Auftragsverarbeitungsvertrag (AVV): Pflicht, Inhalte und typische Fehler

Inhalt in Kürze

• Ein AVV ist Pflicht nach Art. 28 DSGVO, sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet – ob Hosting, Lohnbüro oder Newsletter-Tool.
• 70 % dieser Vereinbarungen sind unvollständig (Bitkom) – fehlende oder mangelhafte Dokumente kosten bis zu 10 Mio. Euro Bußgeld.
• Ein wirksamer Vertrag regelt konkret: Datenarten, Zweck, TOM, Anweisungsrecht, Subunternehmer und Kontrollrechte.
• Der HmbBfDI hat allein 2025 Bußgelder von insgesamt 775.000 Euro verhängt – die Themen gehören zu den Prüfschwerpunkten.

Ihr Newsletter-Tool versendet Mails an Ihre Kunden. Ihr Lohnbüro kennt jedes Gehalt. Ihr Cloud-Anbieter speichert Bewerbungsunterlagen. Drei Dienstleister, drei Mal personenbezogene Daten außerhalb Ihrer vier Wände – und drei Mal müssen Sie als Auftraggeber absichern, was damit geschieht.

Dafür brauchen Sie einen AVV. Ohne Ausnahme.

Trotzdem fehlt dieses Dokument bei erschreckend vielen KMU – oder es ist so allgemein formuliert, dass es im Ernstfall wertlos ist. Was genau hineingehört, wann die Pflicht greift und welche Fehler Aufsichtsbehörden auf den Plan rufen: Das klären wir hier.

Was regelt Art. 28 DSGVO – und warum ist das wichtig?

Ein AVV regelt die Beziehung zwischen Ihnen als Auftraggeber und einem externen Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Die Rechtsgrundlage ist Art. 28 DSGVO.

Der entscheidende Punkt: Sie bleiben in der Pflicht. Auch wenn Ihr Dienstleister den Fehler macht – die Aufsichtsbehörde klopft zuerst bei Ihnen an. Art. 82 stellt klar: Der Auftraggeber haftet für Schäden durch unrechtmäßige Verarbeitung.

Typische Fälle, in denen Sie eine solche Vereinbarung brauchen:

• Cloud-Speicher (Google Workspace, Microsoft 365, Dropbox)
• E-Mail-Marketing (Mailchimp, CleverReach, Brevo)
• Lohn- und Gehaltsabrechnung über ein externes Büro
• IT-Support mit Fernzugriff auf Ihre Systeme
• Hosting-Anbieter für Ihre Website
• Aktenvernichtung durch externe Dienstleister

Wir sehen das bei unseren Mandanten regelmäßig: Die meisten setzen 5 bis 15 Dienstleister ein – und haben für die Hälfte kein passendes Dokument.

Anweisungsgebundenheit: Der Kern der Regelung

Was diese Form der Zusammenarbeit von anderen unterscheidet, ist das Anweisungsrecht. Der Dienstleister darf personenbezogene Daten ausschließlich nach Ihrer Vorgabe verarbeiten – so schreibt es Art. 29 DSGVO vor.

Konkret bedeutet das: Er entscheidet nicht selbst über Zweck oder Mittel, handelt streng gebunden an Ihre Vorgaben, und wird bei Verstößen nach Art. 28 Abs. 10 selbst haftbar.

Pflichtinhalte nach Art. 28 Abs. 3

Die Norm ist erstaunlich konkret. Folgende Punkte muss der Vertrag mindestens regeln:

1. Gegenstand und Dauer: Was wird verarbeitet, wie lange? Nicht „bis auf Widerruf", sondern ein konkreter Zeitraum oder Bezug zum Hauptvertrag.
2. Art und Zweck: Newsletter-Versand, Gehaltsabrechnung, Hosting – so spezifisch wie möglich.
3. Datenkategorien: Namen, E-Mail-Adressen, Gehaltsdaten? Jede Kategorie einzeln auflisten.
4. Betroffene Personen: Kunden, Mitarbeiter, Bewerber, Website-Besucher.
5. TOM: Verschlüsselung, Zugriffskontrollen, Backup-Konzepte nach Art. 32. Konkret und prüfbar – nicht nur „angemessene Maßnahmen".
6. Anweisungsrecht: Wie erteilen Sie Vorgaben? Was passiert bei rechtswidrigen Anordnungen?
7. Subunternehmer: Darf Ihr Dienstleister weitere Dritte einsetzen? Unter welchen Bedingungen?
8. Kontrollrechte: Ihr Recht auf Audits – vor Ort oder per Nachweis.
9. Löschung und Rückgabe: Was passiert mit den Daten bei Vertragsende?

Aus der Praxis: Wenn es schnell gehen muss

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt rechtskonform eine Umfrage an seine Kunden losschicken. Genau so soll die Zusammenarbeit laufen.

Nils OehmichenBerater bei frag.hugo

Der Mandant wollte eine Kundenbefragung starten und brauchte dafür eine Vereinbarung mit dem Umfrage-Tool. Statt wochenlanger Unsicherheit war alles in einem Tag erledigt – inklusive Prüfung der TOM und des Anweisungskonzepts. So läuft es bei uns: Mandant meldet sich, wir prüfen den Dienstleister, passen das Dokument an und geben grünes Licht.

Checkliste: Die 7 häufigsten Fehler

Diese Fehler finden wir bei fast jedem Audit:

• Keine Vereinbarung vorhanden. Besonders bei „kleinen" Tools wie Calendly, Zoom oder Slack vergessen.
• Standard-Vorlage nicht geprüft. Der Dienstleister stellt ein Dokument bereit – niemand liest es.
• TOM fehlen oder sind pauschal. „Angemessene Sicherheitsmaßnahmen" reicht nicht als Beschreibung nach Art. 32.
• Anweisungsrecht nicht geregelt. Es fehlt, wie Vorgaben erteilt werden und was bei rechtswidrigen Anordnungen passiert.
• Subunternehmer nicht erfasst. Ihr Cloud-Dienstleister nutzt AWS – steht das im Dokument?
• Keine Löschklausel. Was passiert mit den Daten nach Vertragsende?
• Kein Register. Sie müssen dokumentieren, mit welchen Dienstleistern Vereinbarungen bestehen – als Teil Ihres Verarbeitungsverzeichnisses nach Art. 30.

Was kostet ein Verstoß?

Die Theorie: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 4. Die Praxis: Ein Versandunternehmen zahlte 5.000 Euro, weil die Vereinbarung mit einem spanischen Paketdienstleister fehlte. In Brandenburg verhängte die Aufsichtsbehörde 50.000 Euro wegen fehlerhafter Auskunft und fehlendem Dokument. Für ein KMU mit 30 Mitarbeitern kein Pappenstiel.

Der HmbBfDI hat bis September 2025 Bußgelder von insgesamt 775.000 Euro verhängt. Als Beratung in Hamburg kennen wir die Prüfschwerpunkte und wissen, worauf es ankommt. Nutzen Sie unseren kostenlosen Website-Check, um erste Lücken aufzudecken.

Ihr nächster Schritt

Eine saubere Vereinbarung schützt nicht nur vor Bußgeldern. Sie gibt Ihnen die Sicherheit, dass Ihr Dienstleister nur nach Ihren Vorgaben handelt – und zeigt Kunden und Geschäftspartnern: Hier nimmt man den Schutz personenbezogener Daten ernst.

Häufige Fragen (FAQ)

Wann brauche ich einen AVV?

Immer wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Typische Fälle: Cloud-Anbieter, Lohnbüro, Newsletter-Tool, Hosting, IT-Support mit Fernzugriff. Ohne diese Vereinbarung drohen Bußgelder bis 10 Mio. Euro nach Art. 83 Abs. 4.

Was muss darin stehen?

Art. 28 Abs. 3 schreibt vor: Gegenstand und Dauer, Art der Daten, Kategorien betroffener Personen, Pflichten des Dienstleisters, Anweisungsrecht, TOM und Regelungen zu Subunternehmern.

Reicht eine Standard-Vorlage vom Dienstleister?

Oft nicht. Laut Bitkom sind 70 % lückenhaft. Standard-Vorlagen decken selten die konkrete Situation ab. Prüfen Sie jedes Dokument individuell – oder lassen Sie es vom Fachberater prüfen.

Welche Strafen drohen ohne AVV?

Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes nach Art. 83 Abs. 4. Zusätzlich haften beide Seiten nach Art. 82 gesamtschuldnerisch für Schäden. In der Praxis verhängte die Aufsicht bereits 5.000 Euro gegen ein Versandunternehmen.

Wer muss die Vereinbarung initiieren?

Der Auftraggeber. Er muss sicherstellen, dass das Dokument den gesetzlichen Anforderungen entspricht. Der Dienstleister muss mitwirken, nur nach Vorgabe handeln und die vereinbarten TOM einhalten.