Ein AV-Vertrag regelt die rechtssichere Zusammenarbeit mit Dienstleistern, die personenbezogene Daten in Ihrem Auftrag verarbeiten. Ein externer Datenschutzbeauftragter prüft Ihre bestehenden Verträge und erstellt DSGVO-konforme Musterverträge.
Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Der AVV regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.
Der Auftragsverarbeiter arbeitet als „verlängerter Arm“ des Verantwortlichen. Er tritt nach außen nicht in Erscheinung und darf die Daten nicht für eigene Zwecke verwenden. Die Verarbeitung erfolgt ausschließlich nach den Weisungen des Auftraggebers. Der Verantwortliche bleibt rechtlich verantwortlich für die Datenverarbeitung. Er erhält umfassende Kontrollrechte und muss die Einhaltung datenschutzrechtlicher Pflichten überwachen.
Rechtsgrundlage: Artikel 28 der Datenschutz-Grundverordnung (DSGVO) regelt die Anforderungen an Auftragsverarbeitungsverträge seit Mai 2018.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenNach Artikel 4 Absatz 2 der DSGVO versteht man unter „Verarbeiten“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe wie
personenbezogener Daten zu einem beliebigen Zeitpunkt.
Nicht jede Datenweitergabe an externe Dienstleister erfordert einen Auftragsverarbeitungsvertrag. Die DSGVO kennt drei unterschiedliche Fallgestaltungen:
1. Auftragsverarbeitung (Art. 28 DSGVO)
Der Dienstleister verarbeitet weisungsgebunden für den Verantwortlichen. Der Verantwortliche legt Zweck und Mittel der Verarbeitung fest. Der Dienstleister hat kein eigenes Interesse an den Daten.
Beispiele: IT-Support mit Systemzugriff, Website-Hosting, Newsletter-Software, Cloud-Speicher, externe Lohnbuchhaltung
2. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Zwei oder mehr Verantwortliche legen gemeinsam Zweck und Mittel der Verarbeitung fest. Beide haben ein eigenes Interesse an der Datenverarbeitung.
Beispiele: Gemeinsame Marketing-Kampagnen, Kooperationsprojekte mit geteilten Datenbanken, Facebook-Fanpages
3. Funktionsübertragung (bloße Datenübermittlung)
Der Dienstleister handelt eigenverantwortlich und verfolgt eigene Zwecke. Er ist selbst Verantwortlicher und benötigt eine eigene Rechtsgrundlage nach Art. 6 DSGVO.
Beispiele: Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, Inkassobüros, Autovermietungen, Banken (bei Geldtransfers), Postdienste
Das entscheidende Kriterium ist die Weisungsgebundenheit. Nur wenn der Dienstleister ausschließlich nach Ihren Weisungen handelt, liegt eine Auftragsverarbeitung vor.
Kriterium | Auftragsverarbeitung | Gemeinsame Verantwortlichkeit | Funktionsübertragung |
|---|---|---|---|
Rechtsgrundlage | Art. 28 DSGVO | Art. 26 DSGVO | Art. 6 DSGVO (eigene Rechtsgrundlage) |
Weisungsgebundenheit | Ja (strikt) | Nein (gemeinsame Entscheidung) | Nein (eigenverantwortlich) |
Vertrag erforderlich | AVV nach Art. 28 | Joint-Controller-Agreement | Kein spezieller Vertrag |
Eigenes Interesse | Nein | Ja (beide Parteien) | Ja (eigene Zwecke) |
Beispiele | IT-Support, Hosting, Newsletter-Tools | Gemeinsame Marketing-Kampagnen | Steuerberater, Rechtsanwälte, Inkassobüros |
Ein AVV ist immer dann erforderlich, wenn ein weisungsabhängiger Dienstleister Zugriff auf personenbezogene Daten erhält. Bereits die theoretische Möglichkeit des Datenzugriffs reicht aus – ein tatsächlicher Zugriff muss nicht erfolgen.
Typische Szenarien, die einen AVV erfordern:
Wichtig: Die Pflicht besteht unabhängig davon, ob der Dienstleister die Daten tatsächlich einsieht. Allein die technische Zugriffsmöglichkeit genügt.
Auftragsverarbeiter sind natürliche oder juristische Personen, die personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeiten. Entscheidend ist die Weisungsgebundenheit – nicht die Branche oder Unternehmensgröße.
Typische Auftragsverarbeiter:
Nicht jeder externe Dienstleister ist ein Auftragsverarbeiter. Berufsgruppen mit gesetzlichem Berufsgeheimnis oder eigenverantwortlicher Tätigkeit benötigen keinen AVV.
Steuerberater und Wirtschaftsprüfer
Sie unterliegen der Steuerberaterordnung und arbeiten eigenverantwortlich. Die Datenverarbeitung erfolgt nicht weisungsgebunden, sondern im Rahmen ihrer fachlichen Expertise.
Rechtsanwälte und Notare
Sie sind durch das anwaltliche Berufsgeheimnis geschützt (§ 203 StGB). Die Mandatsbeziehung begründet keine Auftragsverarbeitung, sondern eine eigenständige Verantwortlichkeit.
Banken bei Geldtransfers
Banken verarbeiten Zahlungsdaten für eigene Zwecke (Geldtransfer, Geldwäscheprävention). Sie handeln als eigenständige Verantwortliche nach Art. 6 DSGVO.
Postdienstleister
Deutsche Post und andere Zustelldienste verarbeiten Adressdaten zur Briefzustellung. Dies fällt unter das Postgeheimnis und erfordert keinen AVV.
Externe Betriebsärzte
Sie unterliegen der ärztlichen Schweigepflicht und verarbeiten Gesundheitsdaten eigenverantwortlich.
Inkassobüros und Detekteien
Sie handeln im eigenen Interesse zur Forderungsbeitreibung oder Recherche. Die Datenverarbeitung erfolgt nicht weisungsgebunden.
Grundregel: Wenn der Dienstleister eine „fremde Fachleistung“ erbringt und eigenverantwortlich über Zweck und Mittel der Datenverarbeitung entscheidet, liegt keine Auftragsverarbeitung vor.
Der Auftragsverarbeiter muss die Daten ausschließlich vertragsgemäß und nach Weisung des Verantwortlichen verarbeiten. Er trägt eigene datenschutzrechtliche Pflichten:
Jede Verarbeitung muss dokumentiert und vom Verantwortlichen angewiesen sein. Eigenmächtige Datennutzung ist untersagt.
Der Auftragsverarbeiter muss technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO umsetzen: Verschlüsselung, Zugriffskontrolle, Backups, Protokollierung. Die Informationssicherheit spielt dabei eine zentrale Rolle.
Alle Mitarbeiter mit Datenzugriff müssen schriftlich auf das Datengeheimnis verpflichtet werden (Art. 28 Abs. 3 lit. b DSGVO).
Der Auftragsverarbeiter unterstützt bei Betroffenenrechten (Auskunft, Löschung, Berichtigung) und bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).
Bei Datenschutzverletzungen muss der Auftragsverarbeiter den Verantwortlichen sofort informieren (Art. 33 DSGVO).
Auftragsverarbeiter müssen ein eigenes Verzeichnis nach Art. 30 DSGVO führen – unabhängig vom Verantwortlichen.
Der Verantwortliche darf jederzeit Audits, Inspektionen und Kontrollen durchführen.
Der Auftragsverarbeitungsvertrag muss schriftlich oder in elektronischer Form abgeschlossen werden – und zwar vor Beginn der Datenverarbeitung. Ein nachträglicher Vertragsabschluss erfüllt die Anforderungen der DSGVO nicht.
Gemäß Artikel 28 Absatz 3 DSGVO muss der AVV folgende Aspekte enthalten:
Die konkrete Ausgestaltung dieser Pflichtbestandteile hängt von der Art der Verarbeitung ab. Ein AVV für Website-Hosting sieht anders aus als ein Vertrag mit einem Callcenter oder einer Cloud-Software.
Prüfkriterium | Beschreibung | Rechtsgrundlage |
|---|---|---|
Schriftliche Weisung | Datenverarbeitung erfolgt nur nach dokumentierter Anweisung des Verantwortlichen | Art. 28 Abs. 3 lit. a DSGVO |
Vertraulichkeit | Mitarbeiter des Auftragsverarbeiters sind zur Verschwiegenheit verpflichtet | Art. 28 Abs. 3 lit. b DSGVO |
Technische & organisatorische Maßnahmen | Konkrete TOMs zur Datensicherheit sind benannt und umgesetzt | Art. 28 Abs. 3 lit. c DSGVO |
Subunternehmer-Regelung | Weiterverarbeitung durch Unterauftragsverarbeiter nur mit Zustimmung und eigenem AVV | Art. 28 Abs. 2, 4 DSGVO |
Unterstützungspflichten | Aktive Unterstützung bei Betroffenenrechten (Auskunft, Löschung, Berichtigung) | Art. 28 Abs. 3 lit. e DSGVO |
Kontroll- und Auditrechte | Verantwortlicher hat Recht zur Kontrolle und Einforderung von Compliance-Nachweisen | Art. 28 Abs. 3 lit. h DSGVO |
Rückgabe/Löschung | Klare Regelung zur Datenrückübertragung oder Löschung nach Vertragsende | Art. 28 Abs. 3 lit. g DSGVO |
Drittlandübermittlung | Regelungen zu Standardvertragsklauseln bei Datenübermittlung außerhalb der EU/EWR | Art. 28 Abs. 3 lit. f DSGVO |
Eine besondere Herausforderung stellen Datenübermittlungen an Auftragsverarbeiter außerhalb der EU/EWR dar. Seit dem Ende des EU-US Privacy Shield (2020) gelten verschärfte Anforderungen.
Eine Übermittlung in ein Drittland liegt vor, wenn personenbezogene Daten außerhalb der EU/EWR verarbeitet werden. Dies betrifft:
Für Drittland-Übermittlungen müssen zusätzliche Schutzmaßnahmen getroffen werden. Die EU-Kommission hat Standardvertragsklauseln (SCC) veröffentlicht, die als rechtssichere Grundlage dienen.
Die SCC regeln:
Seit Juli 2023 existiert ein Nachfolgeabkommen zum Privacy Shield: das EU-US Data Privacy Framework. US-Unternehmen können sich zertifizieren lassen und damit Datenübermittlungen erleichtern.
Prüfen Sie bei US-Anbietern:
Wichtig: Die bloße Zertifizierung oder SCC reichen möglicherweise nicht aus. Sie müssen im Einzelfall prüfen, ob das Schutzniveau angemessen ist (Transfer Impact Assessment).
Nein. Ein Auftragsverarbeiter gilt nicht als Dritter im datenschutzrechtlichen Sinne. Die Datenverarbeitung erfolgt weiterhin im Verantwortungsbereich des Auftraggebers.
Betroffene Personen müssen in Ihrer Datenschutzerklärung über den Einsatz von Auftragsverarbeitern informiert werden. Konkret sollten Sie nennen:
Eine separate Einwilligung ist nicht erforderlich – vorausgesetzt, die ursprüngliche Rechtsgrundlage für die Datenverarbeitung (Art. 6 DSGVO) besteht fort.
Beispiel:
Sie nutzen ein Newsletter-Tool (z.B. Mailchimp) als Auftragsverarbeiter. Die Nutzer müssen nicht erneut einwilligen, dass Mailchimp die Daten verarbeitet. Es reicht die ursprüngliche Newsletter-Einwilligung plus ein Hinweis in der Datenschutzerklärung.
Fehlende, unvollständige oder fehlerhafte Auftragsverarbeitungsverträge können erhebliche rechtliche und finanzielle Folgen haben.
Bei geringen Verstößen:
Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Beispiele: Unvollständige Verträge, fehlende TOMs, mangelnde Dokumentation
Bei schweren Verstößen:
Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Beispiele: Komplettes Fehlen eines AVV, Verarbeitung ohne Rechtsgrundlage, grobe Missachtung von Betroffenenrechten
Zuständig für die Verhängung von Bußgeldern ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).
Betroffene Personen können materiellen und immateriellen Schadensersatz geltend machen. Dies gilt selbst dann, wenn „nur“ ein AVV fehlt – ohne dass ein echter Datenschutzverstoß vorliegt.
Gemeinsame Haftung von Auftraggeber und Auftragsverarbeiter:
Beide Parteien haften gesamtschuldnerisch für Verstöße gemäß der gemeinsamen Haftung nach Art. 82 DSGVO. Der Verantwortliche kann jedoch im Innenverhältnis Regressansprüche gegen den Auftragsverarbeiter geltend machen, wenn dieser schuldhaft gegen den AVV verstoßen hat.
Beweislastumkehr:
Im Schadensfall müssen Sie nachweisen, dass Sie nicht für den Schaden verantwortlich sind. Ohne gültigen AVV ist dieser Nachweis praktisch unmöglich.
Reputationsschäden:
Datenschutzverstöße und Bußgelder werden öffentlich bekannt. Dies schadet dem Unternehmensimage und kann zu Kundenverlusten führen.
Viele Dienstleister stellen standardisierte Auftragsverarbeitungsverträge bereit. Diese finden Sie häufig:
Im Kundenkonto Ihres Dienstleisters
Hoster wie 1&1, Strato, DomainFactory oder Newsletter-Tools wie Mailchimp, CleverReach und Newsletter2Go bieten AVVs direkt im Account an. Prüfen Sie die Einstellungen unter „Datenschutz“, „Verträge“ oder „Compliance“.
Auf der Website des Anbieters
Größere SaaS-Anbieter (Microsoft, Google, Salesforce) veröffentlichen ihre AVVs im Trust Center oder in der Rechtsdokumentation. Suchen Sie nach „Data Processing Agreement“ (DPA) oder „Auftragsverarbeitungsvertrag“.
Datenschutz-Generatoren
Einige Datenschutz-Plattformen bieten AVV-Generatoren an. Diese erstellen individualisierte Verträge basierend auf Ihren Angaben. Sie können auch einen Auftragsverarbeitungsvertrag im Compliance Hub erstellen.
Professionelle Datenschutzberatung
Für komplexe Verarbeitungstätigkeiten oder kritische Daten (Gesundheitsdaten, Mitarbeiterdaten) empfiehlt sich die Beauftragung eines Datenschutzbeauftragten. Dieser erstellt maßgeschneiderte Verträge und prüft Anbieter-AVVs auf Vollständigkeit. Nutzen Sie keine ungeprüften Musterverträge aus dem Internet. Diese sind oft veraltet oder unvollständig. Ein fehlerhafter AVV ist kaum besser als gar keiner.
Setzen Sie die DSGVO-Anforderungen rechtssicher um – mit der strukturierten Vorlage nach Art. 28 DSGVO inkl. allen Pflichtbestandteilen und praxiserprobten Formulierungen für typische Verarbeitungstätigkeiten, kostenlos als Download.
Auftragsverarbeitungsverträge können elektronisch abgeschlossen werden. Die DSGVO verlangt lediglich eine „dauerhafte“ und „nachprüfbare“ Form. E-Mail-Verträge, digital signierte PDFs oder Vertragsmanagement-Systeme sind zulässig. Achten Sie auf eine ordnungsgemäße Dokumentation und Archivierung. Sie müssen jederzeit nachweisen können, dass ein gültiger AVV existiert.
Der AVV muss vor Beginn der Datenverarbeitung abgeschlossen sein. Ein nachträglicher Vertragsabschluss erfüllt die Anforderungen der DSGVO nicht und kann als Verstoß gewertet werden.
Praxis-Tipp: Schließen Sie den AVV bereits bei Vertragsverhandlungen mit dem Dienstleister ab – nicht erst nach Go-Live.
Ja, das ist grundsätzlich möglich. Der AVV kann als Anlage zu den Allgemeinen Geschäftsbedingungen (AGB) des Dienstleisters ausgestaltet werden. Achten Sie darauf, dass alle Pflichtbestandteile nach Art. 28 Abs. 3 DSGVO enthalten sind.
Vorteil: Einfachere Verwaltung bei vielen Verträgen
Nachteil: AGB-Änderungen können Vertragsanpassungen erfordern
AVVs sollten regelmäßig überprüft werden – mindestens:
Empfehlung: Führen Sie ein Vertragsregister, in dem alle AVVs mit Prüfdatum erfasst sind.
Fehlende AVVs können zu Bußgeldern bis zu 20 Millionen Euro oder 4% des Jahresumsatzes führen. Zusätzlich haben betroffene Personen Schadensersatzrechte nach Art. 82 DSGVO – selbst ohne echten Datenschutzverstoß.
Die Beweislast liegt bei Ihnen. Sie müssen nachweisen, dass kein Verstoß vorlag. Ohne gültigen AVV ist dies praktisch unmöglich.
Das hängt von der Art der Bestellung ab:
Interner DSB (Mitarbeiter): Kein AVV erforderlich – der DSB ist Teil Ihres Unternehmens
Externer DSB (Dienstleister): Ja, AVV erforderlich – der externe DSB ist Auftragsverarbeiter
Externe Datenschutzbeauftragte haben Zugriff auf sämtliche personenbezogene Daten Ihres Unternehmens. Ein AVV ist daher zwingend erforderlich.
Ja, das ist möglich und oft sinnvoll. Wenn Sie denselben Dienstleister für unterschiedliche Zwecke beauftragen (z.B. Hosting + Newsletter), können Sie entweder:
Empfehlung: Rahmen-AVV mit Anlagen – so behalten Sie die Übersicht.
Ja, gemäß Art. 28 Abs. 2 DSGVO dürfen Auftragsverarbeiter nur mit Ihrer Zustimmung Unterauftragsverarbeiter einsetzen. Sie haben zwei Möglichkeiten:
Einzelgenehmigung: Sie genehmigen jeden Subunternehmer individuell (hoher Aufwand, maximale Kontrolle)
Generalerlaubnis: Sie erlauben Subunternehmer generell, müssen aber über Änderungen informiert werden und können widersprechen (üblich bei SaaS-Anbietern)
Der Auftragsverarbeiter muss mit jedem Subunternehmer einen eigenen AVV abschließen und Ihnen Auskunft über eingesetzte Subunternehmer geben.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen