# Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen und was rein muss

*Quelle: https://www.provimedia.de/blog/auftragsverarbeitungsvertrag-avv · Stand: 2026-07-09*

> Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Die Pflichtinhalte und eine Prüf-Checkliste.

Ein **Auftragsverarbeitungsvertrag (AVV)** ist immer dann Pflicht, wenn ein externer Dienstleister – Cloud-Speicher, Newsletter-Tool, Lohnbuchhaltung, IT-Wartung oder ein KI-Dienst – personenbezogene Daten *im Auftrag* Ihres Unternehmens verarbeitet (Art. 28 DSGVO). Der Vertrag muss unter anderem Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Datenkategorien sowie die Pflichten und Rechte beider Seiten regeln (Art. 28 Abs. 3). Ohne gültigen AVV dürfen einem Dienstleister keine echten Personendaten anvertraut werden.

*Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung, kein fertiges Vertragsmuster zur Unterschrift.*

## Was ist ein Auftragsverarbeiter?

Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Typische Beispiele im Unternehmensalltag: der Cloud-Speicher-Anbieter, das E-Mail-Marketing-Tool, das externe Lohnbüro, der IT-Dienstleister mit Fernwartungszugriff – und zunehmend auch KI-Dienste, an die Mitarbeiter Texte mit Personendaten übermitteln.

Wichtig: Auch wenn der Dienstleister die Daten technisch verarbeitet, bleibt Ihr Unternehmen der **Verantwortliche** im Rechtssinn und haftet nach außen.

## Wann brauchen Sie einen AVV?

Immer dann, wenn Sie einen externen Dienstleister mit der Verarbeitung personenbezogener Daten betrauen und dieser dabei *weisungsgebunden* für Sie handelt, nicht eigenverantwortlich für eigene Zwecke. Der Verantwortliche darf laut Art. 28 Abs. 1 DSGVO nur mit Auftragsverarbeitern arbeiten, die "hinreichend Garantien" für geeignete technische und organisatorische Maßnahmen bieten. Die Auswahl des Dienstleisters ist damit selbst eine Datenschutzentscheidung, nicht nur eine Preisfrage.

## Was muss ein AVV enthalten? (Art. 28 Abs. 3 DSGVO)

Pflichtangabe

Kurzbeschreibung

Gegenstand und Dauer der Verarbeitung

Was genau verarbeitet wird und für wie lange der Vertrag gilt

Art und Zweck der Verarbeitung

Wozu die Daten verarbeitet werden

Art der Daten und Kategorien betroffener Personen

Welche Datenarten (z. B. Kontaktdaten) und wessen Daten (z. B. Kunden, Bewerber)

Pflichten und Rechte des Verantwortlichen

Wie der Verantwortliche seine Kontroll- und Weisungsrechte ausübt

Verarbeitung nur auf dokumentierte Weisung

Der Auftragsverarbeiter darf nicht eigenmächtig handeln

Vertraulichkeitsverpflichtung des eingesetzten Personals

Zugriffsberechtigte Personen sind auf Vertraulichkeit verpflichtet

Geeignete TOM nach Art. 32

Der Dienstleister sichert die Daten technisch und organisatorisch ab

Regeln für Unterauftragsverarbeiter

Bedingungen, unter denen der Dienstleister weitere Dienstleister einsetzen darf

Unterstützung bei Betroffenenrechten und Art. 32-36

Der Dienstleister unterstützt bei Auskunfts-, Lösch- oder Meldepflichten

Löschung/Rückgabe der Daten nach Vertragsende

Klare Regel, was mit den Daten am Ende passiert

Nachweis- und Kontrollrechte

Der Verantwortliche kann die Einhaltung prüfen bzw. prüfen lassen

Diese Tabelle bildet die Struktur nach Art. 28 Abs. 3 DSGVO ab und dient der Orientierung, welche Punkte ein AVV regeln muss. Sie ersetzt keine rechtliche Prüfung des konkreten Vertragstexts durch Ihren Datenschutzbeauftragten oder eine Rechtsberatung.

## AVV oder gemeinsame Verantwortlichkeit? Ein häufiger Verwechslungsfall

Nicht jede Zusammenarbeit mit einem externen Partner ist Auftragsverarbeitung. Entscheiden zwei Stellen *gemeinsam* über Zwecke und Mittel der Verarbeitung, greift stattdessen Art. 26 DSGVO ("gemeinsam Verantwortliche") – ein anderes vertragliches Konstrukt mit eigenen Transparenzpflichten. Ein AVV passt nur, wenn der Dienstleister *ausschließlich* auf Ihre Weisung hin handelt und keine eigenen Zwecke verfolgt. Im Zweifel klärt das Ihr Datenschutzbeauftragter.

## Was passiert ohne gültigen AVV?

Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern nach den Artikeln 8, 11, 25 bis 39, 42 und 43 DSGVO – und damit auch gegen Art. 28 – können mit Bußgeldern bis zu **10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes** geahndet werden, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO). Praktisch bedeutet ein fehlender AVV zudem, dass die Datenweitergabe an den Dienstleister selbst rechtswidrig sein kann.

## Checkliste: In fünf Schritten zum AVV

1. **Dienstleister identifizieren:** Welche externen Tools und Anbieter haben Zugriff auf personenbezogene Daten?
2. **Rolle klären:** Auftragsverarbeitung (Art. 28) oder gemeinsame Verantwortlichkeit (Art. 26)?
3. **Vertrag prüfen oder anfordern:** Bietet der Anbieter bereits einen AVV an (viele Standardanbieter tun das)?
4. **Pflichtinhalte gegenchecken:** Enthält der Vertrag alle Punkte aus Art. 28 Abs. 3?
5. **Dokumentieren:** AVV im Verzeichnis der Verarbeitungstätigkeiten (Art. 30) vermerken.

Der AVV ist nur ein Baustein der umfassenderen Rechenschaftspflicht – mehr dazu in unserem Beitrag [Rechenschaftspflicht nach DSGVO](/blog/rechenschaftspflicht-dsgvo). Wer seine Mitarbeiter zusätzlich für den korrekten Umgang mit externen Dienstleistern sensibilisieren will, findet einen strukturierten Einstieg in unserem [KI-Zertifikat](/ki-zertifikat); die passende **DSGVO-Grundlagenschulung folgt in Kürze**.

## Häufige Fragen (FAQ)

### Wann ist ein AVV Pflicht?

Immer dann, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden im Auftrag Ihres Unternehmens verarbeitet, zum Beispiel bei Cloud-, E-Mail-Marketing- oder Lohnabrechnungs-Diensten (Art. 28 DSGVO).

### Was muss zwingend in einem AVV stehen?

Unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, die betroffenen Datenkategorien, Regeln für Weisungsgebundenheit, Vertraulichkeit, technische Sicherheit, Unterauftragsverarbeiter, Unterstützungspflichten sowie Löschung nach Vertragsende (Art. 28 Abs. 3 DSGVO).

### Reicht die AGB des Anbieters als AVV?

Nur, wenn die AGB tatsächlich alle Pflichtinhalte aus Art. 28 Abs. 3 DSGVO enthalten und rechtlich wirksam als Vertrag über die Auftragsverarbeitung gelten. Viele seriöse Anbieter stellen dafür ein separates AVV-Dokument bereit, das geprüft werden sollte.

### Was tun, wenn ein Anbieter keinen AVV anbietet?

Dann dürfen ihm keine echten personenbezogenen Daten anvertraut werden. Entweder auf einen alternativen Anbieter mit AVV ausweichen oder die Daten vor der Nutzung konsequent anonymisieren.

## Quellen

- Verordnung (EU) 2016/679 (DSGVO), Art. 4 Nr. 8, Art. 26, Art. 28 Abs. 1 und Abs. 3, Art. 83 Abs. 4 – [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679)

---

Kanonische Version: <https://www.provimedia.de/blog/auftragsverarbeitungsvertrag-avv>
