Der vollständige Leitfaden zu Auftragsverarbeitungsverträgen (AVV): Was Sie über die Einhaltung nach Art. 28 DSGVO wissen müssen

Jahrzehntelang verwalteten Unternehmen den Datenschutz intern. Es folgten Cloud Computing, SaaS-Plattformen und ausgelagerte Prozesse. Der Auftragsverarbeitungsvertrag wurde zur rechtlichen Brücke zwischen den gesetzlichen Anforderungen der DSGVO und den Beziehungen zu Dienstleistern und gleichzeitig zu einem der häufigsten Stolpersteine bei Datenschutzprüfungen.

Auftragsverarbeitungsverträge sind das zentrale Instrument, um Verantwortlichkeiten beim Umgang mit personenbezogenen Daten klar zu definieren. Was genau ist also ein AVV, und wann ist er erforderlich?

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der in dessen Auftrag personenbezogene Daten verarbeitet. Gemäß Art. 28 DSGVO ist dieser Vertrag verpflichtend, nicht optional.

Warum es AVVs gibt: Vor der DSGVO (2018) entgingen Unternehmen Sanktionen häufig durch den Verweis auf mündliche Absprachen oder allgemeine Geheimhaltungsvereinbarungen mit Dienstleistern. Art. 28 DSGVO schließt dieses Schlupfloch. Er legt schriftliche Rechenschaftspflicht fest, definiert die zulässige Datenverarbeitung und überträgt die datenschutzrechtliche Verantwortung direkt auf Dienstleister.

Die Kernfunktion: In einem AVV wird festgelegt, wie ein Auftragsverarbeiter personenbezogene Daten verarbeiten darf, welche technischen und organisatorischen Maßnahmen (TOMs) er treffen muss, wie Datenschutzverletzungen gemeldet werden müssen und wie Daten nach Beendigung der Zusammenarbeit behandelt werden. Ohne einen AVV stellt die Weitergabe personenbezogener Daten an einen Dienstleister einen Verstoß gegen die DSGVO dar – unabhängig von der tatsächlichen Sicherheitslage des Dienstleisters.

Die Bedeutung von AVVs wird durch aktuelle Durchsetzungsdaten unterstrichen. Seit Inkrafttreten der DSGVO haben europäische Datenschutzbehörden Bußgelder in Milliardenhöhe verhängt. Allein in Deutschland hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zahlreiche Verfahren eingeleitet, bei denen fehlende oder mangelhafte AVVs eine zentrale Rolle spielten.

AVV vs. NDA

Ein Auftragsverarbeitungsvertrag (AVV) und eine Geheimhaltungsvereinbarung (NDA) dienen unterschiedlichen Zwecken und sind nicht austauschbar – insbesondere wenn es um den Schutz personenbezogener Daten gemäß DSGVO geht.

AVVNDA
ZweckSchützt personenbezogene Daten bei der AuftragsverarbeitungSchützt vertrauliche Geschäftsinformationen
Rechtliche GrundlageDSGVO, Art. 28 (EU-Verordnung)Vertragsrecht
AnforderungenSpezifische DSGVO-Vorgaben (TOMs, Meldepflichten, Weisungsbindung)Allgemeine Vertraulichkeitsverpflichtungen
VollstreckungDatenschutzbehörden (BfDI, Landesdatenschutzbehörden)Zivilrechtliche Folgen
UmfangPersonenbezogene Daten im AuftragsverhältnisAllgemeine Unternehmensdaten
Auswechselbar?NeinNein

Wer braucht einen Auftragsverarbeitungsvertrag?

Verantwortliche im Sinne der DSGVO – also Unternehmen, Behörden oder Organisationen, die über Zweck und Mittel der Datenverarbeitung entscheiden – müssen AVVs abschließen, bevor sie personenbezogene Daten an Auftragsverarbeiter weitergeben.

Zu den Auftragsverarbeitern gehören alle Dienstleister, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten: Cloud-Anbieter (AWS, Azure, Google Workspace), Lohnbuchhaltungsdienstleister, IT-Dienstleister, Rechtsanwälte (sofern Daten verarbeitet werden), Unternehmensberater, Transkriptionsdienste und Kommunikationsplattformen.

Die Vertragskette reicht bis in nachgelagerte Bereiche. Wenn ein Auftragsverarbeiter einen Unterauftragnehmer einsetzt, der personenbezogene Daten verarbeitet, benötigt dieser Unterauftragnehmer einen eigenen AVV mit dem übergeordneten Auftragsverarbeiter. Ihr Vertrag mit Dienstleister A gilt nicht automatisch für dessen Unterauftragnehmer.

Besonderheit im Gesundheitswesen: Das Patientendatenschutzgesetz (PDSG) sowie die ärztliche Schweigepflicht legen zusätzliche Anforderungen fest. Wer Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO) verarbeitet oder verarbeiten lässt, muss erhöhte Sorgfalt walten lassen und entsprechend stärkere technische und organisatorische Maßnahmen im AVV verankern.

Drei Ausnahmen, bei denen kein AVV erforderlich ist:

  • Dienstleister, die personenbezogene Daten ausschließlich als eigenständig Verantwortliche verarbeiten (z.B. Rechtsanwälte, Steuerberater, soweit sie eigenverantwortlich tätig sind)
  • Reine Übermittlungsdienste (Post, Internetanbieter, Telekommunikation) ohne inhaltlichen Zugang zu den Daten
  • Verarbeitungen innerhalb eines Konzerns, sofern eine interne Weisung nach Art. 28 Abs. 3 DSGVO als ausreichend gilt (in der Praxis jedoch empfehlenswert)

Was muss ein AVV enthalten? Kernanforderungen

Gemäß Art. 28 Abs. 3 DSGVO muss jeder konforme AVV folgende Elemente enthalten:

BereichPflichtinhaltZweck
VertragsgrundlageParteien, Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener PersonenKlare rechtliche Zuordnung
WeisungsbindungVerarbeitung nur auf dokumentierte Weisung des VerantwortlichenKontrolle über die Datenverarbeitung
VertraulichkeitVerpflichtung zur Vertraulichkeit aller zur Verarbeitung befugten PersonenSchutz vor unbefugter Offenlegung
Technische und organisatorische Maßnahmen (TOMs)Umsetzung geeigneter TOMs gemäß Art. 32 DSGVOReduktion von Sicherheitsrisiken
UnterauftragnehmerGenehmigungsvorbehalt des Verantwortlichen; Weitergabe der AVV-PflichtenSicherung der gesamten Verarbeitungskette
UnterstützungspflichtenUnterstützung bei Betroffenenrechten, DPIAs, BehördenanfragenSchutz der Rechte betroffener Personen
Datenlöschung/-rückgabeRegelung zur Rückgabe oder Löschung nach VertragsendeVermeidung unnötiger Datenspeicherung
AuditrechteRecht auf Überprüfungen und Inspektionen durch den VerantwortlichenTransparenz und Rechenschaftspflicht
Meldung von DatenpannenUnverzügliche Meldung von Datenschutzverletzungen an den VerantwortlichenEinhaltung der 72-Stunden-Meldefrist nach Art. 33 DSGVO

Häufige Fehler bei der AVV-Compliance (und wie sie zu vermeiden sind)

Bei den meisten AVV-Fehlern geht es nicht um komplexe rechtliche Nuancen, sondern um vermeidbare betriebliche Versäumnisse, die kostspielige Bußgelder nach sich ziehen:

  • Veraltete Vorlagen: Kostenlose AVV-Muster aus dem Internet sind oft nicht aktuell oder berücksichtigen keine neuere Rechtsprechung (z.B. zu internationalen Datentransfers nach Schrems II). Eine jährliche rechtliche Überprüfung ist nicht verhandelbar.
  • Gänzlich fehlende AVVs: Datenschutzbehörden prüfen nicht, ob Ihr Dienstleister tatsächlich sicher ist. Kein AVV bedeutet automatisch einen Verstoß und mögliche Bußgelder.
  • Ignorieren der Unterauftragnehmer-Kette: Ihr AVV mit Dienstleister A gilt nicht für dessen Subunternehmer. Bei einem Datenschutzvorfall auf fünf Ebenen bleiben Sie als Verantwortlicher haftbar.
  • Vage oder einseitige Formulierungen: Klauseln wie „angemessene Bemühungen“ oder Formulierungen, die den Auftragsverarbeiter von konkreten Pflichten entbinden, halten einer Prüfung durch Datenschutzbehörden nicht stand.
  • Unklarer Leistungsumfang: Die Unterzeichnung eines AVV für Google Workspace deckt nicht automatisch alle Google-Dienste ab. Definieren Sie ausdrücklich, welche Dienste in den Geltungsbereich fallen und welche nicht.
  • Keine Verfahren bei Datenpannen: Der AVV erwähnt Meldepflichten, aber keine der Parteien verfügt über dokumentierte Prozesse zur Erkennung und Eskalation. Verspätete Meldungen nach Art. 33 DSGVO (72-Stunden-Frist) ziehen zusätzliche Sanktionen nach sich.
  • Keine regelmäßige Aktualisierung: Ein AVV aus dem Jahr 2019 berücksichtigt keine KI-Tools, keine Datenübertragungen nach dem neuen EU-US Data Privacy Framework oder neue Unterauftragnehmer. Mindestens jährliche Überprüfung ist Pflicht.

Sorgfaltspflicht gegenüber Dienstleistern: Über die Vertragsunterzeichnung hinaus

Ein unterzeichneter AVV legt den Rahmen fest; die Due-Diligence-Prüfung beweist, dass Ihr Dienstleister diesen Rahmen tatsächlich einhalten kann.

Vor der Vertragsunterzeichnung: Erstellen Sie ein vollständiges Inventar aller Auftragsverarbeiter. Bewerten Sie Sicherheitszertifizierungen (ISO 27001, BSI C5-Testat, BSI-Grundschutz), Verschlüsselungsstandards, Kapazitäten zur Reaktion auf Vorfälle und das Management von Unterauftragnehmern.

Laufende Überwachung: Führen Sie jährliche Datenschutz-Folgenabschätzungen (DPIA) durch, wo erforderlich. Fordern Sie aktualisierte Sicherheitsunterlagen an, überprüfen Sie, ob AVVs mit Unterauftragnehmern noch aktuell sind, und dokumentieren Sie alle Vorfälle. Nutzen Sie Auditrechte bei Dienstleistern mit hohem Risiko, die große Mengen personenbezogener Daten verarbeiten.

Reaktion auf Datenpannen: Definieren Sie Eskalationspfade und Kommunikationszeiträume im Voraus. Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO lässt keinen Spielraum für Ad-hoc-Krisenrunden. Wenn ein Auftragsverarbeiter eine potenzielle Datenpanne meldet, brauchen Sie ein erprobtes Regelwerk.

Wie man einen AVV aushandelt und umsetzt

Fünf kritische Verhandlungspunkte:

  • Fristen für die Meldung von Datenpannen: Drängen Sie auf eine unverzügliche Meldung, maximal innerhalb von 24 Stunden. Sie brauchen ausreichend Zeit, um intern zu untersuchen und die 72-Stunden-Frist gegenüber der Aufsichtsbehörde einzuhalten.
  • Offenlegung von Unterauftragnehmern: Verlangen Sie die vollständige Offenlegung aller Subunternehmer mit Zugang zu personenbezogenen Daten sowie den Nachweis bestehender nachgelagerter AVVs. Vereinbaren Sie ein Widerspruchsrecht bei neuen Unterauftragnehmern.
  • Auditrechte: Definieren Sie „angemessene Vorankündigung“ ausdrücklich (z.B. 10 Werktage). Nehmen Sie das Recht auf den Einsatz externer Prüfer ausdrücklich auf.
  • Haftung und Schadensersatz: Klären Sie die finanzielle Verantwortung für Verstöße, die auf die Fahrlässigkeit des Auftragsverarbeiters zurückzuführen sind. Art. 82 DSGVO sieht eine gemeinsame Haftung vor; der Vertrag sollte den internen Ausgleich regeln.
  • Datenrückgabe und -löschung: Legen Sie das Format (verschlüsselte Übertragung, zertifizierte Löschung) und die Fristen konkret fest. Verlangen Sie eine Löschbestätigung. Vermeiden Sie vage Formulierungen wie „wirtschaftlich zumutbare Anstrengungen“.

Wesentliche Aspekte der Umsetzung: Pflegen Sie genehmigte AVV-Vorlagen für verschiedene Dienstleistungsarten. Verwenden Sie ein Vertragsmanagement-System, um Ausführungsdaten, Verlängerungen und Dienstleisterbeziehungen zu verfolgen. Integrieren Sie die AVV-Prüfung in Beschaffungsprozesse: kein Zugriff auf personenbezogene Daten ohne unterzeichneten AVV. Schulen Sie Mitarbeitende in Recht, Einkauf, IT und Betrieb, wann AVV-Anforderungen ausgelöst werden.

Jährliche Überprüfung: Aktualisieren Sie AVVs, wenn sich Dienstleistungen ändern, neue Unterauftragnehmer hinzukommen, Datenübertragungen in Drittstaaten entstehen oder sich die Rechtslage weiterentwickelt. Fordern Sie aktualisierte Sicherheitsdokumentation (ISO-27001-Zertifikate, BSI C5-Testate, Penetrationstestergebnisse) an, um die laufende Compliance zu überprüfen.

Die manuelle Verwaltung von AVVs wird mit wachsendem Dienstleister-Ökosystem zunehmend komplex. Hier können Tools zur Verwaltung des Vertragslebenszyklus entscheidend helfen.

Warum ein Vertragsmanagement-Tool für die AVV-Compliance wichtig ist

Die manuelle AVV-Verfolgung birgt erhebliche Compliance-Risiken. Tabellenkalkulationen verpassen Verlängerungsdaten. E-Mail-Ketten verlieren die Versionskontrolle. Die meisten AVV-Verstöße sind nicht vorsätzlich, sondern das Ergebnis organisatorischer Lücken.

Was Vertragsmanagement-Software löst:

Ein zentrales AVV-Repository verhindert die aufwändige Dokumentensuche, wenn Datenschutzbehörden Nachweise anfordern. Die automatische Fristenverfolgung erkennt Verlängerungsdaten und Meldefristen bei Datenpannen, bevor sie zu Verstößen werden. Die Workflow-Automatisierung verhindert den Zugriff auf personenbezogene Daten ohne ausgeführten AVV. Vollständige Prüfpfade dokumentieren jede Vertragsversion, Genehmigung und Unterschrift mit Zeitstempel. Die Nachverfolgung von Unterauftragnehmern zeigt automatisch fehlende nachgelagerte AVVs an.

DiliTrusts Contract Lifecycle Management zentralisiert die Überwachung von Dienstleisterverträgen, automatisiert Compliance-Workflows und liefert die von Datenschutzbehörden erwartete Prüfdokumentation. Das reduziert das Durchsetzungsrisiko und entlastet Compliance-Teams von der manuellen Nachverfolgung.g befreit.

Hinweis für Unternehmen mit US-amerikanischen Geschäftspartnern: Wer mit US-Gesundheitsdienstleistern zusammenarbeitet, die dem HIPAA unterliegen, muss zusätzlich Business Associate Agreements (BAAs) abschließen. BAAs und AVVs ergänzen sich in diesem Fall, ersetzen sich jedoch nicht gegenseitig.