kostenlos starten

Auftragsverarbeitungsvertrag (AVV): Wann er Pflicht ist, was er enthalten muss und typische Fehler

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO verpflichtend, sobald ein Unternehmen personenbezogene Daten durch einen externen Dienstleister im Auftrag verarbeiten lässt – zum Beispiel beim Webhosting, der Lohnabrechnung, dem Newsletter-Versand oder beim IT-Support.

Der AVV ist dabei nicht nur „Papierkram“, sondern ein zentraler Baustein im Datenschutzmanagement: Er regelt Rollen, Pflichten, Kontrollrechte und Sicherheitsanforderungen. Wer ohne AVV arbeitet oder einen unpassenden Standardvertrag nutzt, riskiert Bußgelder, Haftungsprobleme und Reputationsschäden.

In diesem Beitrag erfahren Sie:

  • wann ein Auftragsverarbeitungsvertrag erforderlich ist (und wann nicht),
  • welche Pflichtinhalte er enthalten muss,
  • was bei Dienstleistern im Ausland gilt,
  • und wie Sie typische Fehler in der Praxis vermeiden.

Sie arbeiten mit externen Dienstleistern und wollen auf Nummer sicher gehen?
Prüfen Sie jetzt mit // PRIMA, ob Ihre AVVs zur Auftragsverarbeitung DSGVO-konform sind – inklusive Vorlagen, Tutorials und zentraler Dokumentation. Jetzt 14 Tage kostenlos testen anfordern.  

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag ist die vertragliche Grundlage zwischen:

  • Verantwortlichem (Art. 4 Nr. 7 DSGVO) – das Unternehmen, das über Zwecke und Mittel entscheidet
    und
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) – der Dienstleister, der Daten weisungsgebunden verarbeitet

Der entscheidende Punkt ist die Weisungsgebundenheit: Der Auftragsverarbeiter darf personenbezogene Daten nur nach dokumentierter Weisung verarbeiten und nicht für eigene Zwecke nutzen.

Faustregel:
Wer entscheidet, warum und wie Daten verarbeitet werden, ist Verantwortlicher.
Wer Daten nur verarbeitet, weil es vorgegeben ist, ist Auftragsverarbeiter.

Wann ist ein AVV nach Art. 28 DSGVO erforderlich?

Ein AVV ist erforderlich, wenn alle drei Bedingungen erfüllt sind:

  1. Es geht um personenbezogene Daten
  2. Ein externer Dienstleister verarbeitet diese Daten
  3. Der Dienstleister handelt im Auftrag und auf Weisung (ohne eigene Zwecke)

Typische Fälle mit AVV-Pflicht

  • Webhosting / Serverbetrieb / Cloud-Speicher
  • Newsletter-Tools und E-Mail-Marketing-Dienstleister
  • CRM-Systeme mit personenbezogenen Daten
  • Externe Lohn- und Gehaltsabrechnung
  • IT-Wartung/Fernzugriff auf Systeme
  • Callcenter oder Support-Dienstleister im Namen des Unternehmens

Wichtig: Der AVV muss vor Beginn der Verarbeitung geschlossen werden – nicht erst „wenn Zeit ist“.

Welche Inhalte muss ein Auftragsverarbeitungsvertrag enthalten?

Art. 28 Abs. 3 DSGVO schreibt Mindestinhalte vor. Ein AVV muss insbesondere regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters

Zentrale Pflichten des Auftragsverarbeiters (Praxisliste)

  • Verarbeitung ausschließlich auf Weisung
  • Vertraulichkeitsverpflichtung der Mitarbeiter
  • Regelung zu Subunternehmern (Genehmigung / Information / Weitergabe der Pflichten)
  • Umsetzung geeigneter TOM nach Art. 32 DSGVO
  • Unterstützung bei Betroffenenrechten (Art. 15–22 DSGVO)
  • Unterstützung bei Datenschutzverletzungen (Art. 33 DSGVO)
  • Unterstützung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  • Unterstützung bei Anfragen der Aufsichtsbehörde
  • Löschung oder Rückgabe der Daten nach Vertragsende

Praxis-Tipp:
Standardverträge ohne Bezug zur konkreten Verarbeitung sind häufig zu allgemein. Ein wirksamer AVV sollte konkret sein – vor allem bei Zweck, Datenarten, Betroffenengruppen, TOM und Subunternehmern.

AVV mit Anbietern im Ausland (Drittlandtransfer)

Sitzt der Auftragsverarbeiter außerhalb der EU/des EWR oder werden Daten dorthin übermittelt, gelten zusätzliche Anforderungen. Typische Mechanismen sind:

  • Angemessenheitsbeschluss der EU-Kommission (wenn vorhanden)
  • Standardvertragsklauseln (SCC)
  • ergänzende Schutzmaßnahmen, wenn erforderlich

Diese Punkte müssen im Vertrag oder in ergänzenden Dokumenten sauber berücksichtigt werden – insbesondere bei Cloud-Anbietern mit globaler Infrastruktur.

Nutzen Sie unseren kostenlosen Leitfaden zur Erstellung von Auftragsverarbeitungsverträgen – coming soon

Konsequenzen bei fehlendem oder fehlerhaftem AVV

Ein fehlender oder unvollständiger AVV ist ein DSGVO-Verstoß. Mögliche Folgen:

  • Bußgelder nach Art. 83 DSGVO
  • Anordnungen durch Aufsichtsbehörden (z. B. Stopp der Verarbeitung)
  • Haftungsrisiken im Schadensfall
  • Verlust von Kundenvertrauen und Reputationsschäden

Kurz: Ein AVV ist kein „Nice-to-have“, sondern eine Pflicht mit realen Konsequenzen.

Abgrenzung: Auftragsverarbeitung oder eigene Verantwortlichkeit?

Nicht jede Zusammenarbeit mit Dienstleistern ist Auftragsverarbeitung. Häufige Abgrenzungsfälle:

1) Eigenverantwortliche Dienstleister (kein AVV)

Beispiele: Steuerberater, Rechtsanwälte, Ärzte.
Diese Berufsgruppen entscheiden im Rahmen ihrer Tätigkeit selbst über Zwecke und Mittel und sind daher regelmäßig eigene Verantwortliche.

2) Gemeinsame Verantwortlichkeit (Art. 26 DSGVO, kein AVV)

Wenn beide Parteien gemeinsam über Zwecke und Mittel entscheiden, ist ein Vertrag nach Art. 26 erforderlich – nicht Art. 28.

3) Reine Datenübermittlung (kein AVV)

Wenn ein Empfänger die Daten für eigene Zwecke nutzt (z. B. Versicherung, Auskunftei, Zahlungsdienst mit eigener Rolle), liegt keine Auftragsverarbeitung vor.

4) Technische Hilfsdienste ohne personenbezogene Verarbeitung

Wenn tatsächlich kein Zugriff auf personenbezogene Daten besteht oder nur anonymisierte Daten genutzt werden, kann ein AVV entbehrlich sein.

Warnung:
„Mit jedem Dienstleister pauschal einen AVV“ ist keine gute Lösung. Eine falsche Rollenverteilung kann selbst zum Problem werden.

Checkliste: AVV in 5 Schritten richtig umsetzen

  1. Rolle klären: Auftragsverarbeitung, eigene Verantwortlichkeit oder gemeinsame Verantwortlichkeit?
  2. AVV abschließen: vor Start der Verarbeitung, schriftlich oder elektronisch nachweisbar
  3. TOM prüfen: passen die Maßnahmen zur konkreten Verarbeitung?
  4. Subunternehmer regeln: Transparenz, Genehmigung, Weitergabepflichten
  5. Regelmäßig kontrollieren: Dokumentation aktuell halten, Änderungen nachvollziehen

Sie möchten AVVs strukturiert prüfen und dokumentieren?
Mit // PRIMA behalten Sie Verträge, Pflichten und Nachweise zentral im Blick – ohne Excel-Chaos. Jetzt 14 Tage kostenlos testen anfordern.

FAQ: Häufige Fragen zum Auftragsverarbeitungsvertrag

Ist ein AVV auch bei Cloud-Tools nötig?
Ja, häufig schon – sobald personenbezogene Daten im Auftrag verarbeitet werden und der Anbieter weisungsgebunden handelt.

Muss ein AVV unterschrieben sein?
Er muss schriftlich oder elektronisch geschlossen werden und nachweisbar sein. Wichtig ist die dokumentierte Vereinbarung, nicht zwingend Papier.

Reicht ein AVV-Muster aus?
Nur, wenn es auf die konkrete Verarbeitung angepasst wird (Zweck, Datenarten, TOM, Subunternehmer). „One-size-fits-all“ ist riskant.

Was ist der häufigste Fehler?
Die falsche Einordnung: AVV abgeschlossen, obwohl eigene Verantwortlichkeit vorliegt – oder umgekehrt.

Fazit

Der Auftragsverarbeitungsvertrag (AVV) ist ein Pflichtbestandteil eines funktionierenden Datenschutzmanagements. Unternehmen müssen:

  • die Rollen korrekt einordnen,
  • AVVs individuell und vollständig gestalten,
  • TOMs prüfen,
  • und die Zusammenarbeit regelmäßig kontrollieren.

Wer das sauber umsetzt, reduziert Bußgeld- und Haftungsrisiken deutlich und schafft Vertrauen bei Kunden und Partnern.

Sie benötigen Unterstützung im Datenschutz? Wir helfen Ihnen gerne. Erstellen Sie jetzt mit // PRIMA DSGVO-konforme Dokumentationen. Alles an einem Ort in unserem All-in-One-Tool.
Jetzt 14 Tage kostenlos testen anfordern.  

Weitere Beiträge

Datenschutz im Bewerbungsverfahren 

Informationspflichten, Löschkonzept, Betroffenenrechte und aktuelle Rechtsprechung des BAG Das Bewerbungsverfahren ist ein sensibler Schnittpunkt

Datenschutz und IT-Sicherheit in der Praxis: Der Mensch als zentrales Risiko 

Der wichtigste – und oft größte – Schwachpunkt in der IT-Sicherheit und im Datenschutz

Datenschutz bei Fotoaufnahmen: So navigieren Unternehmen sicher durch die rechtlichen Stolperfallen von DSGVO und Recht am eigenen Bild 

Fotos sind aus der modernen Unternehmenskommunikation, dem unverzichtbaren Employer Branding und einer professionellen Außendarstellung nicht mehr

Der Digitale Omnibus: Was Geschäftsführer und Datenschützer jetzt über die EU-Gesetzesreform wissen müssen 

Das europäische Digitalrecht ist seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in stetigem Wandel. Mit

Datenschutzsoftware wechseln – Visualisierung des Umstiegs von einer alten zu einer modernen Datenschutzlösung

Datenschutzsoftware wechseln – so gelingt der Umstieg ohne Chaos

Viele Unternehmen merken irgendwann: Die aktuelle Datenschutzsoftware passt nicht mehr. Prozesse sind unübersichtlich, Funktionen

Einführung neuer Datenschutzsoftware in Unternehmen – Team implementiert moderne Datenschutzlösung

Einführung neuer Datenschutzsoftware – so gelingt der Umstieg reibungslos

Die Anforderungen an den Datenschutz steigen stetig – und die Einführung neuer Datenschutzsoftware wird

Cybersecurity vor den Weihnachtstagen auffrischen: Warum die besinnliche Zeit die Hochsaison für Cyberangriffe ist 

Cybersecurity vor Weihnachten ist für Unternehmen besonders kritisch. Die Wochen vor dem Jahreswechsel sind

Datenschutz auf der Weihnachtsfeier: So vermeiden Sie peinliche Compliance-Pannen 

Die jährliche Weihnachtsfeier ist ein Höhepunkt im Unternehmensjahr: eine Gelegenheit zur Danksagung, zum lockeren

Weihnachtsgruß Datenschutzkonform

Weihnachtsgrüße datenschutzkonform verschicken: So vermeiden Sie böse Überraschungen unter dem Weihnachtsbaum 

Die Weihnachtszeit ist traditionell die Zeit, in der Unternehmen ihre Wertschätzung gegenüber Kunden, Partnern

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024