Was ist ein AV-Vertrag — und warum brauchen Sie ihn?
Der Auftragsverarbeitungs-Vertrag ist ein wichtiges Dokument der DSGVO. Hier steht: was ein AV-Vertrag ist, wann er nötig ist und was darin stehen muss. Auch wo es oft Probleme gibt.
Was ist ein AV-Vertrag?
Ein AV-Vertrag ist ein schriftlicher Vertrag. Er ist zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Das heißt, Ihr Unternehmen und ein Dienstleister schließen ihn ab. Ein Dienstleister nutzt Daten für Sie. Beispiele sind Web-Agenturen, E-Mail-Marketing-Anbieter oder Hosting-Dienste. Grundlage ist Artikel 28 der DSGVO. Der Dienstleister darf nur Ihre Vorgaben nutzen. Hält er sich nicht daran, haftet er.
Sobald ein externer Dienstleister auf personenbezogene Daten zugreift
Ein AV-Vertrag ist Pflicht, wenn jemand Daten für Sie verarbeitet. Das passiert oft, öfter als viele denken.
- Ihre Website wird von einer Agentur gepflegt, die auf Inhalts- und Nutzer-Daten zugreifen kann.
- Sie verschicken Newsletter über einen Anbieter (Mailchimp, ActiveCampaign, CleverReach).
- Ihr Webspace wird bei einem Hosting-Anbieter betrieben.
- Sie nutzen einen Cloud-Speicher (Dropbox, Google Drive, Microsoft 365, Nextcloud) für Kunden- oder Mitarbeiterdaten.
- Sie haben ein externes CRM oder ERP-System.
- Sie nutzen einen Webanalyse-Anbieter (Google Analytics, Matomo Cloud, Plausible).
- Sie nutzen ein Online-Buchungs- oder Terminsystem (Amelia, Calendly, Doodle Pro).
- Sie nutzen externe Backup-Anbieter.
- Sie nutzen KI-Tools (OpenAI, Anthropic, Microsoft Copilot) mit echten Daten.
Pflicht-Inhalte nach Art. 28 DSGVO
Der AV-Vertrag ist nicht verhandelbar. Artikel 28 der DSGVO sagt, was drinstehen muss. Wichtigste Punkte sind:
- Gegenstand der Verarbeitung (welche Daten, für welchen Zweck)
- Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
- Regelungen zu Sub-Unternehmern
- Umgang mit Daten nach Vertragsende (Löschung/Rückgabe)
- Unterstützungspflichten bei Betroffenen-Anfragen
- Mitwirkung bei Datenschutz-Folgenabschätzungen
Drei sehr praktische Gründe
Erstens: Risiko von Bußgeldern. Bei Verstößen gegen Artikel 28 der DSGVO drohen hohe Strafen. Bis zu 10 Millionen € oder 2 % des Jahresumsatzes. Aufsichtsbehörden prüfen den AV-Vertrag. Zweitens: Haftungsverteilung. Ohne Vertrag haftet nur der Verantwortliche für Fehler des Dienstleisters. Mit AV-Vertrag ist klar, wer haftet. Drittens: Rechte von Betroffenen. Kundenanfragen müssen korrekt weitergegeben werden. Ohne AV-Vertrag ist das oft unsicher. Bei DigElite gehört ein AV-Vertrag immer dazu. Auch bei Hosting auf eigenen Servern in Deutschland.
Schnelle Antworten zum AV-Vertrag
Reicht ein AV-Vertrag pro Dienstleister oder brauche ich pro Service einen?
Ein AVV pro Dienstleister reicht, sofern er alle Services dieses Dienstleisters abdeckt. Bei einem großen Anbieter (z. B. Microsoft) sind Services teils einzeln geregelt.
Was ist mit US-Anbietern wie Mailchimp oder ChatGPT?
Möglich, aber zusätzlich braucht es Standardvertragsklauseln (SCCs) plus Transfer Impact Assessment. Einfacher: einen EU-/deutschen Anbieter wählen, dann reicht der normale AVV.
Müssen Vereine auch AV-Verträge schließen?
Ja — sobald sie personenbezogene Daten verarbeiten lassen (Mailchimp für Newsletter, Cloud-Speicher für Mitglieder-Listen, etc.). Vereine sind nicht von DSGVO ausgenommen.
Gibt es Mustervorlagen?
Ja, viele Aufsichtsbehörden und Verbände bieten Mustervorlagen an (z. B. BvD, GDD). Wichtig: das Muster muss zum konkreten Anbieter passen — Copy-Paste ohne Anpassung erfüllt Art. 28 selten.
Wie oft muss ich den AVV erneuern?
Es gibt keine starre Frist. Aber: bei Service-Änderungen, neuen Sub-Unternehmern oder gesetzlichen Anpassungen aktualisieren. Eine jährliche Prüfung ist gute Praxis.
Wo fehlen Ihnen AV-Verträge?
15 Minuten erstes Gespräch — wir prüfen kostenlos Ihre AV-Verträge. Sind welche alt oder fehlen? Weiterführend: Barrierefreiheit, Hosting Deutschland, Alles aus einer Hand.
