AVV Auftragsverarbeitung – Muster, Inhalt und typische Fehler
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für Hamburger KMU – mit Muster-Übersicht.
Weiterlesen
Sie geben Server, E-Mail und Backup an einen externen Dienstleister – und denken, damit sei auch der Datenschutz erledigt. Das Gegenteil ist der Fall. Rechtlich bleiben Sie in der vollen Verantwortung, technisch aber im Blindflug. Dieser Widerspruch lässt sich sauber auflösen.
Auslagern heißt nicht abgeben. Sobald ein Dienstleister Ihre IT betreibt und dabei auf personenbezogene Daten Ihrer Kunden, Mitarbeiter oder Bewerber zugreifen kann, bleiben Sie der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Der Dienstleister wird zum Auftragsverarbeiter – er handelt auf Ihre Weisung, entscheidet aber nicht selbst über Zweck und Mittel.
Das Risiko ist real: Laut der Bitkom-Studie Wirtschaftsschutz 2025 waren 87 Prozent der Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden für die deutsche Wirtschaft: 289,2 Milliarden Euro. Viele dieser Vorfälle beginnen dort, wo Zugriffe von Dienstleistern schlecht geregelt sind.
Bevor Sie einen Vertrag aufsetzen, klären Sie die Rollenverteilung. Sie entscheidet über die richtigen Pflichten.
Auftragsverarbeitung ist: Ein Dienstleister verarbeitet Daten ausschließlich weisungsgebunden für Sie, ohne eigenen Entscheidungsspielraum über Zweck und Mittel. Das trifft auf den klassischen IT-Betrieb, Hosting, Fernwartung oder Backup zu.
Entscheidend ist die tatsächliche Zusammenarbeit, nicht die vertragliche Überschrift. Eine gute Faustregel des Landesbeauftragten für Datenschutz Baden-Württemberg: Lässt sich der Dienstleister problemlos austauschen, spricht das für Auftragsverarbeitung. Bestimmt er die Zwecke mit, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor – dann brauchen Sie keinen AVV, sondern eine andere Vereinbarung.
Für den reinen IT-Betrieb ist fast immer die Auftragsverarbeitung die richtige Konstruktion. Halten Sie sie in Ihrem Verzeichnis von Verarbeitungstätigkeiten fest – die Aufsichtsbehörde fragt im Ernstfall danach.
Ein Auftragsverarbeitungsvertrag (AVV) ist der schriftliche Rahmen für die Zusammenarbeit. Art. 28 Abs. 3 DSGVO schreibt zehn Mindestinhalte vor. Fehlt der Vertrag oder ist er lückenhaft, ist das ein eigenständiger Verstoß – mit einem Bußgeldrahmen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO).
Die TOM-Anlage ist erfahrungsgemäß die Schwachstelle. Ein pauschales „Wir setzen marktübliche Sicherheitsmaßnahmen ein” reicht nicht. Details und eine Vorlage finden Sie in unserem Leitfaden zum AVV mit Praxistipps.
Nutzt Ihr Dienstleister im Hintergrund einen US-Cloud-Anbieter, verlassen Ihre Daten womöglich die EU – auch wenn der Vertragspartner in Deutschland sitzt. Fragen Sie explizit nach dem tatsächlichen Speicherort und den Sub-Auftragnehmern. Verschlüsselung ist hier ein wichtiger Baustein, ersetzt die Prüfung aber nicht.
Bei Firmen ohne eigenes IT-Team übernimmt die technische Umsetzung ein Managed-IT-Dienstleister, der den IT-Betrieb als Managed Service bereitstellt – etwa das Hamburger Systemhaus hagel IT mit Hosting in Deutschland. Solche Anbieter gibt es viele; entscheidend ist, dass der Datenschutz nachweisbar mitgedacht wird. Prüfen Sie vor der Beauftragung:
In der Beratung sehen wir immer wieder denselben Fall: Der IT-Betrieb läuft seit Jahren stabil über einen externen Dienstleister – aber einen AVV hat nie jemand unterschrieben. Solange nichts passiert, fällt das keinem auf. Kommt es zu einer Datenpanne oder fragt ein Kunde nach den Auftragsverarbeitern, steht das Unternehmen ohne Papier da. Der AVV kostet einen Nachmittag. Sein Fehlen kann im Schadenfall existenzbedrohend werden.
Auslagern lässt sich fast die gesamte Technik: Serverbetrieb, Netzwerk, E-Mail, Backup, Monitoring, Patch-Management und der First-Level-Support. Genau dafür ist ein Managed-IT-Dienstleister da, und er macht es meist sicherer, als ein KMU es intern könnte.
Nicht delegieren lässt sich die Verantwortung. In Ihrer Hand bleiben:
Wer das solide aufsetzt, senkt nebenbei auch sein Risiko – und erfüllt Anforderungen, die zunehmend auch die Cyberversicherung für eine bezahlbare Police verlangt.
IT-Auslagerung datenschutzkonform aufsetzen
Wir prüfen Ihren bestehenden Dienstleistervertrag auf AVV-Lücken und sagen Ihnen konkret, was fehlt. Als Datenschutz- und IT-Sicherheitsberater begleiten wir die Übergabe an einen Managed-IT-Dienstleister – von der Rollenklärung bis zur TOM-Anlage. Einen Überblick über unsere Leistungen finden Sie hier.
Kostenloses Erstgespräch (15 Min) →Ja. Sie bleiben als Verantwortlicher nach Art. 4 Nr. 7 DSGVO in der Pflicht, auch wenn ein externer Dienstleister Ihre Systeme betreibt. Der Dienstleister handelt weisungsgebunden als Auftragsverarbeiter – die Rechenschaftspflicht bleibt bei Ihnen.
Ja, sobald der Dienstleister auf personenbezogene Daten zugreifen kann – und sei es nur bei Fernwartung oder im Backup. Art. 28 Abs. 3 DSGVO schreibt einen Auftragsverarbeitungsvertrag zwingend vor. Fehlt er, drohen Bußgelder von bis zu 10 Millionen Euro.
Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Weisungsbindung, technische und organisatorische Maßnahmen als Anlage, die Regelung zu Subunternehmern sowie Löschung oder Rückgabe der Daten nach Vertragsende. Insgesamt nennt Art. 28 Abs. 3 zehn Pflichtpunkte.
Zwingend EU ist es nicht, aber ein Transfer in Drittländer wie die USA erfordert zusätzliche Garantien und eine Risikoprüfung. Hosting in Deutschland oder der EU vermeidet diesen Aufwand und ist für die meisten KMU der pragmatischste Weg.
Die Verantwortung selbst. Die Auswahl und Kontrolle des Dienstleisters, das Weisungsrecht und die Entscheidung über Zwecke und Mittel der Verarbeitung bleiben bei Ihnen. Technik lässt sich delegieren, die datenschutzrechtliche Rechenschaft nicht.
Inhaltsverzeichnis
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für Hamburger KMU – mit Muster-Übersicht.
Weiterlesen
AVV nach Art. 28 DSGVO: Was muss rein, wann ist er Pflicht und welche Fehler kosten Bußgeld? Praxis-Checkliste für KMU mit Sofort-Tipps.
Weiterlesen
Mitarbeiter-Offboarding aus Datenschutzsicht: die Checkliste zum Zugriffsentzug beim Austritt — alle Konten, Geräte, Löschfristen und der DSGVO-Nachweis.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular