarbeiteten Daten und der betroffenen Personen.

§ 4 Pflichten des Auftragsverarbeiters
Weisungsgebundenheit, Vertraulichkeit, Unterstützungspflichten, Meldepflichten bei Datenpannen.

§ 5 Unterauftragsverarbeiter (Sub-Processor)
Genehmigungsverfahren, Liste zugelassener Unterauftragsverarbeiter, Weitergabepflichten.

§ 6 Technische und organisatorische Maßnahmen
Verweis auf Anlage TOM oder direkte Auflistung gemäß Art. 32 DSGVO.

§ 7 Rechte des Verantwortlichen
Kontroll- und Prüfrechte, Auditrecht, Auskunftspflichten des Auftragsverarbeiters.

§ 8 Löschung und Rückgabe
Fristen, Nachweisverpflichtungen, Vernichtungsprotokoll.

§ 9 Haftung und Gewährleistung
Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter.

§ 10 Schlussbestimmungen
Anwendbares Recht, Gerichtsstand, salvatorische Klausel.

Anlage 1: Beschreibung der Auftragsverarbeitung
Detaillierte tabellarische Übersicht der Verarbeitungstätigkeiten.

Anlage 2: Technische und organisatorische Maßnahmen (TOM)
Konkrete Sicherheitsmaßnahmen des Auftragsverarbeiters.

Anlage 3: Genehmigte Unterauftragsverarbeiter
Aktuelle Liste aller Unterauftragsverarbeiter mit Standort und Verarbeitungszweck.

Ob Ihr bestehender AVV diese Anforderungen erfüllt, können wir im Rahmen unserer Dokumentations- und Prüfleistungen schnell feststellen.

Auftragsdatenverarbeitung vs. Auftragsverarbeitung — Begriffsklärung

Im alltäglichen Sprachgebrauch werden Auftragsdatenverarbeitungsvertrag und Auftragsverarbeitungsvertrag oft synonym verwendet — zu Recht, denn es handelt sich um dasselbe Instrument. Der ältere Begriff „Auftragsdatenverarbeitung“ stammt aus dem alten BDSG (vor 2018), während die DSGVO ausschließlich den Begriff Auftragsverarbeitung verwendet.

Wichtige Unterscheidung für die Praxis:

Kriterium	Auftragsverarbeitung (AVV)	Gemeinsame Verantwortlichkeit	Eigenständige Verarbeitung
Zweck bestimmt durch	Verantwortlichen	Beide gemeinsam	Dienstleister selbst
Mittel bestimmt durch	Verantwortlichen (teils Auftragsverarbeiter)	Beide gemeinsam	Dienstleister selbst
Rechtsgrundlage	Art. 28 DSGVO	Art. 26 DSGVO	Art. 6 DSGVO
Erforderlicher Vertrag	AVV	Vereinbarung gem. Art. 26	Kein AVV nötig
Beispiel	E-Mail-Hosting, Lohnabrechnung	Facebook Custom Audiences	Anwalt, Arzt, Steuerberater

Die Abgrenzung ist in der Praxis nicht immer einfach. So ist z. B. ein Steuerberater kein Auftragsverarbeiter, weil er die Daten im Rahmen seiner eigenen beruflichen Tätigkeit verarbeitet. Ein Cloud-Anbieter hingegen ist klassischerweise Auftragsverarbeiter, weil er nur Infrastruktur bereitstellt und keine eigenen Zwecke verfolgt.

Technische und organisatorische Maßnahmen (TOM) im AVV

Ein zentraler Bestandteil jedes AVV ist die Anlage zu den Technischen und Organisatorischen Maßnahmen (TOM). Gemäß Art. 32 DSGVO müssen Auftragsverarbeiter geeignete Maßnahmen treffen, um ein angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten.

Typische TOM-Kategorien im AVV:

• Vertraulichkeit: Zutrittskontrolle (Gebäudesicherung), Zugangskontrolle (Passwort-Policy, MFA), Zugriffskontrolle (Rollenkonzept, Berechtigungsverwaltung), Trennungskontrolle (Mandantenfähigkeit).
• Integrität: Weitergabekontrolle (Verschlüsselung bei Übertragung), Eingabekontrolle (Protokollierung von Datenänderungen).
• Verfügbarkeit: Sicherungsverfahren (Backup-Konzept), Wiederherstellbarkeit (Disaster-Recovery-Plan), Zuverlässigkeit (Redundanz).
• Belastbarkeit: Maßnahmen zur Aufrechterhaltung der Systeme bei Störungen.
• Verfahren zur Wirksamkeitsprüfung: Regelmäßige Tests, Audits, Penetrationstests.

Der Verantwortliche muss sich vor Abschluss des AVV überzeugen, dass der Auftragsverarbeiter tatsächlich ausreichende TOM einsetzt. Eine bloße Selbstauskunft reicht nicht — idealerweise existieren Zertifikate (ISO 27001, SOC 2) oder aktuelle Auditberichte.

Weitere Details zu den Anforderungen finden Sie auf unserer Seite zu den Technischen und Organisatorischen Maßnahmen (TOM).

Subunternehmer und Unterauftragsverarbeitung

Viele Auftragsverarbeiter setzen ihrerseits Subunternehmer ein — sogenannte Unterauftragsverarbeiter. Art. 28 Abs. 2 und 4 DSGVO stellt dafür klare Regeln auf:

• Der Auftragsverarbeiter darf keine weiteren Auftragsverarbeiter hinzuziehen, ohne vorherige schriftliche Genehmigung des Verantwortlichen.
• Es können spezifische (Einzelgenehmigung) oder allgemeine (Listengenehmigung mit Widerspruchsrecht) Genehmigungen vereinbart werden.
• Dem Unterauftragsverarbeiter müssen dieselben Datenschutzpflichten auferlegt werden wie dem Hauptauftragsverarbeiter.
• Der Hauptauftragsverarbeiter haftet gegenüber dem Verantwortlichen für Datenschutzverstöße seiner Unterauftragsverarbeiter.

In der Praxis empfiehlt sich eine Liste genehmigter Unterauftragsverarbeiter als Anlage zum AVV — mit Name, Sitz, Verarbeitungszweck und Verarbeitungsort. Änderungen müssen rechtzeitig (meist 4–6 Wochen im Voraus) angekündigt werden, damit der Verantwortliche widersprechen kann.

Besondere Vorsicht gilt bei Unterauftragsverarbeitern außerhalb der EU/EWR: Hier sind zusätzlich die Anforderungen an den Drittlandtransfer (Art. 44 ff. DSGVO, Standardvertragsklauseln) zu erfüllen.

Häufige Fehler bei AVV-Verträgen

In der Praxis begegnen uns bei AVV-Prüfungen immer wieder dieselben Fehler. Diese können im Falle einer Aufsichtsbehördenkontrolle zu Bußgeldern führen:

1. Kein AVV vorhanden — der häufigste und schwerwiegendste Fehler. Besonders bei lange bestehenden Dienstleisterbeziehungen vor 2018 wurden AVVs oft nie abgeschlossen.
2. Veraltetes BDSG-Muster statt DSGVO-konformem AVV — viele Unternehmen nutzen noch Vorlagen aus der Zeit vor Mai 2018.
3. Unvollständige Beschreibung der Verarbeitung — pauschale Formulierungen wie „Verarbeitung gemäß Hauptvertrag“ ohne konkrete Anlage genügen nicht.
4. Fehlende oder unzureichende TOM-Anlage — allgemeine Formulierungen („state of the art“) ohne konkrete Maßnahmen sind nicht akzeptabel.
5. Keine Regelung zu Unterauftragsverarbeitern — insbesondere bei Cloud-Diensten mit zahlreichen Sub-Processoren ein kritischer Punkt.
6. Kein Auditrecht vereinbart — der Verantwortliche muss die Möglichkeit haben, die Einhaltung des AVV zu überprüfen.
7. AVV nur digital/per E-Mail, aber nicht durch Geschäftsführung unterzeichnet — fehlende Verbindlichkeit.
8. Drittland-Übermittlung nicht geregelt — US-Dienste erfordern zusätzlich Standardvertragsklauseln oder andere Garantien.
9. Keine Regelung zur Datenvernichtung nach Vertragsende — was passiert mit den Daten, wenn die Geschäftsbeziehung endet?
10. AVV nie aktualisiert — der AVV muss bei Änderungen der Verarbeitung angepasst werden.

Unser externer Datenschutzbeauftragter prüft bestehende AVVs systematisch auf diese und weitere Fehler.

AVV-Prüfung: Worauf achten?

Wenn Sie einen AVV prüfen — ob als Verantwortlicher oder Auftragsverarbeiter — sollten Sie folgende Punkte systematisch abhaken:

Checkliste AVV-Prüfung

✅ Vollständigkeit: Sind alle 10 Pflichtinhalte nach Art. 28 DSGVO enthalten?
✅ Aktualität: Entspricht der AVV dem aktuellen Stand der DSGVO (nicht BDSG alt)?
✅ Konkretheit: Sind Datenkategorien, Personengruppen und Verarbeitungszwecke präzise beschrieben?
✅ TOM-Anlage: Ist eine detaillierte TOM-Anlage vorhanden und aktuell?
✅ Unterauftragsverarbeiter: Gibt es eine genehmigte Liste mit Widerspruchsmechanismus?
✅ Drittlandtransfer: Werden US- oder sonstige Nicht-EU-Dienste korrekt behandelt?
✅ Auditrecht: Ist das Recht des Verantwortlichen zur Kontrolle/Überprüfung geregelt?
✅ Löschregelung: Ist die Rückgabe/Vernichtung nach Vertragsende geregelt?
✅ Haftung: Ist die Haftungsverteilung zwischen den Parteien klar?
✅ Unterschriften: Ist der AVV von beiden Parteien rechtsverbindlich unterzeichnet?
✅ Aktualität der Unterlagen: Stimmen die Anlagen noch mit den tatsächlichen Verarbeitungstätigkeiten überein?

Regelmäßige AVV-Prüfungen sollten Teil Ihres internen Verarbeitungsverzeichnisses und Ihres Datenschutzmanagementsystems sein.

FAQ: Häufige Fragen zum Auftragsverarbeitungsvertrag

Muss ein AVV zwingend schriftlich abgeschlossen werden?

Art. 28 Abs. 9 DSGVO erlaubt ausdrücklich auch elektronische Formate — ein PDF per E-Mail mit digitaler Signatur oder ein Online-Vertragsmodul (wie es große Anbieter wie AWS oder Google Cloud anbieten) ist rechtlich gleichwertig. Wichtig ist, dass der AVV eindeutig identifizierbar und im Streitfall nachweisbar ist.

Was passiert, wenn ich keinen AVV habe?

Das Fehlen eines AVV ist ein Verstoß gegen Art. 28 DSGVO und kann von Datenschutzaufsichtsbehörden mit einem Bußgeld bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Außerdem kann es bei Datenpannen zu erhöhter Haftung führen.

Gilt der AVV auch für kostenlose Dienste (z. B. Google Analytics Gratis-Version)?

Ja. Die Pflicht zum Abschluss eines AVV ist unabhängig davon, ob der Dienst kostenpflichtig ist oder nicht. Auch bei kostenlosen Tools wie Google Analytics muss ein AVV bzw. die entsprechenden Datenverarbeitungsbedingungen abgeschlossen werden.

Kann ich einen vom Dienstleister vorgeschlagenen AVV einfach unterzeichnen?

Grundsätzlich ja — aber prüfen Sie ihn vorher auf Vollständigkeit und Konformität mit den obigen Mindestanforderungen. Manche Anbieter nutzen AGBs als AVV, was rechtlich zulässig ist, solange alle Pflichtinhalte enthalten sind. Im Zweifelsfall lassen Sie den AVV durch einen Datenschutzexperten prüfen.

Wie oft muss ein AVV aktualisiert werden?

Einen festen Turnus schreibt die DSGVO nicht vor, aber der AVV muss immer dann angepasst werden, wenn sich die tatsächliche Verarbeitung ändert (neue Datenkategorien, neue Unterauftragsverarbeiter, geänderte TOM etc.). Empfehlenswert ist eine jährliche Überprüfung im Rahmen des Datenschutz-Audits.

AVV-Prüfung und -Erstellung durch DATUREX

Die DATUREX GmbH bietet als externer Datenschutzbeauftragter in Dresden und sachsenweit vollständige Leistungen rund um den Auftragsverarbeitungsvertrag:

• AVV-Prüfung: Systematische Analyse Ihrer bestehenden AVVs auf Vollständigkeit, Aktualität und DSGVO-Konformität.
• AVV-Erstellung: Individuell angepasste AVV-Vorlagen für Ihr Unternehmen — kein generisches Muster, sondern individuelle Vertragsdokumente.
• Dienstleister-Screening: Welche Ihrer Dienstleister benötigen einen AVV? Wir erstellen eine vollständige Übersicht.
• TOM-Bewertung: Wir beurteilen, ob die TOM Ihrer Auftragsverarbeiter dem erforderlichen Schutzniveau entsprechen.
• Unterauftragsverarbeiter-Management: Aufbau eines Systems zur Verwaltung und Überwachung Ihrer Sub-Processor.
• Integration ins Verarbeitungsverzeichnis: Verknüpfung der AVVs mit Ihrem Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Ob Sie nur einen einzelnen AVV prüfen lassen möchten oder eine vollständige Bestandsaufnahme all Ihrer Auftragsverarbeitungsverhältnisse benötigen — wir helfen schnell und pragmatisch. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!

➡ Mehr zum Thema Datenschutz im Unternehmen | ➡ Brauche ich einen Datenschutzbeauftragten?

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

Benötigen Sie professionelle Unterstützung? Unser Datenschutzbeauftragter Dresden hilft Ihnen bei allen DSGVO-Fragen — bundesweit und zuverlässig.