Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen

Wer als Unternehmen einen Hosting-Anbieter, ein Newsletter-Tool oder eine Cloud-Software einsetzt, gibt personenbezogene Kundendaten an einen externen Dienstleister weiter. Ohne einen wirksamen Auftragsverarbeitungsvertrag ist diese Datenverarbeitung nicht rechtmäßig.
Kurz erklärt: Ein Auftragsverarbeitungsvertrag (AVV) ist eine schriftliche Vereinbarung zwischen Ihnen als Verantwortlichem und jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet – etwa Hosting-, Newsletter- oder Cloud-Anbieter. Betroffen sind alle Unternehmen, die solche Dienste nutzen. Fehlt der AVV, ist die Datenverarbeitung unrechtmäßig, und es drohen Bußgelder nach Art. 28 DSGVO.
Wer muss einen AVV abschließen?
Jedes Unternehmen, das personenbezogene Kundendaten an einen externen Dienstleister zur Verarbeitung weitergibt, muss mit diesem Dienstleister einen AVV schließen. Das betrifft typischerweise Hosting-Anbieter, Newsletter-Tools, CRM-Systeme und Cloud-Anbieter – also praktisch jedes Unternehmen, das digitale Standarddienste nutzt, auf denen Kundendaten liegen. Auch kleine Betriebe und Selbständige sind betroffen, sobald sie E-Mail-Adressen, Bestelldaten oder andere personenbezogene Informationen über einen externen Dienst verarbeiten lassen. Verantwortlich für den Abschluss sind Sie als Verantwortlicher im Sinne der DSGVO, nicht der Dienstleister – die Initiative und die Prüfung liegen also bei Ihnen.
Was muss ein AVV konkret regeln?
Art. 28 DSGVO schreibt vor, dass der AVV die Pflichten des Auftragsverarbeiters sowie Ihre Kontrollrechte als Verantwortlicher festlegt. Dazu gehören unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Kategorien betroffener Daten sowie Weisungsrechte und Löschpflichten. Der Vertrag stellt sicher, dass der Dienstleister die Daten nur nach Ihren Weisungen verarbeitet, angemessene Sicherheitsmaßnahmen trifft und Ihnen Kontroll- und Nachweismöglichkeiten einräumt. Verarbeitet der Dienstleister Daten außerhalb der EU, reicht der AVV allein nicht aus – zusätzlich ist ein Transfermechanismus wie EU-Standardvertragsklauseln erforderlich, damit das Datenschutzniveau auch außerhalb der EU gewahrt bleibt.
Wie gehen Sie beim Abschluss eines AVV vor?
Der Abschluss lässt sich in wenigen Schritten strukturieren. Am Anfang steht ein vollständiger Überblick über alle eingesetzten Dienstleister, am Ende die laufende Pflege dieser Übersicht:
- Alle Dienstleister identifizieren, die Kundendaten in Ihrem Auftrag verarbeiten (Hosting, E-Mail-Marketing, CRM, Cloud …).
- Prüfen, ob der Anbieter einen AVV nach Art. 28 DSGVO anbietet (bei Standard-Software meist im Kundenportal hinterlegt).
- AVV unterzeichnen und zentral ablegen.
- Bei Anbietern außerhalb der EU zusätzlich Transfermechanismus (z. B. Standardvertragsklauseln) prüfen.
- Liste der AVV bei neuen oder gewechselten Dienstleistern aktuell halten.
Gerade wenn über die Jahre viele Tools und Anbieter dazugekommen sind, geht schnell der Überblick verloren, welche Verträge noch fehlen. Welche Dienstleister und Pflichten in Ihrem Unternehmen konkret relevant sind, zeigt ein Werkzeug wie Company Audit auf einen Blick.
Was droht, wenn der AVV fehlt?
Fehlt der AVV, ist die Datenverarbeitung durch den Dienstleister nicht rechtmäßig – unabhängig davon, wie sorgfältig der Anbieter selbst mit den Daten umgeht. Das Fehlen des Vertrags allein stellt bereits einen Verstoß gegen Art. 28 DSGVO dar, auch wenn nie ein Datenschutzvorfall eintritt. Nach Art. 28 DSGVO drohen dafür Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Worauf sollten Sie in der Praxis achten?
Große Anbieter wie Google, Microsoft oder Stripe stellen ihren AVV meist als Standarddokument zum Online-Akzeptieren bereit, das sich ohne Verhandlung abschließen lässt. Bei kleineren oder spezialisierten Anbietern lohnt sich ein aktiver Blick ins Kundenportal oder eine direkte Nachfrage, falls kein AVV auffindbar ist. Auch bei kostenlosen Tools ist ein AVV zwingend erforderlich – ohne ihn ist die Auftragsverarbeitung nicht rechtmäßig, selbst wenn kein Geld fließt. Eine zentrale, aktuelle Liste aller abgeschlossenen AVV erleichtert es, bei Prüfungen oder Anfragen von Kunden schnell den Nachweis zu erbringen.
Häufige Fragen
Brauche ich auch für kostenlose Tools einen AVV?
Ja. Ob ein Dienst kostenpflichtig ist, spielt keine Rolle. Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO erforderlich.
Reicht es, wenn der Dienstleister die Daten sicher speichert?
Nein. Technische Sicherheit allein macht die Verarbeitung nicht rechtmäßig. Ohne den schriftlichen AVV fehlt die vertragliche Grundlage, die Art. 28 DSGVO für die Auftragsverarbeitung vorschreibt.
Wo finde ich den AVV eines Anbieters?
Bei Standard-Software ist der AVV in der Regel im Kundenportal des Anbieters hinterlegt und lässt sich dort direkt online akzeptieren, etwa bei großen Anbietern wie Google, Microsoft oder Stripe.
Was ist zusätzlich zu beachten, wenn der Dienstleister außerhalb der EU sitzt?
Bei einem Datentransfer in Drittländer außerhalb der EU ist zusätzlich zum AVV ein Transfermechanismus notwendig, etwa EU-Standardvertragsklauseln.
Wer trägt die Verantwortung, wenn der AVV fehlt?
Als Verantwortlicher im Sinne der DSGVO müssen Sie den Abschluss des AVV sicherstellen. Fehlt er, drohen Ihnen Bußgelder bis 20 Mio. Euro oder 4 % des Jahresumsatzes nach Art. 28 DSGVO.
Quelle: Art. 28 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
Fast jedes Unternehmen mit Kundendaten muss ein VVT nach Art. 30 DSGVO führen – sonst drohen Bußgelder bis 10 Mio. Euro.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.