Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag (AVV)
Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag gemäß Art. 28 DSGVO zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Dienstleister), der die Verarbeitung personenbezogener Daten im Auftrag regelt. Er stellt sicher, dass der Verarbeiter die Daten ausschließlich nach Weisungen des Verantwortlichen bearbeitet und datenschutzrechtliche Vorgaben einhält.[1][2][3]
Definition und Zweck
Der AVV ist zwingend erforderlich, wenn personenbezogene Daten weisungsgebunden verarbeitet werden, z. B. durch Cloud-Dienste, Hosting-Anbieter oder externe Buchhaltung. Trotz Auslagerung bleibt der Verantwortliche für die DSGVO-Konformität haftbar und muss den Verarbeiter prüfen sowie kontrollieren. Der Vertrag schafft Rechtssicherheit und minimiert Bußgeldrisiken.[2][3][1]
Wann ist ein AVV erforderlich?
Ein AVV liegt vor, wenn der Dienstleister Daten nach Vorgaben des Auftraggebers erhebt, speichert oder löscht – typische Beispiele: SaaS-Tools, Callcenter, Serverwartung oder Marketingagenturen mit Kundendaten-Zugriff. Kein AVV bei eigenständigen Verantwortlichen wie Anwälten, Banken oder Postdiensten, da hier keine Weisungsbindung besteht.[4][1]
Pflichtinhalte nach Art. 28 DSGVO
Der AVV muss folgende Mindestinhalte enthalten:
| Inhalt | Beschreibung |
|---|---|
| Gegenstand, Dauer, Art und Zweck | Beschreibung der Verarbeitung, Datenarten und betroffene Personen.[1][3] |
| Weisungsbindung | Verarbeitung nur nach dokumentierten Anweisungen des Verantwortlichen.[3] |
| Vertraulichkeit | Befugte Personen unterliegen Verschwiegenheitspflicht.[1] |
| Technische/organisatorische Maßnahmen (TOM) | Konkrete Sicherheitsmaßnahmen (z. B. Verschlüsselung, Audits).[3] |
| Unterauftragsverarbeiter | Genehmigung und Weitergabe von Regelungen an Subunternehmer.[2] |
| Unterstützungspflichten | Hilfe bei Betroffenenrechten, Datenvorfällen und Audits.[1] |
| Rückgabe/Löschung | Daten nach Vertragsende zurückgeben oder löschen.[1] |
| Nachweispflichten | Zugang zu Informationen für Prüfungen durch Verantwortlichen.[3] |
Praktische Hinweise
Prüfen Sie AVVs systematisch auf Vollständigkeit, z. B. via Anhänge zu TOMs und Subunternehmern, und aktualisieren Sie sie bei Änderungen. Muster sind online verfügbar, aber individuell anzupassen; bei Unsicherheiten Datenschutzbeauftragten konsultieren. Bei Drittlandübermittlungen zusätzliche Garantien wie Standardvertragsklauseln einplanen.[3][5][1]
Quellen
[1] Auftragsverarbeitungsvertrag: Definition, Inhalte & Muster https://keyed.de/blog/auftragsverarbeitungsvertrag/
[2] Der Auftragsverarbeitungs-vertrag (AVV) nach DSGVO https://www.dataguard.de/blog/der-auftragsverarbeitungsvertrag-avv/
[3] Auftragsverarbeitungsvertrag (AV-Vertrag) https://www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html
[4] Auftragsverarbeitungsvertrag nach DSGVO (AV-Vertrag) https://www.proliance.ai/blog/vertrage-zur-auftragsverarbeitung-av-vertrage
[5] Auftragsverarbeitungsvertrag (AV-Vertrag): Muster & Vorlage https://www.proliance.ai/ressourcen/datenschutz-muster/av-vertrag
