Auftragsverarbeitungsvertrag (AVV) in Hamburg

Inhalt in Kürze

• Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht, sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.
• Der AVV regelt Rechte und Pflichten von Auftraggeber und Auftragnehmer: Weisungsbindung, technische und organisatorische Maßnahmen, Unterauftragsverarbeiter und Meldepflichten bei Datenschutzverletzungen.
• Ohne AVV ist die gesamte Datenverarbeitung rechtswidrig — Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes drohen.
• frag.hugo erstellt, prüft und verwaltet AVVs für Hamburger Unternehmen — persönlich, digital und mit automatischen Erinnerungen.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt die datenschutzrechtliche Beziehung zwischen Ihnen als Verantwortlichem und einem externen Dienstleister als Auftragsverarbeiter. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers — ausschließlich nach dessen Weisung und unter Einhaltung der DSGVO.

Für Hamburger Unternehmen ist der AVV eine der wichtigsten – und am häufigsten vernachlässigten – DSGVO-Pflichten. Denn praktisch jedes Unternehmen setzt externe Dienstleister ein, die mit personenbezogenen Daten in Berührung kommen.

Wann Sie einen AVV brauchen

Die Grundregel ist einfach: Immer wenn ein Dritter in Ihrem Auftrag personenbezogene Daten verarbeitet, benötigen Sie einen AVV. In der Praxis betrifft das weit mehr Dienstleister, als die meisten Unternehmen denken.

Typische Auftragsverarbeiter

IT und Cloud:

• Cloud-Hosting (AWS, Azure, Hetzner, IONOS)
• Microsoft 365 / Google Workspace
• IT-Wartung und Support mit Fernzugriff
• Backup-Dienste
• Managed Services

Marketing und Kommunikation:

• E-Mail-Marketing (Mailchimp, Brevo, CleverReach)
• CRM-Systeme (Salesforce, HubSpot, Pipedrive)
• Social-Media-Management-Tools
• Webanalyse-Dienste

Personal und Finanzen:

• Externe Lohnbuchhaltung
• HR-Software (Personio, Sage)
• Recruiting-Plattformen
• Reisekostenabrechnungssysteme

Sonstige:

• Aktenvernichtung
• Telefon- und Empfangsdienste
• Kundensupport-Plattformen
• Versand- und Logistikdienstleister (soweit sie Kundendaten verarbeiten)

Wann kein AVV erforderlich ist

Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Kein AVV ist erforderlich bei:

• Eigenverantwortlicher Verarbeitung: Der Dienstleister entscheidet selbst über Zweck und Mittel (z. B. Steuerberater, Rechtsanwalt, Bank)
• Rein technischer Transportleistung: Z. B. Postdienstleister, die nur Briefe zustellen
• Gemeinsamer Verantwortlichkeit: Hier brauchen Sie eine Vereinbarung nach Art. 26 DSGVO statt eines AVV
• Verarbeitung auf Grundlage öffentlichen Interesses: Wenn ein Dienstleister zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt tätig wird (Art. 6 Abs. 1 lit. e DSGVO), handelt er nicht als Auftragsverarbeiter, sondern als eigenständiger Verantwortlicher

Die Pflichtinhalte eines AVV

Art. 28 Abs. 3 DSGVO definiert, was ein AVV enthalten muss. Jeder dieser Punkte ist verpflichtend – fehlt einer, ist der AVV unvollständig und bietet keinen ausreichenden Schutz.

Gegenstand und Dauer

Was genau macht der Auftragsverarbeiter? Für wie lange? Beschreiben Sie den konkreten Dienst und die Vertragslaufzeit.

Art der Verarbeitung und Zweck

Die Art der Verarbeitung beschreibt, welche konkreten Verarbeitungstätigkeiten der Dienstleister durchführt — z. B. Speicherung, Übermittlung, Analyse oder Löschung. Der Zweck definiert, warum die Daten des Auftraggebers verarbeitet werden.

Datenkategorien und Betroffene

Welche Arten von Daten werden verarbeitet (Kontaktdaten, Zahlungsdaten, Nutzungsdaten)? Wessen Daten sind betroffen (Kunden, Mitarbeitende, Website-Besucher)?

Weisungsbindung

Der Auftragsverarbeiter darf Daten nur auf Ihre Weisung verarbeiten. Der AVV muss regeln, wie Weisungen erteilt werden (schriftlich, elektronisch) und was bei widersprüchlichen oder rechtswidrigen Weisungen geschieht.

Vertraulichkeit

Alle Personen, die beim Auftragsverarbeiter mit den Daten umgehen, müssen zur Vertraulichkeit verpflichtet sein.

Technische und organisatorische Maßnahmen (TOM)

Der AVV muss die konkreten Sicherheitsmaßnahmen des Auftragsverarbeiters beschreiben oder referenzieren: Zugangskontrollen, Verschlüsselung, Backup, Notfallmanagement etc.

Unterauftragsverarbeiter

Darf der Auftragsverarbeiter Subunternehmer einsetzen? Wenn ja, unter welchen Bedingungen? Der AVV muss regeln, ob eine allgemeine oder spezifische Genehmigung erforderlich ist und wie Sie über neue Unterauftragsverarbeiter informiert werden.

Unterstützungspflichten

Der Auftragsverarbeiter muss Sie bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung etc.), bei der DSFA und bei Meldepflichten unterstützen.

Löschung und Rückgabe

Was passiert nach Vertragsende mit den Daten? Der AVV muss regeln, ob Daten gelöscht oder zurückgegeben werden und innerhalb welcher Frist.

Häufige Fehler bei AVVs — Rechte und Pflichten sicherstellen

Fehler 1: Kein AVV abgeschlossen

Der häufigste Fehler: Der Dienstleister bietet einen AVV an, aber niemand hat ihn jemals akzeptiert oder unterschrieben. Besonders bei SaaS-Diensten, die online abgeschlossen werden, wird der AVV oft übersehen.

Fehler 2: AVV nicht archiviert

Der AVV existiert – aber niemand weiß, wo. Bei einer Prüfung durch den HmbBfDI müssen Sie jeden AVV vorlegen können. Ein nicht auffindbarer AVV ist so gut wie kein AVV.

Fehler 3: Standard-AVV nicht geprüft

Viele Unternehmen akzeptieren den Standard-AVV des Anbieters, ohne ihn zu lesen. Problematisch wird das, wenn der AVV weitreichende Rechte für Unterauftragsverarbeiter vorsieht, unzureichende TOM beschreibt oder Drittlandtransfers nicht korrekt regelt.

Fehler 4: Unterauftragsverarbeiter ignoriert

Ihr Cloud-Anbieter nutzt selbst weitere Dienstleister? Diese Unterauftragsverarbeiter müssen im AVV geregelt und von Ihnen genehmigt sein. Viele Unternehmen wissen nicht einmal, welche Unterauftragsverarbeiter ihre Dienstleister einsetzen.

Fehler 5: AVV nie aktualisiert

Dienstleister ändern ihre Bedingungen, wechseln Rechenzentren oder nehmen neue Unterauftragsverarbeiter auf. Ihr AVV muss diese Änderungen widerspiegeln. Eine regelmäßige Prüfung ist Pflicht.

Rechte und Pflichten von Auftraggeber und Auftragnehmer

Der AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten beider Vertragsparteien. Diese Zuordnung ist entscheidend, denn sie bestimmt, wer im Ernstfall haftet.

Pflichten des Auftraggebers

Der Auftraggeber bleibt der datenschutzrechtlich Verantwortliche. Er muss sicherstellen, dass der Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung prüft. Konkret bedeutet das:

• Weisungsrecht: Der Auftraggeber erteilt Weisungen zur Art und zum Umfang der Datenverarbeitung — anfänglich durch den Hauptvertrag und darüber hinaus in Textform
• Prüfpflicht: Der Auftraggeber muss die Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer überprüfen — vor Beginn der Datenverarbeitung und sodann regelmäßig
• Rechtsgrundlage: Der Auftraggeber stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt
• Betroffenenrechte: Der Auftraggeber bleibt Ansprechpartner für die Rechte der betroffenen Personen (Auskunft, Löschung, Berichtigung)

Pflichten des Auftragsverarbeiters

Der Auftragnehmer darf Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten und nutzen. Die Pflichten aus diesem Vertrag umfassen:

• Weisungsbindung: Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich im Auftrag eines Verantwortlichen und nach Weisung des Auftraggebers zu verarbeiten. Stellt der Auftragnehmer fest, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren
• Vertraulichkeit: Alle Beschäftigten des Auftragsverarbeiters mit Zugriff auf personenbezogene Daten müssen zur Vertraulichkeit verpflichtet sein — diese Pflicht besteht auch nach Beendigung des Vertragsverhältnisses
• Sicherheitsmaßnahmen: Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes entspricht. Er trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Meldepflicht: Der Auftragnehmer muss den Auftraggeber unverzüglich über jede Verletzung des Schutzes personenbezogener Daten informieren. Dies gilt auch dann, wenn die Daten des Verantwortlichen nur ganz oder teilweise betroffen sind. Die Meldung muss eine Beschreibung der Art der Verletzung enthalten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze, sowie eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung. Bei jedem Verstoß gegen die Pflichten aus dem Vertrag zur Auftragsverarbeitung muss der Auftragnehmer unverzüglich reagieren
• Unterstützungspflicht: Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten, der DSFA und bei Meldepflichten gegenüber der Aufsichtsbehörde

Übermittlung personenbezogener Daten in Drittländer

Werden personenbezogene Daten in Drittländer außerhalb der EU/des EWR übermittelt, muss der AVV die Rechtsgrundlage dokumentieren: Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules. Gerade bei US-Cloud-Anbietern (Microsoft, Google, AWS) ist dieser Punkt besonders relevant. Die Übermittlung personenbezogener Daten an Auftragsverarbeiter in den USA ist seit dem EU-US Data Privacy Framework unter bestimmten Voraussetzungen möglich.

Woran erkenne ich einen Auftragsverarbeiter?

Nicht jeder Dienstleister ist automatisch ein Auftragsverarbeiter. Entscheidend ist, ob der Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — also nach Ihrer Weisung handelt und nicht selbst über Zweck und Mittel der Verarbeitung entscheidet.

Ein Auftragsverarbeiter ist typischerweise ein Dienstleister, der:

• Keinen eigenen Verarbeitungszweck verfolgt
• An Ihre Weisungen gebunden ist
• Die Daten nicht für eigene Geschäftszwecke nutzt
• Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die mit der Verarbeitung zusammenhängen, sind hingegen keine Auftragsverarbeitung

Beispiel: Ihr IT-Dienstleister, der per Fernzugriff Ihren Server wartet und dabei Zugriff auf personenbezogene Daten Ihrer Kunden hat, ist ein Auftragsverarbeiter. Ihr Steuerberater hingegen handelt in der Regel eigenverantwortlich und ist kein Auftragsverarbeiter — trotz Zugang zu personenbezogenen Daten. Berufsgeheimnisträger nach § 203 StGB (Ärzte, Anwälte, Steuerberater) unterliegen eigenen Regelungen.

Wie hoch sind die Kosten für einen Auftragsverarbeitungsvertrag?

Die Erstellung eines AVV muss nicht teuer sein. Für Standard-Auftragsverarbeitungen — etwa Cloud-Hosting, Newsletter-Tools oder CRM-Systeme — existieren bewährte Muster-AVVs, die individuell angepasst werden.

Als Ihr externer Datenschutzbeauftragter ist die AVV-Erstellung und -Verwaltung in der laufenden Betreuung enthalten. Im Rahmen einer Datenschutzberatung erstellen wir fehlende AVVs projektbasiert — mit transparenten Kosten und ohne versteckte Gebühren.

AVV-Management mit Hugo DSB

Die Verwaltung aller AVVs ist eine wiederkehrende, zeitaufwändige Aufgabe. Hugo DSB bietet Hamburger Unternehmen eine zentrale Plattform für das AVV-Management:

• Zentrale Übersicht aller Auftragsverarbeiter und deren AVVs
• Statusverfolgung (abgeschlossen, ausstehend, zu prüfen)
• Automatische Erinnerungen bei fälligen Überprüfungen
• Verknüpfung mit dem VVT – Auftragsverarbeiter werden automatisch im Verarbeitungsverzeichnis referenziert
• Dokumentenablage – AVVs sicher archiviert und jederzeit abrufbar
• Persönliche Beratung durch Nils bei der Prüfung neuer AVVs

Buchen Sie ein kostenloses Erstgespräch und bringen Sie Ordnung in Ihre Auftragsverarbeitungsverträge – bevor der HmbBfDI danach fragt.

Wann braucht es einen Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet. Das gilt unabhängig davon, ob die Daten digital oder analog verarbeitet werden. Entscheidend ist, dass der Dienstleister nicht selbst über Zweck und Mittel der Verarbeitung bestimmt, sondern weisungsgebunden handelt. Sobald ein Dienstleister Zugriff auf personenbezogene Daten Ihrer Kunden, Mitarbeitenden oder Geschäftspartner hat und diese in Ihrem Auftrag erhebt, speichert, übermittelt oder löscht, ist ein AVV nach Art. 28 DSGVO Pflicht.

Was beinhaltet ein Auftragsverarbeitungsvertrag?

Ein AVV muss nach Art. 28 Abs. 3 DSGVO mindestens folgende Regelungen enthalten: Gegenstand und Dauer der Verarbeitung, Art der Verarbeitung und deren Zweck, die Kategorien personenbezogener Daten und betroffener Personen, die Pflichten und Rechte des Verantwortlichen, die Weisungsbindung des Auftragsverarbeiters, Vertraulichkeitspflichten, technische und organisatorische Maßnahmen, Regelungen zu Unterauftragsverarbeitern sowie Lösch- und Rückgabepflichten nach Vertragsende. Zusätzlich sollte der AVV Regelungen zur Unterstützung bei Betroffenenrechten und zur Meldung von Datenschutzverletzungen enthalten.

Wann ist kein AV-Vertrag notwendig?

Kein Auftragsverarbeitungsvertrag ist notwendig, wenn der Dienstleister eigenverantwortlich über Zweck und Mittel der Datenverarbeitung entscheidet. Das betrifft insbesondere Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte und Wirtschaftsprüfer, die ihre Tätigkeit selbstständig und weisungsfrei ausüben. Ebenso ist kein AVV erforderlich bei rein technischen Transportleistungen (z. B. Postdienstleister), bei der Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder wenn eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt — in diesem Fall ist statt eines AVV eine Vereinbarung über die gemeinsame Verantwortlichkeit abzuschließen.