Wenn Unternehmen personenbezogene Daten an externe Dienstleister weitergeben, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. AVV steht hier für Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Gemäß Art. 28 Abs. 1 DSGVO darf ein Verantwortlicher nur mit Auftragsverarbeitern zusammenarbeiten, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Ohne AVV drohen empfindliche Bußgelder nach Art. 83 Abs. 4 DSGVO.
Was ist ein AVV und wann brauchen Sie einen?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag zwischen einem Verantwortlichen (Ihrem Unternehmen) und einem Auftragsverarbeiter (dem externen Dienstleister). Art. 28 DSGVO verpflichtet beide Seiten, diesen Vertrag schriftlich oder in elektronischer Form abzuschließen — bevor der Dienstleister mit der Verarbeitung personenbezogener Daten beginnt.
Typische Situationen, in denen ein AVV benötigt wird:
- Cloud-Dienste (z. B. Microsoft 365, Google Workspace, Dropbox)
- E-Mail-Marketing-Tools (z. B. Mailchimp, Brevo, HubSpot)
- Lohnbuchhaltung durch externen Dienstleister
- IT-Dienstleister mit Zugriff auf Ihre Systeme
- Steuerberater, die Ihre Buchhaltungsdaten verarbeiten
- Webhosting und Server-Betrieb
Die europäische Datenschutzbehörde hat in mehreren Fällen Bußgelder verhängt, weil Unternehmen mit Auftragsverarbeitern ohne gültigen AVV zusammengearbeitet haben. Das Landgericht Köln (Az. 28 O 328/20) hat bestätigt, dass ein fehlender AVV einen eigenständigen DSGVO-Verstoß darstellt, der unabhängig von tatsächlichen Datenschutzverletzungen sanktioniert werden kann.
Wann kein AVV nötig ist: Wenn der Dienstleister die Daten eigenständig und in eigener Verantwortung verarbeitet (z. B. als gemeinsam Verantwortlicher nach Art. 26 DSGVO), oder wenn er die Daten nur überträgt (z. B. ein Kurierdienst ohne Dateneinsicht).
Mehr dazu: Wann ist ein AVV notwendig?
AVV Inhalt: Was muss drinstehen?
Art. 28 Abs. 3 DSGVO schreibt den Mindestinhalt des AVV vor. Ein rechtskonformer Auftragsverarbeitungsvertrag muss folgende acht Punkte regeln:
- Gegenstand, Dauer und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen
- Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO)
- Vertraulichkeit: Nur autorisierte Personen dürfen auf die Daten zugreifen (Art. 28 Abs. 3 lit. b DSGVO)
- Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO — oft als Anlage beigefügt
- Unterauftragsverarbeiter: Regeln zur Weitergabe an Sub-Dienstleister (Art. 28 Abs. 3 lit. d DSGVO)
- Rückgabe oder Löschung der Daten nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)
- Unterstützungspflicht: Hilfe bei Betroffenenrechten, Datenpannen und Audits (Art. 28 Abs. 3 lit. e+f DSGVO)
AVV-Checkliste: Verwenden Sie diese acht Punkte, wenn Sie einen AVV prüfen oder erstellen. Ein AVV der einen dieser Punkte nicht enthält, ist unvollständig und erhöht das Bußgeldrisiko. Nutzen Sie den DPA-CHECK von PLANIT // PRIMA um Ihren AVV kostenlos auf Vollständigkeit zu prüfen.
TOM als Anlage zum AVV
Technische und organisatorische Maßnahmen (TOM) sind nach Art. 32 DSGVO ein integraler Bestandteil des Datenschutzrechts und werden regelmäßig als Anlage zum AVV beigefügt. Die TOM beschreiben konkret, wie der Auftragsverarbeiter die Datensicherheit gewährleistet: Verschlüsselung, Zugangskontrolle, Backup-Konzepte und mehr.
Ein AVV ohne TOM-Anlage ist in der Praxis unvollständig — auch wenn Art. 28 Abs. 3 lit. c DSGVO nur auf Art. 32 verweist und keine eigenständige TOM-Beschreibung im AVV-Text fordert. Mehr zum Thema: TOM als AVV-Anlage — vollständige Übersicht.
AVV Vorlage: Muster zum Download
Eine gültige AVV-Vorlage muss alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO abdecken. Viele kostenlose Muster im Internet sind veraltet oder unvollständig — prüfen Sie jede Vorlage anhand der Checkliste oben.
Empfehlung: Nutzen Sie den DPA-CHECK von PLANIT // PRIMA, um Ihren bestehenden AVV automatisch auf Vollständigkeit zu prüfen, oder lassen Sie sich mit dem AVV-Workflow von PLANIT // PRIMA einen rechtskonformen Vertrag automatisch erstellen.
Möchten Sie Ihren bestehenden AVV prüfen? Unser Tool prüft alle Pflichtangaben: AVV prüfen.
Mehr zum AVV-Prüfer als Tool: AVV Prüfer — Tool-Übersicht.
Wann brauchen Sie einen AVV?
Die Frage „Brauche ich für X einen AVV?“ stellt sich bei jedem neuen Dienstleister. Die Antwort hängt davon ab, ob der Dienstleister als Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO einzustufen ist. Konkrete Antworten für typische Dienstleister:
- Wann ist ein AVV notwendig? — Allgemeine Prüfung
- Brauche ich AVV für Cloud-Anbieter?
- Brauche ich AVV für Google Analytics?
- Brauche ich AVV für HubSpot?
- Brauche ich AVV für ChatGPT?
- Brauche ich AVV für Newslettertools?
- Brauche ich AVV für den Steuerberater?
Weitere relevante Themen rund um den AVV-Lebenszyklus:
- Unterauftragsverarbeiter — vollständige Liste
- AVV kündigen — so geht’s
- AVV Audit-Recht nach Art. 28 DSGVO
- AVV vs. gemeinsame Verantwortlichkeit
Rechtsprechung und Konsequenzen
Die Aufsichtsbehörden nehmen fehlende AVV ernst. Relevante Entscheidungen:
Die Bayerische Datenschutzbehörde (BayLDA) hat in mehreren Fällen Bußgelder verhängt, weil Unternehmen Cloud-Dienste ohne AVV genutzt haben — insbesondere bei der Nutzung von US-amerikanischen Diensten ohne Standard-Vertragsklauseln als zusätzliche Schutzmaßnahme nach dem Schrems-II-Urteil (EuGH, Az. C-311/18, 16.07.2020).
Das Oberverwaltungsgericht Saarland hat in einem Verfahren (Az. 2 A 255/18) bestätigt, dass der Auftragsverarbeiter ausdrücklich auf Weisung des Verantwortlichen handeln muss und keine eigenen Entscheidungen über Zweck und Mittel der Verarbeitung treffen darf — andernfalls liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor, die einer anderen Vereinbarung bedarf.
Das Verwaltungsgericht Mainz (Az. 1 L 447/21.MZ) hat unterstrichen, dass die Schriftform-Pflicht des Art. 28 Abs. 9 DSGVO (elektronisch oder schriftlich) auch für die TOM-Anlage gilt — mündliche Zusagen sind nicht ausreichend.
Zur Abgrenzung von AVV und gemeinsamer Verantwortlichkeit: AVV vs. gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Der Datenschutzbeauftragte prüft AVV-Compliance: Datenschutzbeauftragter und AVV.
AVV für besondere Datenkategorien
Besonders sensibel ist die Auftragsverarbeitung, wenn besondere Datenkategorien nach Art. 9 DSGVO betroffen sind — also Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen oder zur sexuellen Orientierung. Für solche Verarbeitungen gelten erhöhte Anforderungen:
- Ausdrückliche Zustimmung oder ein gesetzlicher Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO
- Erhöhte TOM-Anforderungen (Verschlüsselung, Zugriffsbeschränkungen, Pseudonymisierung)
- In der Regel Pflicht zur Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 DSGVO
- Strenge Prüfung von Unterauftragsverarbeitern im Ausland
Gerade im Gesundheitsbereich (Arztpraxen, Kliniken, Abrechnungsdienstleister) hat die Datenschutzkonferenz der Behörden mehrfach betont, dass AVV hier besonders sorgfältig ausgestaltet werden müssen. Mehr Informationen zu Unterauftragsverarbeitern finden Sie im Artikel Unterauftragsverarbeiter — vollständige Liste.
AVV und gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Nicht jede Zusammenarbeit mit externen Partnern führt zu einem AVV. Wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und Mittel einer Datenverarbeitung entscheiden, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor — keine Auftragsverarbeitung. In diesem Fall ist statt eines AVV eine Vereinbarung nach Art. 26 DSGVO erforderlich, die die jeweiligen Verantwortlichkeiten klar abgrenzt.
Typische Abgrenzungsfrage: Nutzen Sie und Ihr Geschäftspartner gemeinsam eine Plattform (z. B. gemeinsame Facebook-Fanpage) und treffen gemeinsam Entscheidungen über die Datenverarbeitung? Dann: Art. 26 DSGVO, nicht Art. 28 DSGVO. Mehr zur Abgrenzung: AVV vs. gemeinsame Verantwortlichkeit.
AVV: Schritt für Schritt abschließen
So gehen Sie bei einem neuen Dienstleister vor:
- Prüfen: Ist der Dienstleister ein Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO? Verarbeitet er personenbezogene Daten auf Ihre Weisung hin? Das können Sie beispielsweise mit dem PLANIT // PRIMA DPA-Check tun.
- AVV anfordern: Viele große Dienstleister (Microsoft, Google, AWS, HubSpot) stellen ihre AVV online bereit. Kleinere Dienstleister müssen einen eigenen AVV bereitstellen oder Ihren akzeptieren.
- Prüfen: Enthält der AVV alle acht Pflichtinhalte nach Art. 28 Abs. 3 DSGVO? Nutzen Sie den DPA-CHECK für eine automatische Prüfung.
- TOM-Anlage prüfen: Ist eine TOM-Anlage beigefügt? Entsprechen die Maßnahmen dem aktuellen Stand der Technik nach Art. 32 DSGVO?
- Unterauftragsverarbeiter prüfen: Werden Sub-Dienstleister eingesetzt? Haben Sie eine Vorabgenehmigung oder ein Widerspruchsrecht?
- Drittland-Transfer: Hat der Dienstleister oder einer seiner Unterauftragsverarbeiter Sitz außerhalb der EU/EWR? Sind Standard-Vertragsklauseln oder ein Angemessenheitsbeschluss vorhanden?
- Unterzeichnen und archivieren: AVV schriftlich oder elektronisch unterzeichnen (Art. 28 Abs. 9 DSGVO). Im Verarbeitungsverzeichnis dokumentieren.
Für die einfache Erstellung eines rechtskonformen AVV nutzen Sie den AVV automatisch erstellen mit PLANIT // PRIMA.
AVV im Verarbeitungsverzeichnis dokumentieren
Das Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO muss für jeden Auftragsverarbeiter einen Eintrag enthalten — inklusive Referenz auf den abgeschlossenen AVV, Beschreibung der verarbeiteten Datenkategorien und der eingesetzten Unterauftragsverarbeiter. Der Datenschutzbeauftragte überwacht die VVT-Vollständigkeit nach Art. 39 Abs. 1 DSGVO: Datenschutzbeauftragter und AVV.
Verwandtes Thema: VVT und Auftragsverarbeitung.
Häufig gestellte Fragen
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann ist er notwendig?
Ein AVV ist ein Vertrag, der die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag eines Verantwortlichen regelt. Er ist immer dann erforderlich, wenn ein Dritter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie in Art. 28 Abs. 1 DSGVO festgelegt.
Wann ist ein AVV Pflicht?
Ein AVV ist immer dann Pflicht, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung Ihres Unternehmens verarbeitet (Auftragsverarbeitung nach Art. 28 DSGVO). Typische Beispiele: Cloud-Dienste, IT-Dienstleister, Lohnbuchhaltung, E-Mail-Marketing. Mehr: Wann ist ein AVV notwendig?
Welche Inhalte muss ein AVV gemäß DSGVO mindestens umfassen?
Ein AVV muss gemäß Art. 28 Abs. 3 DSGVO detaillierte Angaben zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten, den Kategorien betroffener Personen sowie den Pflichten und Rechten des Verantwortlichen enthalten. Zudem sind technische und organisatorische Maßnahmen (TOMs) zu vereinbaren.
Was ist der Unterschied zwischen einem Auftragsverarbeiter und gemeinsam Verantwortlichen?
Ein Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen (Art. 28 DSGVO), während gemeinsam Verantwortliche die Zwecke und Mittel der Verarbeitung gemeinsam festlegen (Art. 26 DSGVO). Bei gemeinsam Verantwortlichen ist eine Vereinbarung über die jeweilige Verantwortung erforderlich.
Welche Haftungsrisiken bestehen bei einem fehlenden oder mangelhaften AVV?
Bei einem fehlenden oder mangelhaften AVV können sowohl der Verantwortliche als auch der Auftragsverarbeiter gemäß Art. 82 DSGVO für Schäden haften, die durch eine nicht datenschutzkonforme Verarbeitung entstehen. Dies kann zu erheblichen Bußgeldern und Schadensersatzforderungen führen.
Kann ein Auftragsverarbeiter weitere Unterauftragnehmer einsetzen?
Ja, ein Auftragsverarbeiter darf weitere Unterauftragnehmer einsetzen, jedoch nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen und unter Einhaltung der gleichen Datenschutzpflichten, die im ursprünglichen AVV festgelegt sind, wie in Art. 28 Abs. 2 und 4 DSGVO beschrieben.
