Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen und was rein muss
Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann Pflicht, wenn ein externer Dienstleister – Cloud-Speicher, Newsletter-Tool, Lohnbuchhaltung, IT-Wartung oder ein KI-Dienst – personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet (Art. 28 DSGVO). Der Vertrag muss unter anderem Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Datenkategorien sowie die Pflichten und Rechte beider Seiten regeln (Art. 28 Abs. 3). Ohne gültigen AVV dürfen einem Dienstleister keine echten Personendaten anvertraut werden.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung, kein fertiges Vertragsmuster zur Unterschrift.
Was ist ein Auftragsverarbeiter?
Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Typische Beispiele im Unternehmensalltag: der Cloud-Speicher-Anbieter, das E-Mail-Marketing-Tool, das externe Lohnbüro, der IT-Dienstleister mit Fernwartungszugriff – und zunehmend auch KI-Dienste, an die Mitarbeiter Texte mit Personendaten übermitteln.
Wichtig: Auch wenn der Dienstleister die Daten technisch verarbeitet, bleibt Ihr Unternehmen der Verantwortliche im Rechtssinn und haftet nach außen.
Wann brauchen Sie einen AVV?
Immer dann, wenn Sie einen externen Dienstleister mit der Verarbeitung personenbezogener Daten betrauen und dieser dabei weisungsgebunden für Sie handelt, nicht eigenverantwortlich für eigene Zwecke. Der Verantwortliche darf laut Art. 28 Abs. 1 DSGVO nur mit Auftragsverarbeitern arbeiten, die "hinreichend Garantien" für geeignete technische und organisatorische Maßnahmen bieten. Die Auswahl des Dienstleisters ist damit selbst eine Datenschutzentscheidung, nicht nur eine Preisfrage.
Was muss ein AVV enthalten? (Art. 28 Abs. 3 DSGVO)
| Pflichtangabe | Kurzbeschreibung |
|---|---|
| Gegenstand und Dauer der Verarbeitung | Was genau verarbeitet wird und für wie lange der Vertrag gilt |
| Art und Zweck der Verarbeitung | Wozu die Daten verarbeitet werden |
| Art der Daten und Kategorien betroffener Personen | Welche Datenarten (z. B. Kontaktdaten) und wessen Daten (z. B. Kunden, Bewerber) |
| Pflichten und Rechte des Verantwortlichen | Wie der Verantwortliche seine Kontroll- und Weisungsrechte ausübt |
| Verarbeitung nur auf dokumentierte Weisung | Der Auftragsverarbeiter darf nicht eigenmächtig handeln |
| Vertraulichkeitsverpflichtung des eingesetzten Personals | Zugriffsberechtigte Personen sind auf Vertraulichkeit verpflichtet |
| Geeignete TOM nach Art. 32 | Der Dienstleister sichert die Daten technisch und organisatorisch ab |
| Regeln für Unterauftragsverarbeiter | Bedingungen, unter denen der Dienstleister weitere Dienstleister einsetzen darf |
| Unterstützung bei Betroffenenrechten und Art. 32-36 | Der Dienstleister unterstützt bei Auskunfts-, Lösch- oder Meldepflichten |
| Löschung/Rückgabe der Daten nach Vertragsende | Klare Regel, was mit den Daten am Ende passiert |
| Nachweis- und Kontrollrechte | Der Verantwortliche kann die Einhaltung prüfen bzw. prüfen lassen |
Diese Tabelle bildet die Struktur nach Art. 28 Abs. 3 DSGVO ab und dient der Orientierung, welche Punkte ein AVV regeln muss. Sie ersetzt keine rechtliche Prüfung des konkreten Vertragstexts durch Ihren Datenschutzbeauftragten oder eine Rechtsberatung.
AVV oder gemeinsame Verantwortlichkeit? Ein häufiger Verwechslungsfall
Nicht jede Zusammenarbeit mit einem externen Partner ist Auftragsverarbeitung. Entscheiden zwei Stellen gemeinsam über Zwecke und Mittel der Verarbeitung, greift stattdessen Art. 26 DSGVO ("gemeinsam Verantwortliche") – ein anderes vertragliches Konstrukt mit eigenen Transparenzpflichten. Ein AVV passt nur, wenn der Dienstleister ausschließlich auf Ihre Weisung hin handelt und keine eigenen Zwecke verfolgt. Im Zweifel klärt das Ihr Datenschutzbeauftragter.
Was passiert ohne gültigen AVV?
Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern nach den Artikeln 8, 11, 25 bis 39, 42 und 43 DSGVO – und damit auch gegen Art. 28 – können mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO). Praktisch bedeutet ein fehlender AVV zudem, dass die Datenweitergabe an den Dienstleister selbst rechtswidrig sein kann.
Checkliste: In fünf Schritten zum AVV
- Dienstleister identifizieren: Welche externen Tools und Anbieter haben Zugriff auf personenbezogene Daten?
- Rolle klären: Auftragsverarbeitung (Art. 28) oder gemeinsame Verantwortlichkeit (Art. 26)?
- Vertrag prüfen oder anfordern: Bietet der Anbieter bereits einen AVV an (viele Standardanbieter tun das)?
- Pflichtinhalte gegenchecken: Enthält der Vertrag alle Punkte aus Art. 28 Abs. 3?
- Dokumentieren: AVV im Verzeichnis der Verarbeitungstätigkeiten (Art. 30) vermerken.
Der AVV ist nur ein Baustein der umfassenderen Rechenschaftspflicht – mehr dazu in unserem Beitrag Rechenschaftspflicht nach DSGVO. Wer seine Mitarbeiter zusätzlich für den korrekten Umgang mit externen Dienstleistern sensibilisieren will, findet einen strukturierten Einstieg in unserem KI-Zertifikat; die passende DSGVO-Grundlagenschulung folgt in Kürze.
Häufige Fragen (FAQ)
Wann ist ein AVV Pflicht?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden im Auftrag Ihres Unternehmens verarbeitet, zum Beispiel bei Cloud-, E-Mail-Marketing- oder Lohnabrechnungs-Diensten (Art. 28 DSGVO).
Was muss zwingend in einem AVV stehen?
Unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, die betroffenen Datenkategorien, Regeln für Weisungsgebundenheit, Vertraulichkeit, technische Sicherheit, Unterauftragsverarbeiter, Unterstützungspflichten sowie Löschung nach Vertragsende (Art. 28 Abs. 3 DSGVO).
Reicht die AGB des Anbieters als AVV?
Nur, wenn die AGB tatsächlich alle Pflichtinhalte aus Art. 28 Abs. 3 DSGVO enthalten und rechtlich wirksam als Vertrag über die Auftragsverarbeitung gelten. Viele seriöse Anbieter stellen dafür ein separates AVV-Dokument bereit, das geprüft werden sollte.
Was tun, wenn ein Anbieter keinen AVV anbietet?
Dann dürfen ihm keine echten personenbezogenen Daten anvertraut werden. Entweder auf einen alternativen Anbieter mit AVV ausweichen oder die Daten vor der Nutzung konsequent anonymisieren.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 4 Nr. 8, Art. 26, Art. 28 Abs. 1 und Abs. 3, Art. 83 Abs. 4 – eur-lex.europa.eu
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
KI und Datenschutz: Was Mitarbeiter bei ChatGPT & Co. beachten müssen
Ein Prompt mit Kundendaten ist datenschutzrechtlich eine ganz normale Verarbeitung. Die wichtigsten DSGVO-Regeln für ChatGPT, Copilot & Co. am Arbeitsplatz – und wo der EU AI Act zusätzlich greift.
"DSGVO-Zertifizierung" nach Art. 42 vs. Teilnahmezertifikat: der Unterschied
Eine "DSGVO-Zertifizierung" nach Art. 42 und ein Teilnahmezertifikat einer Schulung sind zwei grundverschiedene Dinge. Was jede davon wirklich bedeutet – und warum der Unterschied für Sie zählt.
DSGVO-Schulungspflicht: Müssen Mitarbeiter geschult werden?
Ein einzelner DSGVO-Artikel mit dem Wortlaut "Mitarbeiter müssen geschult werden" existiert nicht. Warum Schulung trotzdem faktisch kaum vermeidbar ist – und wie oft eine Auffrischung sinnvoll ist.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.