Was passiert ohne AVV bei einer Datenpanne?

Bei einer Datenpanne im Verantwortungsbereich des Dienstleisters haften Sie als Auftraggeber mit. Ohne AVV gibt es keine vertragliche Grundlage für Regress beim Dienstleister. Zusätzlich ist die fehlende AVV selbst ein eigenständiger DSGVO-Verstoß mit Bußgeldpotenzial.

Reicht der AVV des Anbieters oder muss ich einen eigenen aufsetzen?

In den meisten Fällen reicht der AVV des Anbieters — vorausgesetzt, er enthält alle Pflichtinhalte nach Art. 28 Abs. 3. Bei großen Anbietern (Microsoft, Google, AWS) ist das üblich. Bei kleineren Dienstleistern lohnt es sich, den AVV durch den DSB prüfen zu lassen.

Wie oft muss ein AVV erneuert werden?

Grundsätzlich gilt der AVV solange wie die Geschäftsbeziehung. Erneuerung ist nötig, wenn der Anbieter sein AVV-Template ändert (üblich alle zwei bis drei Jahre), wenn neue Subunternehmer hinzukommen oder wenn sich die Datenverarbeitung wesentlich ändert.

Ratgeber · 7 Min Lesezeit

AVV-Vertrag — Auftragsverarbeitung nach Art. 28 DSGVO.

Sobald ein Dienstleister für Sie personenbezogene Daten verarbeitet — Cloud-Speicher, Newsletter-Tool, CRM, Webhoster — brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Ohne AVV haften Sie für jeden Fehler des Dienstleisters. Mit AVV ist die Verantwortung klar geregelt.

Was ist ein AVV?

Der Auftragsverarbeitungsvertrag regelt das Verhältnis zwischen Ihnen (Verantwortlicher) und einem Dienstleister (Auftragsverarbeiter), wenn dieser personenbezogene Daten in Ihrem Auftrag verarbeitet. Rechtsgrundlage: Art. 28 DSGVO.

Wichtiger Punkt: Auftragsverarbeitung liegt nur vor, wenn der Dienstleister keine eigene Entscheidungsmacht über die Daten hat. Beispiel: Ihr Newsletter-Tool verschickt E-Mails nach Ihren Regeln — Auftragsverarbeitung. Ihre Steuerberatung dagegen entscheidet selbst, welche Daten sie für Ihre Buchhaltung braucht — keine Auftragsverarbeitung, sondern eigene Verantwortlichkeit, also kein AVV nötig.

Wann brauche ich einen AVV?

In folgenden Fällen praktisch immer:

Cloud-Speicher — Dropbox, Google Drive, OneDrive, AWS S3
E-Mail-Hosting — Microsoft 365, Google Workspace, IONOS
Newsletter-Tools — Mailchimp, Brevo, CleverReach, ActiveCampaign
CRM-Systeme — HubSpot, Salesforce, Pipedrive
Personalsoftware — Personio, Sage HR, Datev
Buchhaltung in der Cloud — Lexoffice, sevDesk, Datev
Webhoster — IONOS, Strato, Hetzner, AWS
Website-Tracking — Google Analytics, Matomo Cloud, HubSpot Tracking
Callcenter / Externes Telefon-Support
IT-Dienstleister mit Fernzugriff auf Ihre Systeme

Nicht nötig ist ein AVV bei:

Steuerberatung, Wirtschaftsprüfer, Rechtsanwalt (eigene Verantwortlichkeit)
Reinigungsdienst (auch wenn sie ins Büro kommen)
Postdienste und Paketzusteller
Banken und Versicherungen

Zehn Pflicht-Inhalte nach Art. 28 Abs. 3 DSGVO

Gegenstand und Dauer der Verarbeitung — was wird verarbeitet, wie lange?
Art und Zweck der Verarbeitung — wofür werden die Daten benötigt?
Datenkategorien — welche Arten von Daten sind betroffen (Kontaktdaten, Vertragsdaten, Zahlungsdaten)?
Betroffene Personengruppen — Kunden, Mitarbeitende, Bewerber, Lieferanten?
Weisungsgebundenheit — der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung verarbeiten.
Verschwiegenheitspflicht der Beschäftigten des Auftragsverarbeiters.
Technische und organisatorische Maßnahmen (TOMs) — wie sichert der Dienstleister die Daten? Verschlüsselung, Zugriffskontrollen, Backup-Strategie?
Subunternehmer-Regelung — darf der Dienstleister weitere Subunternehmer einbinden? Wenn ja, mit welcher Genehmigung?
Unterstützung bei Anfragen Betroffener und bei Datenpannen.
Datenherausgabe und Datenlöschung nach Vertragsende.

AVV mit großen Cloud-Anbietern (USA-Problem)

Microsoft, Google, AWS, HubSpot — alle haben Hauptsitz in den USA. Hier kommt zusätzlich zum AVV die Frage des internationalen Datentransfers ins Spiel. Nach dem Schrems-II-Urteil (2020) und dem EU-US Data Privacy Framework (2023) gilt:

Die Anbieter müssen Standardvertragsklauseln (SCC) nutzen oder dem Data Privacy Framework angeschlossen sein.
Sie als Auftraggeber müssen eine Risikobewertung (Transfer Impact Assessment) durchführen, ob die Schutzmaßnahmen ausreichen.
Besonders sensible Daten (Gesundheit, Bonität) sollten möglichst in EU-Rechenzentren bleiben — alle großen Anbieter bieten EU-Hosting an.

AVV-Muster für KMU

Im Setup-Paket liefern wir ein einsatzfähiges AVV-Muster, das alle zehn Pflicht-Inhalte abdeckt — vor allem für die Situation, dass Sie Daten für einen Kunden verarbeiten (z. B. als IT-Dienstleister, als Agentur, als Personalvermittler). Das Muster ist auf den deutschen KMU-Kontext zugeschnitten — kein 30-seitiger Konzern-AVV.

Bei laufendem Abo prüfen wir auf Anfrage die AVVs Ihrer Dienstleister — innerhalb von drei Werktagen geben wir Freigabe oder benennen die nötigen Ergänzungen.

Häufige Fehler im AVV-Management

AVV einmal unterschrieben, dann vergessen. Der AVV muss aktuell bleiben — wenn neue Subunternehmer hinzukommen oder sich der Verarbeitungszweck ändert, muss der AVV nachgezogen werden.
AVV von Mitarbeitenden eigenmächtig akzeptiert. AVVs sollten zentral durch IT- oder Datenschutz-Verantwortung freigegeben werden — nicht jeder Marketing-Manager, der ein neues Tool ausprobiert.
Kein Verzeichnis der eingesetzten Dienstleister. Sie sollten jederzeit wissen, mit wem Sie AVVs geschlossen haben. Wir empfehlen eine zentrale AVV-Übersicht — typischerweise im Verarbeitungsverzeichnis integriert.
Schatten-IT. Mitarbeiter nutzen Cloud-Tools ohne Wissen der Geschäftsleitung. Wer keinen Überblick über die eingesetzten Tools hat, hat auch keinen Überblick über die nötigen AVVs.

Wer alle Tools systematisch im Verarbeitungsverzeichnis erfasst, hat die AVV-Frage automatisch im Blick. Anleitung im Ratgeber Verarbeitungsverzeichnis nach Art. 30.

Häufige Fragen

Ja. Google Workspace verarbeitet personenbezogene Daten für Sie (E-Mails Ihrer Mitarbeitenden, Dokumente, Kalendereinträge). Google stellt einen Standard-AVV bereit — über die Admin-Konsole abrufbar. Den müssen Sie aktiv akzeptieren, nicht annehmen, dass er automatisch gilt.