Jahrzehntelang verwalteten Unternehmen den Datenschutz intern. Es folgten Cloud Computing, SaaS-Plattformen und ausgelagerte Prozesse. Der Auftragsverarbeitungsvertrag wurde zur rechtlichen Brücke zwischen den gesetzlichen Anforderungen der DSGVO und den Beziehungen zu Dienstleistern und gleichzeitig zu einem der häufigsten Stolpersteine bei Datenschutzprüfungen.
Auftragsverarbeitungsverträge sind das zentrale Instrument, um Verantwortlichkeiten beim Umgang mit personenbezogenen Daten klar zu definieren. Was genau ist also ein AVV, und wann ist er erforderlich?
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der in dessen Auftrag personenbezogene Daten verarbeitet. Gemäß Art. 28 DSGVO ist dieser Vertrag verpflichtend, nicht optional.
Warum es AVVs gibt: Vor der DSGVO (2018) entgingen Unternehmen Sanktionen häufig durch den Verweis auf mündliche Absprachen oder allgemeine Geheimhaltungsvereinbarungen mit Dienstleistern. Art. 28 DSGVO schließt dieses Schlupfloch. Er legt schriftliche Rechenschaftspflicht fest, definiert die zulässige Datenverarbeitung und überträgt die datenschutzrechtliche Verantwortung direkt auf Dienstleister.
Die Kernfunktion: In einem AVV wird festgelegt, wie ein Auftragsverarbeiter personenbezogene Daten verarbeiten darf, welche technischen und organisatorischen Maßnahmen (TOMs) er treffen muss, wie Datenschutzverletzungen gemeldet werden müssen und wie Daten nach Beendigung der Zusammenarbeit behandelt werden. Ohne einen AVV stellt die Weitergabe personenbezogener Daten an einen Dienstleister einen Verstoß gegen die DSGVO dar – unabhängig von der tatsächlichen Sicherheitslage des Dienstleisters.
Die Bedeutung von AVVs wird durch aktuelle Durchsetzungsdaten unterstrichen. Seit Inkrafttreten der DSGVO haben europäische Datenschutzbehörden Bußgelder in Milliardenhöhe verhängt. Allein in Deutschland hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zahlreiche Verfahren eingeleitet, bei denen fehlende oder mangelhafte AVVs eine zentrale Rolle spielten.
AVV vs. NDA
Ein Auftragsverarbeitungsvertrag (AVV) und eine Geheimhaltungsvereinbarung (NDA) dienen unterschiedlichen Zwecken und sind nicht austauschbar – insbesondere wenn es um den Schutz personenbezogener Daten gemäß DSGVO geht.
| AVV | NDA | |
|---|---|---|
| Zweck | Schützt personenbezogene Daten bei der Auftragsverarbeitung | Schützt vertrauliche Geschäftsinformationen |
| Rechtliche Grundlage | DSGVO, Art. 28 (EU-Verordnung) | Vertragsrecht |
| Anforderungen | Spezifische DSGVO-Vorgaben (TOMs, Meldepflichten, Weisungsbindung) | Allgemeine Vertraulichkeitsverpflichtungen |
| Vollstreckung | Datenschutzbehörden (BfDI, Landesdatenschutzbehörden) | Zivilrechtliche Folgen |
| Umfang | Personenbezogene Daten im Auftragsverhältnis | Allgemeine Unternehmensdaten |
| Auswechselbar? | Nein | Nein |
Wer braucht einen Auftragsverarbeitungsvertrag?
Verantwortliche im Sinne der DSGVO – also Unternehmen, Behörden oder Organisationen, die über Zweck und Mittel der Datenverarbeitung entscheiden – müssen AVVs abschließen, bevor sie personenbezogene Daten an Auftragsverarbeiter weitergeben.
Zu den Auftragsverarbeitern gehören alle Dienstleister, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten: Cloud-Anbieter (AWS, Azure, Google Workspace), Lohnbuchhaltungsdienstleister, IT-Dienstleister, Rechtsanwälte (sofern Daten verarbeitet werden), Unternehmensberater, Transkriptionsdienste und Kommunikationsplattformen.
Die Vertragskette reicht bis in nachgelagerte Bereiche. Wenn ein Auftragsverarbeiter einen Unterauftragnehmer einsetzt, der personenbezogene Daten verarbeitet, benötigt dieser Unterauftragnehmer einen eigenen AVV mit dem übergeordneten Auftragsverarbeiter. Ihr Vertrag mit Dienstleister A gilt nicht automatisch für dessen Unterauftragnehmer.
Besonderheit im Gesundheitswesen: Das Patientendatenschutzgesetz (PDSG) sowie die ärztliche Schweigepflicht legen zusätzliche Anforderungen fest. Wer Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO) verarbeitet oder verarbeiten lässt, muss erhöhte Sorgfalt walten lassen und entsprechend stärkere technische und organisatorische Maßnahmen im AVV verankern.
Drei Ausnahmen, bei denen kein AVV erforderlich ist:
Was muss ein AVV enthalten? Kernanforderungen
Gemäß Art. 28 Abs. 3 DSGVO muss jeder konforme AVV folgende Elemente enthalten:
| Bereich | Pflichtinhalt | Zweck |
|---|---|---|
| Vertragsgrundlage | Parteien, Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen | Klare rechtliche Zuordnung |
| Weisungsbindung | Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen | Kontrolle über die Datenverarbeitung |
| Vertraulichkeit | Verpflichtung zur Vertraulichkeit aller zur Verarbeitung befugten Personen | Schutz vor unbefugter Offenlegung |
| Technische und organisatorische Maßnahmen (TOMs) | Umsetzung geeigneter TOMs gemäß Art. 32 DSGVO | Reduktion von Sicherheitsrisiken |
| Unterauftragnehmer | Genehmigungsvorbehalt des Verantwortlichen; Weitergabe der AVV-Pflichten | Sicherung der gesamten Verarbeitungskette |
| Unterstützungspflichten | Unterstützung bei Betroffenenrechten, DPIAs, Behördenanfragen | Schutz der Rechte betroffener Personen |
| Datenlöschung/-rückgabe | Regelung zur Rückgabe oder Löschung nach Vertragsende | Vermeidung unnötiger Datenspeicherung |
| Auditrechte | Recht auf Überprüfungen und Inspektionen durch den Verantwortlichen | Transparenz und Rechenschaftspflicht |
| Meldung von Datenpannen | Unverzügliche Meldung von Datenschutzverletzungen an den Verantwortlichen | Einhaltung der 72-Stunden-Meldefrist nach Art. 33 DSGVO |
Häufige Fehler bei der AVV-Compliance (und wie sie zu vermeiden sind)
Bei den meisten AVV-Fehlern geht es nicht um komplexe rechtliche Nuancen, sondern um vermeidbare betriebliche Versäumnisse, die kostspielige Bußgelder nach sich ziehen:
Sorgfaltspflicht gegenüber Dienstleistern: Über die Vertragsunterzeichnung hinaus
Ein unterzeichneter AVV legt den Rahmen fest; die Due-Diligence-Prüfung beweist, dass Ihr Dienstleister diesen Rahmen tatsächlich einhalten kann.
Vor der Vertragsunterzeichnung: Erstellen Sie ein vollständiges Inventar aller Auftragsverarbeiter. Bewerten Sie Sicherheitszertifizierungen (ISO 27001, BSI C5-Testat, BSI-Grundschutz), Verschlüsselungsstandards, Kapazitäten zur Reaktion auf Vorfälle und das Management von Unterauftragnehmern.
Laufende Überwachung: Führen Sie jährliche Datenschutz-Folgenabschätzungen (DPIA) durch, wo erforderlich. Fordern Sie aktualisierte Sicherheitsunterlagen an, überprüfen Sie, ob AVVs mit Unterauftragnehmern noch aktuell sind, und dokumentieren Sie alle Vorfälle. Nutzen Sie Auditrechte bei Dienstleistern mit hohem Risiko, die große Mengen personenbezogener Daten verarbeiten.
Reaktion auf Datenpannen: Definieren Sie Eskalationspfade und Kommunikationszeiträume im Voraus. Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO lässt keinen Spielraum für Ad-hoc-Krisenrunden. Wenn ein Auftragsverarbeiter eine potenzielle Datenpanne meldet, brauchen Sie ein erprobtes Regelwerk.
Wie man einen AVV aushandelt und umsetzt
Fünf kritische Verhandlungspunkte:
Wesentliche Aspekte der Umsetzung: Pflegen Sie genehmigte AVV-Vorlagen für verschiedene Dienstleistungsarten. Verwenden Sie ein Vertragsmanagement-System, um Ausführungsdaten, Verlängerungen und Dienstleisterbeziehungen zu verfolgen. Integrieren Sie die AVV-Prüfung in Beschaffungsprozesse: kein Zugriff auf personenbezogene Daten ohne unterzeichneten AVV. Schulen Sie Mitarbeitende in Recht, Einkauf, IT und Betrieb, wann AVV-Anforderungen ausgelöst werden.
Jährliche Überprüfung: Aktualisieren Sie AVVs, wenn sich Dienstleistungen ändern, neue Unterauftragnehmer hinzukommen, Datenübertragungen in Drittstaaten entstehen oder sich die Rechtslage weiterentwickelt. Fordern Sie aktualisierte Sicherheitsdokumentation (ISO-27001-Zertifikate, BSI C5-Testate, Penetrationstestergebnisse) an, um die laufende Compliance zu überprüfen.
Die manuelle Verwaltung von AVVs wird mit wachsendem Dienstleister-Ökosystem zunehmend komplex. Hier können Tools zur Verwaltung des Vertragslebenszyklus entscheidend helfen.
Warum ein Vertragsmanagement-Tool für die AVV-Compliance wichtig ist
Die manuelle AVV-Verfolgung birgt erhebliche Compliance-Risiken. Tabellenkalkulationen verpassen Verlängerungsdaten. E-Mail-Ketten verlieren die Versionskontrolle. Die meisten AVV-Verstöße sind nicht vorsätzlich, sondern das Ergebnis organisatorischer Lücken.
Was Vertragsmanagement-Software löst:
Ein zentrales AVV-Repository verhindert die aufwändige Dokumentensuche, wenn Datenschutzbehörden Nachweise anfordern. Die automatische Fristenverfolgung erkennt Verlängerungsdaten und Meldefristen bei Datenpannen, bevor sie zu Verstößen werden. Die Workflow-Automatisierung verhindert den Zugriff auf personenbezogene Daten ohne ausgeführten AVV. Vollständige Prüfpfade dokumentieren jede Vertragsversion, Genehmigung und Unterschrift mit Zeitstempel. Die Nachverfolgung von Unterauftragnehmern zeigt automatisch fehlende nachgelagerte AVVs an.
DiliTrusts Contract Lifecycle Management zentralisiert die Überwachung von Dienstleisterverträgen, automatisiert Compliance-Workflows und liefert die von Datenschutzbehörden erwartete Prüfdokumentation. Das reduziert das Durchsetzungsrisiko und entlastet Compliance-Teams von der manuellen Nachverfolgung.g befreit.
Hinweis für Unternehmen mit US-amerikanischen Geschäftspartnern: Wer mit US-Gesundheitsdienstleistern zusammenarbeitet, die dem HIPAA unterliegen, muss zusätzlich Business Associate Agreements (BAAs) abschließen. BAAs und AVVs ergänzen sich in diesem Fall, ersetzen sich jedoch nicht gegenseitig.

