AVV Auftragsverarbeitung – Muster, Inhalt und typische Fehler

Inhalt in Kürze

• Ein AVV (Auftragsverarbeitungsvertrag) ist nach Art. 28 DSGVO Pflicht, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet – vom Cloud-Anbieter bis zum Lohnbüro.
• Ohne AVV drohen Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Bereits 5.000 Euro Bußgeld wurden für einen einzigen fehlenden Vertrag verhängt.
• Die häufigsten Fehler: Falsche Rollenverteilung, fehlende TOM-Anlage, widersprüchliche Unterauftragnehmer-Listen und Verweise auf nicht existierende Hauptverträge.
• Mit einer strukturierten Checkliste prüfen Sie bestehende AVVs in unter einer Stunde – und erkennen Lücken sofort.

---

Sie nutzen einen Newsletter-Dienst, ein Cloud-CRM oder einen externen IT-Dienstleister? Dann verarbeitet jemand anderes personenbezogene Daten in Ihrem Auftrag. Und genau dafür verlangt die DSGVO einen schriftlichen Vertrag: den Auftragsverarbeitungsvertrag, kurz AVV.

In der Praxis fehlen diese Verträge bei 40 bis 60 Prozent der kleinen und mittleren Unternehmen. Nicht aus bösem Willen, sondern weil das Thema unterschätzt wird. Dabei ist der AVV eines der ersten Dokumente, das eine Aufsichtsbehörde bei einer Prüfung anfordert.

Dieser Artikel erklärt, was in einen AVV gehört, wann Sie einen brauchen, welche Fehler Sie vermeiden sollten – und wie Sie bestehende Verträge schnell prüfen.

Was ist ein AVV – und warum schreibt die DSGVO ihn vor?

Ein AVV regelt die Rechte und Pflichten zwischen dem Verantwortlichen (Ihr Unternehmen) und dem Auftragsverarbeiter (der Dienstleister). Er stellt sicher, dass personenbezogene Daten nur nach Ihrer Weisung verarbeitet werden und der Dienstleister angemessene Schutzmaßnahmen umsetzt.

Die Rechtsgrundlage ist Art. 28 DSGVO. Absatz 3 listet die Pflichtinhalte auf. Absatz 9 verlangt, dass der Vertrag schriftlich oder in einem elektronischen Format vorliegt.

Wichtig: Der AVV ersetzt keinen Hauptvertrag (z. B. einen SaaS-Vertrag oder Dienstleistungsvertrag). Er ergänzt ihn um die datenschutzrechtlichen Regelungen.

Wann brauchen Sie einen AVV?

Nicht jede Zusammenarbeit mit einem Dienstleister erfordert einen AVV. Entscheidend ist, ob der Dienstleister personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet.

Dienstleister	AVV nötig?	Begründung
Cloud-Hosting (z. B. AWS, Hetzner)	Ja	Speichert personenbezogene Daten in Ihrem Auftrag
Newsletter-Tool (z. B. Brevo, Mailchimp)	Ja	Verarbeitet E-Mail-Adressen und Nutzungsdaten
Externes Lohnbüro	Ja	Verarbeitet Mitarbeiterdaten im Auftrag
IT-Wartung mit Fernzugriff	Ja	Potenzieller Zugriff auf personenbezogene Daten
Steuerberater	Nein	Eigene Verantwortlichkeit, berufsrechtlich gebunden
Rechtsanwalt	Nein	Eigene Verantwortlichkeit, berufsrechtlich gebunden
Reinigungsfirma	Nein	Kein Zugang zu personenbezogenen Daten
Inkassounternehmen	Nein	Handelt als eigener Verantwortlicher

Sind Sie unsicher, ob ein AVV nötig ist? Mit unserem kostenlosen Datenschutz-Check finden Sie offene Lücken in wenigen Minuten.

Die Pflichtinhalte eines AVV nach Art. 28 Abs. 3 DSGVO

Art. 28 Abs. 3 DSGVO definiert verbindlich, was in einem AVV stehen muss. Fehlt auch nur ein Punkt, ist der Vertrag unvollständig – und im Ernstfall wertlos.

Checkliste: AVV-Pflichtinhalte

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung (z. B. E-Mail-Versand, Hosting, Lohnabrechnung)
• Art der personenbezogenen Daten (z. B. Name, E-Mail, IP-Adresse, Gesundheitsdaten)
• Kategorien betroffener Personen (z. B. Kunden, Mitarbeitende, Bewerber)
• Weisungsbindung – der Auftragsverarbeiter darf Daten nur nach Ihrer Weisung verarbeiten
• Vertraulichkeitsverpflichtung aller Personen, die Zugang zu den Daten haben
• Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
• Regelung zu Unterauftragsverarbeitern – mit konkreter Liste oder Genehmigungsverfahren
• Unterstützung bei Betroffenenanfragen (Auskunft, Löschung, Berichtigung)
• Unterstützung bei Datenpannen – Meldepflicht und Fristen
• Löschung oder Rückgabe der Daten nach Ende der Auftragsverarbeitung
• Nachweispflichten und Prüfrechte – Sie müssen den Auftragsverarbeiter kontrollieren können

Muster-Vorlagen finden Sie bei den Aufsichtsbehörden: Das Bayerische Landesamt für Datenschutzaufsicht bietet eine praxisnahe Formulierungshilfe, der LfDI Baden-Württemberg ein vollständiges Muster. Auch der Bitkom stellt eine detaillierte Mustervertragsanlage bereit.

Typische Fehler im AVV – und wie Sie sie vermeiden

1. Falsche Rollenverteilung. Ein AVV wird geschlossen, obwohl der Dienstleister gar kein Auftragsverarbeiter ist – sondern eigenverantwortlich handelt (z. B. Steuerberater). Oder umgekehrt: Ein Auftragsverarbeiter wird ohne AVV beauftragt. Diese Fehleinordnung ist der häufigste Fehler überhaupt.

2. Fehlende oder veraltete TOM-Anlage. Die technischen und organisatorischen Maßnahmen werden pauschal beschrieben (“Stand der Technik”) statt konkret benannt. Ohne detaillierte TOM-Anlage ist der AVV unvollständig.

3. Widersprüchliche Unterauftragnehmer-Regelung. Der AVV schließt Drittlandübermittlungen aus, aber in der Unterauftragnehmer-Liste stehen Dienste aus den USA oder Indien. Solche Widersprüche fallen bei jeder Prüfung auf.

4. Verweis auf einen nicht existierenden Hauptvertrag. Viele AVVs beziehen sich auf einen Hauptvertrag, der nie geschlossen wurde, veraltet ist oder sich auf eine völlig andere Leistung bezieht.

5. Eigene Datennutzung durch den Auftragsverarbeiter. Klauseln, die dem Dienstleister erlauben, die Daten für eigene Zwecke zu nutzen (z. B. für Produktverbesserung), verstoßen gegen die Weisungsbindung nach Art. 28 DSGVO.

Was passiert ohne AVV? Bußgelder und Konsequenzen

Ein fehlender AVV ist ein Verstoß gegen Art. 28 DSGVO. Die Sanktionen nach Art. 83 Abs. 4 DSGVO: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Das klingt nach Großkonzernen. Ist es aber nicht. Konkrete Fälle aus Deutschland:

• 5.000 Euro Bußgeld gegen ein Versandunternehmen – weil ein einziger AVV mit einem Dienstleister fehlte. Das Unternehmen hatte sogar die Aufsichtsbehörde um Rat gefragt, den AVV dann aber nicht abgeschlossen (Quelle).
• 50.000 Euro Bußgeld in Brandenburg – unter anderem wegen eines fehlenden AVV in Kombination mit einer fehlerhaften Auskunftserteilung (Quelle).

Neben dem Bußgeld droht ein weiteres Risiko: Ohne gültigen AVV haften Sie als Verantwortlicher für Datenschutzverstöße des Dienstleisters. Wenn Ihr Cloud-Anbieter eine Datenpanne hat und kein AVV existiert, tragen Sie die volle Verantwortung.

Aus der Praxis: AVV-Prüfung für einen Mandanten

Ein mittelständisches Unternehmen wollte eine Kundenzufriedenheitsumfrage über ein externes Tool durchführen. Die Frage: Brauchen wir einen AVV? Und wenn ja – reicht die Vorlage des Anbieters?

Die Antwort: Ja, ein AVV war nötig. Und nein, die Standard-Vorlage des Anbieters enthielt keine konkrete TOM-Anlage und keine Regelung zur Löschung nach Projektende. Innerhalb eines Tages haben wir den Vertrag geprüft, ergänzt und mit dem Anbieter abgestimmt.

AVV erstellen: Schritt für Schritt

1. Dienstleister inventarisieren. Listen Sie alle externen Dienstleister auf, die Zugriff auf personenbezogene Daten haben. Tipp: Ihr Verarbeitungsverzeichnis ist die beste Grundlage dafür.
2. Rollenverteilung prüfen. Ist der Dienstleister Auftragsverarbeiter oder eigenverantwortlich? Bei Unsicherheit hilft die Tabelle oben.
3. Muster-AVV als Grundlage nutzen. Verwenden Sie eine Vorlage der Aufsichtsbehörde oder lassen Sie den AVV von Ihrem Datenschutzbeauftragten erstellen.
4. Pflichtinhalte abgleichen. Prüfen Sie den Vertrag gegen die Checkliste oben. Jeder Punkt muss abgedeckt sein.
5. TOM-Anlage konkretisieren. Fordern Sie vom Dienstleister eine aktuelle Beschreibung der technischen und organisatorischen Maßnahmen an.
6. Unterauftragnehmer prüfen. Lassen Sie sich die vollständige Liste der Unterauftragsverarbeiter geben – inklusive Standort und Verarbeitungszweck.
7. Unterschrift und Ablage. Beide Seiten unterschreiben. Legen Sie den AVV so ab, dass Sie ihn bei einer Behördenprüfung sofort vorzeigen können.

Fazit: AVVs sind kein Papierkram – sie schützen Ihr Unternehmen

Ein sauberer AVV ist kein bürokratischer Aufwand, sondern ein Schutzschild. Er regelt klar, wer was mit den Daten Ihrer Kunden und Mitarbeitenden tun darf. Er schützt Sie vor DSGVO-Bußgeldern und vor Haftung bei Datenpannen Ihrer Dienstleister.

Wenn Sie nicht sicher sind, ob Ihre AVVs vollständig und aktuell sind: Lassen Sie sie prüfen. Ein externer Datenschutzbeauftragter erkennt Lücken in der Regel innerhalb weniger Stunden.

AVV-Pflicht für Hamburger Unternehmen

Hamburg als Logistik-Drehscheibe und Medienstandort ist ein Hotspot für Auftragsverarbeitung: Speditionen beauftragen IT-Dienstleister, Verlage arbeiten mit externen Lettershops, Online-Händler nutzen Fulfillment-Partner im Hafen. Für all diese Konstellationen brauchen Sie einen sauberen AVV. Die HmbBfDI hat in der Vergangenheit gezielt Hamburger E-Commerce-Unternehmen angeschrieben und nach AVVs gefragt — wer dann nichts vorweisen konnte, hatte ein Problem. Unser Team prüft und erstellt Ihre Auftragsverarbeitungsverträge als Teil der DSGVO-Beratung in Hamburg.

Häufige Fragen zum AVV

Wer muss den AVV erstellen – der Verantwortliche oder der Auftragsverarbeiter?

Die Pflicht liegt beim Verantwortlichen (Ihrem Unternehmen). In der Praxis stellen viele Dienstleister eigene AVV-Vorlagen bereit. Sie sollten diese aber immer prüfen, bevor Sie unterschreiben.

Reicht ein AVV per E-Mail oder muss er auf Papier vorliegen?

Art. 28 Abs. 9 DSGVO erlaubt ein elektronisches Format. Ein per E-Mail ausgetauschtes und beiderseitig bestätigtes PDF reicht aus. Wichtig ist, dass der Vertrag nachweisbar und abrufbar ist.

Wie oft muss ein AVV aktualisiert werden?

Es gibt keine feste Frist. Sie sollten den AVV aber aktualisieren, wenn sich der Leistungsumfang ändert, neue Unterauftragnehmer hinzukommen oder sich die TOMs wesentlich ändern. Eine jährliche Überprüfung ist empfehlenswert.

Was ist der Unterschied zwischen AVV und Gemeinsamer Verantwortlichkeit (Art. 26 DSGVO)?

Beim AVV handelt der Dienstleister nach Ihrer Weisung. Bei gemeinsamer Verantwortlichkeit entscheiden beide Parteien gemeinsam über Zweck und Mittel der Datenverarbeitung (z. B. bei gemeinsamen Marketingaktionen). In diesem Fall brauchen Sie eine Vereinbarung nach Art. 26 DSGVO statt eines AVV.

Wo finde ich ein kostenloses AVV-Muster?

Die deutschen Aufsichtsbehörden bieten geprüfte Muster an – unter anderem das Bayerische Landesamt für Datenschutzaufsicht und der LfDI Baden-Württemberg. Diese Vorlagen sind kostenlos und decken alle Pflichtinhalte ab. Passen Sie sie an Ihre individuelle Dienstleisterkonstellation an.