Zum Inhalt springen

DSGVO erklärt · Art. 28 DSGVO

Was ist ein AV-Vertrag — und warum brauchen Sie ihn?

Der Auftragsverarbeitungs-Vertrag (AVV oder AV-Vertrag) ist eines der zentralen DSGVO-Dokumente. Hier kompakt erklärt: was es ist, wann es Pflicht ist, was reingehört, und wo es im Alltag oft schief geht.

Grund-Definition

Was ist ein AV-Vertrag?

Ein AV-Vertrag (Auftragsverarbeitungs-Vertrag, AVV) ist eine schriftliche Vereinbarung zwischen einem Verantwortlichen (das ist Ihr Unternehmen, Verein oder Behörde) und einem Auftragsverarbeiter (das ist ein Dienstleister, der personenbezogene Daten für Sie verarbeitet — z. B. eine Web-Agentur, ein E-Mail-Marketing-Anbieter, ein Hosting-Dienstleister). Rechtliche Grundlage ist Art. 28 DSGVO. Sinn: Der Auftragsverarbeiter darf Daten nur in dem Rahmen verwenden, den Sie vorgeben — und haftet, wenn er sich nicht dran hält.

Wann brauche ich einen AV-Vertrag?

Sobald ein externer Dienstleister auf personenbezogene Daten zugreift

Konkret: ein AV-Vertrag ist immer dann Pflicht, wenn jemand im Auftrag für Sie personenbezogene Daten verarbeitet. Das passiert öfter, als die meisten denken:

  • Ihre Website wird von einer Agentur gepflegt, die auf Inhalts- und Nutzer-Daten zugreifen kann.
  • Sie verschicken Newsletter über einen Anbieter (Mailchimp, ActiveCampaign, CleverReach).
  • Ihr Webspace wird bei einem Hosting-Anbieter betrieben.
  • Sie nutzen einen Cloud-Speicher (Dropbox, Google Drive, Microsoft 365, Nextcloud) für Kunden- oder Mitarbeiterdaten.
  • Sie haben ein externes CRM oder ERP-System.
  • Sie nutzen einen Webanalyse-Anbieter (Google Analytics, Matomo Cloud, Plausible).
  • Sie nutzen ein Online-Buchungs- oder Terminsystem (Amelia, Calendly, Doodle Pro).
  • Sie nutzen externe Backup-Anbieter.
  • Sie nutzen KI-Tools (OpenAI, Anthropic, Microsoft Copilot) mit echten Daten.
Was muss drinstehen?

Pflicht-Inhalte nach Art. 28 DSGVO

Der AVV ist nicht frei verhandelbar — Art. 28 DSGVO listet die Mindest-Inhalte. Die wichtigsten Punkte:

  • Gegenstand der Verarbeitung (welche Daten, für welchen Zweck)
  • Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
  • Regelungen zu Sub-Unternehmern
  • Umgang mit Daten nach Vertragsende (Löschung/Rückgabe)
  • Unterstützungspflichten bei Betroffenen-Anfragen
  • Mitwirkung bei Datenschutz-Folgenabschätzungen
Warum es nicht nur Papierkram ist

Drei sehr praktische Gründe

Erstens: Bußgeld-Risiko. Verstöße gegen Art. 28 DSGVO können mit bis zu 10 Mio. € oder 2 % des Jahresumsatzes geahndet werden — und Aufsichtsbehörden fragen den AVV als Standard-Prüfungs­punkt ab.
Zweitens: Haftungs-Verteilung. Ohne AV-Vertrag haftet der Verantwortliche allein für Verstöße des Dienstleisters. Mit korrektem AVV gibt es eine klare Aufteilung.
Drittens: Betroffenen-Rechte. Anfragen von Kunden („welche Daten haben Sie über mich, bitte löschen") müssen Sie weiterreichen können — ohne AVV-Pflicht des Dienstleisters geht das nicht zuverlässig.

Bei DigElite ist ein AV-Vertrag Standard-Bestandteil jedes Projekts mit Datenverarbeitung — inkl. Hosting auf selbst verwalteten Servern in deutschen Rechenzentren.

Häufige Fragen

Schnelle Antworten zum AV-Vertrag

Reicht ein AV-Vertrag pro Dienstleister oder brauche ich pro Service einen?

Ein AVV pro Dienstleister reicht, sofern er alle Services dieses Dienstleisters abdeckt. Bei einem großen Anbieter (z. B. Microsoft) sind Services teils einzeln geregelt.

Was ist mit US-Anbietern wie Mailchimp oder ChatGPT?

Möglich, aber zusätzlich braucht es Standard­vertragsklauseln (SCCs) plus Transfer Impact Assessment. Einfacher: einen EU-/deutschen Anbieter wählen, dann reicht der normale AVV.

Müssen Vereine auch AV-Verträge schließen?

Ja — sobald sie personenbezogene Daten verarbeiten lassen (Mailchimp für Newsletter, Cloud-Speicher für Mitglieder-Listen, etc.). Vereine sind nicht von DSGVO ausgenommen.

Gibt es Mustervorlagen?

Ja, viele Aufsichtsbehörden und Verbände bieten Mustervorlagen an (z. B. BvD, GDD). Wichtig: das Muster muss zum konkreten Anbieter passen — Copy-Paste ohne Anpassung erfüllt Art. 28 selten.

Wie oft muss ich den AVV erneuern?

Es gibt keine starre Frist. Aber: bei Service-Änderungen, neuen Sub-Unternehmern oder gesetzlichen Anpassungen aktualisieren. Eine jährliche Prüfung ist gute Praxis.

Wo fehlen Ihnen AV-Verträge?

15 Minuten Erstgespräch — wir prüfen kostenlos, wo bei Ihnen AV-Verträge fehlen oder veraltet sind.

Erstgespräch buchen

Weiterführend: BFSG / Barrierefreiheit · Hosting Deutschland · Alles aus einer Hand