Brauchen Sie einen AV-Vertrag? Wann ist er Pflicht und was genau ist eigentlich Auftragsverarbeitung – das fragen unsere Mandanten oft, denn vielfach werden Auftragsverarbeitungsverträge gefordert, selbst wenn die vereinbarte Leistung keine Datenverarbeitung im Auftrag beinhaltet, sondern nur eine intellektuelle Leistung. In diesem Praxisbeitrag erklärt Rechtsanwalt Dr. Maisch den Auftragsverarbeitungsvertrag in einfacher Sprache vielen Beispielen, einem kostenlosen Muster zum Download (siehe unten) zum Auftragsverarbeitungsvertrag und einem FAQ-Teil.
Fast jedes Unternehmen nutzt heute externe Dienstleister. Ein Cloud-Anbieter speichert Ihre Daten. Eine KI soll angebunden werden, um per KI-Agent selbstständig Gmail zu bedienen. Ein Lohnbüro rechnet Ihre Gehälter ab. In vielen dieser Fälle verlangt die DSGVO einen schriftlichen Vertrag. Diesen Vertrag nennt man Auftragsverarbeitungsvertrag oder kurz AV-Vertrag (englisch: Data Processing Agreement, DPA).
Fehlt dieser Vertrag, drohen Bußgelder. Ist er fehlerhaft, haften Sie unter Umständen für die Fehler Ihres Dienstleisters. Viele Unternehmen unterschätzen das Thema. Genau hier setzt dieser Beitrag an.
Zur Person: Dr. Marc Maisch ist Rechtsanwalt und Fachanwalt für IT-Recht in München. Er berät seit vielen Jahren Startups, Tech-Unternehmen und Sportverbände im Datenschutzrecht. Er hat eine Vielzahl von AV-Verträgen, AVV-Vorlagen und DPA erstellt, geprüft und nachverhandelt. Dieser Ratgeber bündelt diese Praxiserfahrung für Laien verständlich.
Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?
Ein AV-Vertrag ist ein Vertrag zwischen zwei Parteien, bei dem die eine Partei der anderen personenbezogene Daten schickt, die verarbeitet werden sollen.
- Die eine Seite ist der Verantwortliche. Das sind Sie als Unternehmen. Sie entscheiden, warum und wozu Daten verarbeitet werden.
- Die andere Seite ist der Auftragsverarbeiter. Das ist Ihr Dienstleister. Er verarbeitet die Daten nur in Ihrem Auftrag und nach Ihren Weisungen.
Der Auftragsverarbeiter handelt also nicht eigenmächtig. Er ist an Ihre Anweisungen gebunden. Die Daten „gehören“ weiterhin Ihnen als Verantwortlichem. Man spricht von einem Innenverhältnis zwischen Ihnen und dem Dienstleister. Die Datenverarbeitung des Dienstleisters wird Ihnen zugerechnet. Man spricht in der Literatur auch vom Auftragsverarbeiter als „verlängerter Werkbank“ des Verantwortlichen. In der Praxis beschränken sich diese Anweisungen allerdings auf die Regelungen des AV-Vertrags, gerade wenn der Auftragsverarbeiter ein großes Unternehmen wie OpenAI, Microsoft oder Hetzner ist.
Wichtig: Der Auftragsverarbeiter ist kein „Dritter“. Sie brauchen für die Weitergabe der Daten an ihn in der Regel keine zusätzliche Rechtsgrundlage. Es genügt die Rechtsgrundlage, auf die Sie Ihre eigene Verarbeitung stützen. Hier liegt der entscheidende Unterschied: Wenn man keine Konstellation der Auftragsverarbeitung vorliegen hat, muss der Dritte selbst prüfen, ob er die rechtlichen Voraussetzungen für die Zulässigkeit der Datenverarbeitung erfüllt. Daraus ergibt sich mitunter eine „Flucht in die Auftragsverarbeitung“ sogar in Fällen, in denen eine solche faktisch nicht vorliegt. Derartige Grenzfälle gibt es oft bei Social Media Agenturen.
Die zentrale Vorschrift ist Art. 28 DSGVO. Sie schreibt vor, was in einem AV-Vertrag stehen muss.
Wann ist ein Vertrag zur Auftragsverarbeitung erforderlich?
Ein AV-Vertrag ist in der Regel dann nötig, wenn drei Punkte zusammenkommen:
- Ein externer Dienstleister verarbeitet Daten für Sie.
- Es handelt sich um personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Kundendaten, Mitarbeiterdaten).
- Der Dienstleister handelt weisungsgebunden und trifft keine eigenen Entscheidungen über den Zweck der Verarbeitung.
Der Dienstleister darf bei technischen Fragen durchaus eigene Spielräume haben. Er darf zum Beispiel selbst entscheiden, welche Server er nutzt. Das ändert nichts. Entscheidend ist: Über das „Wozu“ entscheiden Sie.
Beispiele, bei denen ein AV-Vertrag erforderlich ist
- Ihr KI-Anbieter verarbeitet Ihre personenbezogenen Kundendaten (Achtung ! Berufsgeheimnisträger müssen hier besonders aufpassen, um eine rechtssichere KI-Lösung zu finden)
- Ihr E-Mail-Marketing-Tool versendet Newsletter an Ihre Abonnenten.
- Ein Rechenzentrum erledigt Ihre Lohn- und Gehaltsabrechnung.
- Ein Callcenter bearbeitet Ihre Kundenanfragen, ohne eigene Entscheidungen zu treffen.
- Ein Lettershop druckt und versendet Ihre Werbebriefe.
- Eine Agentur betreut das Kontaktformular auf Ihrer Website.
- Ein Dienstleister scannt Ihre Papierdokumente und digitalisiert sie.
- Ein Anbieter übernimmt Ihre Backups oder Ihre Archivierung.
- Ein Dienstleister entsorgt Ihre Datenträger (Festplatten, Akten).
- Ein IT-Dienstleister macht Fernwartung und kann dabei auf personenbezogene Daten zugreifen.
Beispiele, bei denen Sie KEINEN AV-Vertrag brauchen
Hier nimmt der Dienstleister eine eigene Fachleistung wahr. Er ist selbst verantwortlich. Sie brauchen für die Datenweitergabe eine eigene Rechtsgrundlage nach Art. 6 DSGVO, aber keinen AV-Vertrag:
- Steuerberater, die Ihre Buchhaltung prüfen.
- Rechtsanwälte, die Sie vertreten.
- Wirtschaftsprüfer und externe Betriebsärzte.
- Ein Inkassobüro, wenn die Forderung übertragen wird.
- Eine Bank, die für Sie eine Überweisung ausführt.
- Die Post oder ein Paketdienst, der Ihre Briefe transportiert.
- Ein Fotograf oder eine Filmcrew, die Aufnahmen von Personen machen
Diese Berufsgruppen handeln eigenverantwortlich und unterliegen oft eigenen Berufspflichten. Sie sind keine Auftragsverarbeiter.
Praxistipp aus der Beratung
Die Grenze ist nicht immer offensichtlich. Ein Steuerberater ist kein Auftragsverarbeiter. Ein reines Lohnbüro-Rechenzentrum aber sehr wohl. Im Zweifel sollten Sie die konkrete Tätigkeit prüfen lassen.
Sonderfall: gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Manchmal liegt weder eine Auftragsverarbeitung noch eine reine Fachleistung vor. Wenn mehrere Stellen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, sind sie gemeinsam Verantwortliche. Dann brauchen Sie keinen AV-Vertrag, sondern eine Vereinbarung über gemeinsame Verantwortlichkeit (Joint Controllership Agreement).
Beispiele: gemeinsame klinische Studien mehrerer Beteiligter oder die gemeinsame Verwaltung von Stammdaten durch mehrere Konzernunternehmen.
Schnelltest: Brauche ich einen AV-Vertrag?
Beantworten Sie diese fünf Fragen. Sie kommen in wenigen Minuten zu einem ersten Ergebnis.
Frage 1: Übergebe ich personenbezogene Daten an einen externen Dienstleister oder kann er darauf zugreifen?
→ Wenn nein: Kein AV-Vertrag nötig. Test beendet.
→ Wenn ja: weiter zu Frage 2.
Frage 2: Verarbeitet der Dienstleister die Daten nur für mich und nach meinen Vorgaben?
→ Wenn nein (er entscheidet selbst über den Zweck): Es liegt wahrscheinlich keine Auftragsverarbeitung vor. Prüfen Sie eigene Verantwortlichkeit oder gemeinsame Verantwortlichkeit.
→ Wenn ja: weiter zu Frage 3.
Frage 3: Ist der Dienstleister ein Berufsgeheimnisträger mit eigener Fachaufgabe (z. B. Steuerberater, Anwalt, Bank, Post)?
→ Wenn ja: In der Regel kein AV-Vertrag.
→ Wenn nein: weiter zu Frage 4.
Frage 4: Entscheiden mehrere Stellen gemeinsam über Zweck und Mittel?
→ Wenn ja: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO), kein AV-Vertrag, sondern eine andere Vereinbarung.
→ Wenn nein: weiter zu Frage 5.
Frage 5: Bleibt die Entscheidung über das „Wozu“ bei mir, und der Dienstleister führt nur aus?
→ Wenn ja: Sie brauchen einen AV-Vertrag nach Art. 28 DSGVO.
Hinweis
Der Schnelltest ersetzt keine rechtliche Prüfung im Einzelfall. Er hilft Ihnen aber, das Thema schnell richtig einzuordnen.
Übersicht: Häufig übersehene Auftragsverarbeitungen
Viele Auftragsverarbeitungen fallen im Alltag kaum auf. Genau diese werden oft vergessen. Prüfen Sie diese Liste:
- Cloud-Speicher und Hosting. Auch wenn der Anbieter die Daten „nur speichert“, ist das eine Auftragsverarbeitung.
- E-Mail-Postfächer und Datendienste für Webseiten. Wer Ihre Kontaktformulare oder Nutzeranfragen betreut, verarbeitet Daten in Ihrem Auftrag.
- Newsletter- und Marketing-Tools. Diese verarbeiten oft große Mengen an Adressdaten.
- CRM-Systeme und Buchungstools. Hier liegen Kundendaten zentral gebündelt.
- Fernwartung und IT-Support. Sobald der Dienstleister auf personenbezogene Daten zugreifen kann, reicht das schon aus. Es kommt nicht darauf an, ob er es tatsächlich tut.
- Backup- und Archivierungsdienste.
- Datenträgervernichtung und Aktenentsorgung.
- Scan- und Digitalisierungsdienste.
- Shared Services im Konzern, etwa zentrale Reisekostenabrechnung (sofern keine gemeinsame Verantwortlichkeit vorliegt).
- Tracking- und Analyse-Tools auf Ihrer Website.
Wichtige Abgrenzung bei der Wartung
Nicht jede Wartung ist eine Auftragsverarbeitung.
- IT-Wartung mit Datenzugriff (z. B. Fehleranalyse in Ihren Systemen): Auftragsverarbeitung. AV-Vertrag nötig.
- Rein technische Wartung der Infrastruktur (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung im Rechenzentrum): keine Auftragsverarbeitung. Hier gibt es keinen Zugriff auf personenbezogene Daten.
Alle Pflichtangaben nach Art. 28 DSGVO verständlich erklärt
Art. 28 DSGVO schreibt einen festen Inhalt vor. Ein AV-Vertrag muss diese Punkte regeln. Fehlt ein Punkt, ist der Vertrag fehlerhaft.
- Prüfung des Dienstleisters vor Beauftragung. Sie dürfen nur Dienstleister auswählen, die „hinreichende Garantien“ bieten. Der Dienstleister muss geeignete technische und organisatorische Maßnahmen (kurz: TOM) für den Datenschutz nachweisen. Hilfreich sind Zertifizierungen (Art. 42 DSGVO) oder genehmigte Verhaltensregeln (Art. 40 DSGVO).
- Gegenstand und Dauer der Verarbeitung. Was soll gemacht werden, und wie lange?
- Art und Zweck der Verarbeitung. Wozu werden die Daten verarbeitet?
- Art der personenbezogenen Daten. Welche Daten sind betroffen (z. B. Kontaktdaten, Vertragsdaten)?
- Kategorien betroffener Personen. Wessen Daten sind betroffen (z. B. Kunden, Mitarbeiter, Newsletter-Abonnenten)?
- Weisungsbindung. Der Dienstleister verarbeitet die Daten nur auf Ihre dokumentierte Weisung.
- Vertraulichkeit. Die Mitarbeiter des Dienstleisters müssen zur Vertraulichkeit verpflichtet sein.
- Technische und organisatorische Maßnahmen (Art. 32 DSGVO). Der Vertrag muss die Datensicherheit regeln. Es ist sinnvoll, die mindestens erforderlichen Maßnahmen konkret zu beschreiben.
- Einsatz von Subunternehmern. Der Vertrag muss die Bedingungen für weitere Auftragsverarbeiter regeln.
- Unterstützung bei Betroffenenrechten. Der Dienstleister hilft Ihnen, Auskunfts-, Lösch- und andere Anfragen zu erfüllen.
- Unterstützung bei Pflichten der DSGVO. Dazu gehören die Meldung von Datenpannen, die Datenschutz-Folgenabschätzung und die Datensicherheit.
- Löschung oder Rückgabe der Daten am Ende. Nach Ende des Auftrags muss der Dienstleister die Daten zurückgeben oder löschen.
- Nachweise und Kontrollen. Der Dienstleister stellt Ihnen alle Informationen zur Verfügung, die Sie zur Kontrolle brauchen. Er ermöglicht Überprüfungen (Audits).
Diese Pflichten gelten nicht nur „auf dem Papier“. Sie sind die Grundlage Ihrer eigenen Nachweispflicht (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Praxistipps zum Weisungsrecht und zum Einsatz von Subunternehmern
Das Weisungsrecht
Der Auftragsverarbeiter ist weisungsgebunden (Art. 29 DSGVO). Das ist der Kern der ganzen Konstruktion.
- Halten Sie Weisungen in Textform fest. Dokumentation schützt Sie im Streitfall.
- Legen Sie fest, wer bei Ihnen Weisungen erteilen darf. Benennen Sie Ansprechpartner auf beiden Seiten.
- Achtung auf den Missbrauchsfall: Verarbeitet der Dienstleister die Daten für eigene Zwecke oder Zwecke Dritter, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen. Dann haftet er voll, mit allen Pflichten. Für Sie ist das ein wichtiges Argument in Verhandlungen.
Beispiel: Ein Newsletter-Tool nutzt die E-Mail-Adressen Ihrer Kunden heimlich für eigene Werbung. Damit hat es Ihre Weisung verletzt. Es gilt insoweit als eigener Verantwortlicher und haftet selbst.
Praxistipp: Weisungen können auch in Form von E-Mails erteilt werden oder sind im Hauptvertrag oder Statement of Work (SOW) enthalten.
Subunternehmer (Sub-Auftragsverarbeiter)
Ihr Auftragnehmer will oft selbst weitere Dienstleister einsetzen. Beispiel: Ein Software-Anbieter nutzt einen Cloud-Hoster im Hintergrund. Das ist ein Subunternehmer. Wie streng die Einbindung der Subunternehmer und v.a. die Haftung für deren Pflichtverletzung im AV-Vertrag gestaltet wird, kann zum Deal Breaker werden. Hier braucht es erfahrene Verhandler, die diese Klauseln so austarieren, dass die Interessen beider Parteien zum Tragen kommen.
Die Regeln (Art. 28 Abs. 2 und 4 DSGVO):
- Der Einsatz von Subunternehmern braucht Ihre vorherige Genehmigung. Diese kann allgemein oder im Einzelfall erteilt werden.
- Bei einer allgemeinen Genehmigung muss der Dienstleister Sie über geplante Änderungen informieren. Sie dürfen Einspruch erheben. Diese Gestaltung müssen Sie hinnehmen, wenn der Auftragnehmer mehr Verhandlungsmacht hat als Sie oder keine individuellen Verträge akzeptiert (z.B: beim Einsatz von Microsoft M365, Microsoft Azure oder das Hosting bei Hetzner).
- Kommt es nach Ihrem Einspruch zu keiner Einigung, müssen Sie die Unterbeauftragung per Weisung unterbinden oder die Zusammenarbeit beenden. Auftragnehmer regeln diesen Fall oft über ein Sonderkündigungsrecht.
- Der Subunternehmer muss dieselben Datenschutzpflichten übernehmen wie Ihr direkter Dienstleister. Die Pflichten werden also durchgereicht. Das kann in der Praxis sehr schwierig werden.
Praxistipp
Lassen Sie sich eine aktuelle Liste der Subunternehmer geben. Vereinbaren Sie eine angemessene Vorankündigungsfrist für Änderungen. So behalten Sie die Kontrolle über die gesamte Kette.
Häufige Fehler bei AV-Verträgen und wie Sie diese vermeiden
In der Beratungspraxis sehe ich immer wieder dieselben Fehler. Diese Liste hilft Ihnen, sie zu vermeiden.
- Fehler 1: Gar kein AV-Vertrag. Viele Unternehmen nutzen Tools, ohne den AV-Vertrag abzuschließen. Oft liegt das Muster des Anbieters bereit und muss nur aktiviert werden. → Lösung: Prüfen Sie jeden Dienstleister mit dem Schnelltest oben.
- Fehler 2: Den AV-Vertrag ungelesen unterschreiben. Manche Muster der Anbieter benachteiligen den Kunden. Sie verschieben Haftung und Pflichten. → Lösung: Lesen und prüfen, nicht blind unterschreiben.
- Fehler 3: Subunternehmer werden vergessen. Der AV-Vertrag regelt die Subunternehmer nicht oder nur unklar. → Lösung: Liste anfordern, Genehmigung und Einspruchsrecht klar regeln.
- Fehler 4: Keine konkreten TOM. Im Vertrag steht nur „angemessene Maßnahmen“. Das reicht nicht. → Lösung: Lassen Sie die konkreten technischen und organisatorischen Maßnahmen anhängen (Art. 32 DSGVO).
- Fehler 5: Drittlandtransfer übersehen. Der Dienstleister sitzt in den USA oder nutzt US-Subunternehmer. Das wird nicht geregelt. → Lösung: Transfergrundlage prüfen.
- Fehler 6: AV-Vertrag wird nie aktualisiert. Tools, Subunternehmer und Datenflüsse ändern sich. Der Vertrag bleibt alt. → Lösung: Regelmäßig prüfen und anpassen.
- Fehler 7: Dienstleister fehlt im Verarbeitungsverzeichnis. Auftragsverarbeiter sind Empfänger (Art. 4 Nr. 9 DSGVO). Sie müssen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) stehen. → Lösung: Verzeichnis pflegen.
Datentransfer in Drittstaaten: Was bei den USA und nach Schrems II zu beachten ist
Viele Dienstleister sitzen außerhalb der EU oder des EWR. Oder sie nutzen Subunternehmer in den USA. Dann reicht der AV-Vertrag allein nicht aus. Sie brauchen zusätzlich eine Transfergrundlage nach Kapitel V der DSGVO (Art. 44 ff.).
Die wichtigsten Transfergrundlagen
- Angemessenheitsbeschluss (Art. 45 DSGVO). Die EU-Kommission bescheinigt einem Land ein angemessenes Datenschutzniveau. Dann ist der Transfer einfach möglich.
- Standardvertragsklauseln (SCC, Art. 46 DSGVO). Vorformulierte Klauseln der EU-Kommission. Sie sind das wichtigste Instrument für Länder ohne Angemessenheitsbeschluss.
- Ausnahmen (Art. 49 DSGVO). Nur für eng begrenzte Einzelfälle, etwa ausdrückliche Einwilligung.
Was ist Schrems II?
Mit dem Urteil Schrems II (EuGH, 16. Juni 2020, C-311/18) hat der Europäische Gerichtshof das damalige EU-US Privacy Shield für ungültig erklärt. Der Grund: US-Behörden konnten zu weitreichend auf Daten zugreifen. Betroffene EU-Bürger hatten keinen ausreichenden Rechtsschutz.
Wichtige Folge: Die Standardvertragsklauseln blieben gültig. Aber Sie dürfen sich nicht mehr blind auf sie verlassen. Sie müssen im Einzelfall prüfen, ob im Zielland wirklich ein gleichwertiger Schutz besteht. Reicht der Schutz nicht aus, müssen Sie zusätzliche Schutzmaßnahmen ergreifen (z. B. Verschlüsselung).
Was ist ein TIA (Transfer Impact Assessment)?
Ein TIA ist eine Risikoabschätzung für den Datentransfer. Auf Deutsch: Transfer-Folgenabschätzung. Sie ist die Folge aus Schrems II.
Im TIA prüfen Sie diese Punkte:
- Welche Daten werden in welches Land übertragen?
- Welche Transfergrundlage nutzen Sie (z. B. SCC)?
- Wie ist die Rechtslage im Zielland? Können dortige Behörden auf die Daten zugreifen?
- Bietet die Rechtslage einen Schutz, der dem EU-Niveau im Wesentlichen entspricht?
- Welche zusätzlichen Maßnahmen sichern die Daten ab (z. B. starke Verschlüsselung, Pseudonymisierung, Datenminimierung)?
Das Ergebnis halten Sie schriftlich fest. Das TIA ist Teil Ihrer Rechenschaftspflicht.
Merksatz
SCC ohne TIA reicht nach Schrems II nicht mehr. Wer Daten auf SCC stützt, muss zusätzlich ein TIA durchführen und dokumentieren.
Der aktuelle Stand bei US-Transfers: das EU-US Data Privacy Framework (DPF)
Seit dem 10. Juli 2023 gibt es wieder einen Angemessenheitsbeschluss für die USA. Er heißt EU-US Data Privacy Framework (DPF).
So funktioniert es in der Praxis:
- Das DPF gilt nur für US-Unternehmen, die unter dem DPF zertifiziert sind. Sie können die aktive Zertifizierung auf der offiziellen Liste des US-Handelsministeriums prüfen.
- Ist Ihr US-Dienstleister aktiv zertifiziert und passt der Geltungsbereich, ist der Transfer ohne SCC und ohne TIA möglich. Der Transfer ist dann ähnlich einfach wie innerhalb der EU.
- Ist Ihr US-Dienstleister nicht zertifiziert, brauchen Sie weiterhin SCC plus TIA und gegebenenfalls zusätzliche Schutzmaßnahmen.
Aber Vorsicht – es bleibt ein Restrisiko
Das DPF ist rechtlich umstritten. Das Gericht der Europäischen Union (EuG) hat eine Klage gegen das DPF am 3. September 2025 abgewiesen (Rechtssache T-553/23, Latombe). Das DPF bleibt damit gültig. Der Kläger hat aber Rechtsmittel zum EuGH eingelegt (Rechtssache C-703/25 P). Fachleute sprechen bereits von einem möglichen „Schrems III“. Zusätzlich besteht ein politisches Risiko: Das US-Fundament des DPF (Executive Order 14086) hängt von der jeweiligen US-Regierung ab.
Praxisempfehlung aus der Beratung
Setzen Sie auf eine doppelte Absicherung. Stützen Sie den Transfer auf das DPF, halten Sie aber SCC als Rückfalloption bereit. So sind Sie vorbereitet, falls der Angemessenheitsbeschluss erneut kippt. Diese Kombination ist 2026 der pragmatische Standard. Alternativ können Sie auf europäische Anbieter ausweichen.
Auch beim DPF bleiben Ihre allgemeinen Pflichten bestehen: Betroffene transparent informieren, nur erforderliche Daten übermitteln und regelmäßig prüfen, ob Ihr US-Dienstleister noch aktiv zertifiziert ist.
Mustervertrag zur Auftragsverarbeitung (kostenlos)
Hier finden Sie ein kostenloses Muster für einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das Muster deckt die Pflichtinhalte ab. Sie können es als Grundlage nutzen und an Ihren Fall anpassen.
Wichtiger Hinweis
Dieses Muster ist eine allgemeine Vorlage. Es ersetzt keine Rechtsberatung im Einzelfall. Passen Sie es an Ihre konkrete Verarbeitung an. Bei sensiblen Daten, Drittlandtransfers oder besonderen Risiken sollten Sie das Muster anwaltlich prüfen lassen.
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
zwischen
[Name, Anschrift des Verantwortlichen]
– nachfolgend „Verantwortlicher“ –
und
[Name, Anschrift des Auftragsverarbeiters]
– nachfolgend „Auftragsverarbeiter“ –
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
(2) Konkreter Gegenstand der Verarbeitung ist: [z. B. Hosting und Speicherung von Kundendaten / Versand von Newslettern / Lohnabrechnung].
(3) Die Dauer des Vertrages entspricht der Laufzeit des Hauptvertrages vom [Datum]. Der Vertrag endet automatisch mit dem Ende des Hauptvertrages.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: [z. B. Erheben, Speichern, Auslesen, Übermitteln, Löschen].
(2) Zweck der Verarbeitung: [z. B. Bereitstellung der Software / Abwicklung der Bestellungen].
§ 3 Art der Daten und Kategorien betroffener Personen
(1) Folgende Datenarten sind betroffen: [z. B. Name, Anschrift, E-Mail-Adresse, Vertragsdaten, Zahlungsdaten].
(2) Folgende Personengruppen sind betroffen: [z. B. Kunden, Interessenten, Mitarbeiter, Newsletter-Abonnenten].
§ 4 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen erfolgen in Textform oder elektronisch. Mündliche Weisungen werden unverzüglich schriftlich bestätigt.
(3) Weisungsberechtigt auf Seiten des Verantwortlichen sind: [Name, Funktion]. Ansprechpartner beim Auftragsverarbeiter ist: [Name, Funktion].
(4) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit.
§ 5 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen.
(2) Die Maßnahmen sind während der Vertragslaufzeit aufrechtzuerhalten und an den Stand der Technik anzupassen.
§ 7 Einsatz weiterer Auftragsverarbeiter (Subunternehmer)
(1) Der Einsatz weiterer Auftragsverarbeiter bedarf der vorherigen Genehmigung des Verantwortlichen.
(2) Die bei Vertragsschluss eingesetzten Subunternehmer sind in Anlage 2 aufgeführt und gelten als genehmigt.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung. Der Verantwortliche kann der Änderung innerhalb von [z. B. 14 Tagen] widersprechen.
(4) Der Auftragsverarbeiter verpflichtet jeden Subunternehmer auf dieselben Datenschutzpflichten, die in diesem Vertrag vereinbart sind.
§ 8 Unterstützungspflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen (Art. 12 bis 22 DSGVO).
(2) Er unterstützt den Verantwortlichen bei der Datensicherheit, der Meldung von Datenschutzverletzungen und der Datenschutz-Folgenabschätzung (Art. 32 bis 36 DSGVO).
§ 9 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet jede Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).
§ 10 Löschung und Rückgabe
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter alle Daten oder gibt sie nach Wahl des Verantwortlichen zurück. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 11 Nachweise und Kontrollen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
(2) Er ermöglicht Überprüfungen (Audits) durch den Verantwortlichen oder einen beauftragten Prüfer.
§ 12 Drittlandtransfer
(1) Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Maßgebliche Transfergrundlage ist: [z. B. EU-US Data Privacy Framework / Standardvertragsklauseln vom Datum]. Bei Bedarf wird ein Transfer Impact Assessment (TIA) durchgeführt und dokumentiert.
§ 13 Schlussbestimmungen
(1) Änderungen bedürfen der Textform.
(2) Bei Widersprüchen geht dieser Vertrag dem Hauptvertrag in datenschutzrechtlichen Fragen vor.
(3) Es gilt deutsches Recht.
Anlagen:
Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Anlage 2: Liste der genehmigten Subunternehmer
Ort, Datum: ____________________ ___________________________ ___________________________ Verantwortlicher Auftragsverarbeiter
Sie möchten ein geprüftes, auf Ihr Unternehmen zugeschnittenes Muster? Ich erstelle und prüfe AV-Verträge, AVV-Vorlagen und DPA für Startups, Tech-Unternehmen und Sportverbände.Jetzt Kontakt aufnehmen
Was passiert bei Verstößen?
Die DSGVO sieht klare Sanktionen vor.
- Bußgelder. Bei Verstößen gegen Art. 28 DSGVO drohen Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens. Es gilt der höhere Wert.
- Haftung auch des Dienstleisters. Diese Sanktionen können nicht nur Sie treffen, sondern auch den Auftragsverarbeiter selbst.
- Schadensersatz. Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen. Auch der Auftragsverarbeiter kann hier haften.
- Keine Befreiung durch Auslagerung. Die Gesamtverantwortung bleibt bei Ihnen (Art. 5 Abs. 2, Art. 24 DSGVO). Sie können sich durch die Beauftragung eines Dienstleisters nicht aus der Verantwortung „herauskaufen“.
FAQ: Häufige Fragen zum Auftragsverarbeitungsvertrag (AV-Vertrag)
Grundlagen
Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?
Ein AV-Vertrag ist ein Vertrag nach Art. 28 DSGVO. Er regelt, wie ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Der Dienstleister handelt dabei weisungsgebunden.
Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?
Verantwortlicher ist, wer über Zweck und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter ist, wer die Daten nur im Auftrag und nach Weisung verarbeitet.
Was ist das Weisungsrecht?
Das Weisungsrecht bedeutet: Der Dienstleister darf die Daten nur so verarbeiten, wie Sie es anweisen. Verarbeitet er Daten für eigene Zwecke, wird er selbst zum Verantwortlichen und haftet voll.
Wann brauche ich einen AV-Vertrag? Wann ist ein AV-Vertrag Pflicht?
Ein AV-Vertrag ist Pflicht, wenn ein externer Dienstleister personenbezogene Daten für Sie verarbeitet und dabei nur Ihre Vorgaben ausführt. Sie entscheiden über den Zweck, der Dienstleister führt aus.
Brauche ich für meinen Cloud-Anbieter einen AV-Vertrag?
Ja. Auch das reine Speichern von personenbezogenen Daten in der Cloud ist eine Auftragsverarbeitung. Sie brauchen einen AV-Vertrag.
Brauche ich für meinen Steuerberater oder Anwalt einen AV-Vertrag?
Nein. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer und externe Betriebsärzte sind keine Auftragsverarbeiter. Sie handeln eigenverantwortlich. Auch Banken und die Post sind keine Auftragsverarbeiter.
Brauche ich einen AV-Vertrag bei Fernwartung?
Ja, wenn der IT-Dienstleister bei der Fernwartung auf personenbezogene Daten zugreifen kann. Bei rein technischer Wartung der Infrastruktur (Strom, Kühlung) ist kein AV-Vertrag nötig.
Form und Pflichtinhalte: Muss ein AV-Vertrag schriftlich sein?
Der AV-Vertrag muss in schriftlicher oder in elektronischer Form abgefasst sein. Ein elektronisches Format genügt.
Was muss in einem AV-Vertrag stehen?
Pflicht sind unter anderem: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenarten, betroffene Personen, Weisungsbindung, Vertraulichkeit, technische und organisatorische Maßnahmen, Regelungen zu Subunternehmern, Unterstützungspflichten, Löschung oder Rückgabe sowie Nachweise und Kontrollen.
Darf der Dienstleister Subunternehmer einsetzen?
Nur mit Ihrer vorherigen Genehmigung. Bei einer allgemeinen Genehmigung muss er Sie über Änderungen informieren. Sie dürfen widersprechen.
Kosten und Haftungsrisiken
Was kostet ein AV-Vertrag?
Ein einfaches Muster ist oft kostenlos verfügbar, zum Beispiel von Ihrem Anbieter oder in diesem Beitrag. Ein individuell geprüfter AV-Vertrag durch einen Anwalt verursacht Kosten, schützt aber vor Haftungsrisiken.
Was droht ohne AV-Vertrag?
Es drohen Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes. Außerdem können betroffene Personen Schadensersatz verlangen.
Datenübermittlung in Drittländer (USA & Co.)
Was ist Schrems II?
Schrems II ist ein Urteil des EuGH vom 16. Juni 2020. Es hat das EU-US Privacy Shield für ungültig erklärt. Seitdem müssen Unternehmen bei US-Transfers genauer prüfen, ob der Datenschutz ausreicht.
Was ist ein TIA?
TIA steht für Transfer Impact Assessment, also eine Risikoabschätzung für den Datentransfer in ein Drittland. Sie prüfen darin, ob im Zielland ein ausreichender Datenschutz besteht und welche zusätzlichen Maßnahmen nötig sind. Bei Transfers auf Basis von Standardvertragsklauseln ist ein TIA Pflicht.
Darf ich Daten in die USA übermitteln?
Ja, wenn der US-Dienstleister unter dem EU-US Data Privacy Framework aktiv zertifiziert ist. Dann ist kein TIA nötig. Ist der Dienstleister nicht zertifiziert, brauchen Sie Standardvertragsklauseln plus TIA.
Ist das EU-US Data Privacy Framework sicher?
Das DPF ist seit dem 10. Juli 2023 gültig und wurde 2025 gerichtlich bestätigt. Es läuft aber noch ein Rechtsmittel beim EuGH (mögliches „Schrems III“). Empfehlung: das DPF nutzen, aber Standardvertragsklauseln als Rückfalloption bereithalten.