AVV-Vorlage 2026 (Auftragsverarbeitungsvertrag nach DSGVO Art. 28)

Ein AVV nach Art. 28 DSGVO ist Pflicht, wenn Sie personenbezogene Daten im Auftrag eines anderen verarbeiten oder verarbeiten lassen:

- **Als Auftragsverarbeiter:** IT-Dienstleister, Agenturen, Cloud-Services, Lohnbuchhalter, Callcenter - **Als Verantwortlicher:** Bei Nutzung von Google Workspace, Microsoft 365, Mailchimp, Hosting-Anbietern, CRM-Systemen

Ohne AVV ist die Datenverarbeitung rechtswidrig - es drohen Bussgelder bis 2% des Jahresumsatzes (DSGVO Art. 83).

Klassische Konstellationen: - Sie nutzen Hosting -> AVV mit Hoster abschließen - Sie betreiben Newsletter -> AVV mit Brevo/Mailchimp - Sie betreuen Kunden-Websites -> AVV mit Kunden abschließen

Nach Art. 28 (3) DSGVO muss ein AVV folgende Punkte regeln:

- Gegenstand und Dauer der Verarbeitung - Art und Zweck der Verarbeitung - Art der personenbezogenen Daten - Kategorien betroffener Personen - Pflichten und Rechte des Verantwortlichen - Weisungsgebundenheit des Auftragsverarbeiters - Vertraulichkeitsverpflichtung der Mitarbeiter - Technisch-organisatorische Maßnahmen (TOM) - Subunternehmer-Regelungen - Unterstützung bei Betroffenenrechten - Meldung von Datenpannen - Rückgabe/Loeschung nach Vertragsende - Audit-Rechte des Verantwortlichen

Fehlende Punkte können den Vertrag unwirksam machen und Pflicht-Verstöße auslösen.

Der TOM-Katalog ist ein Anhang zum AVV und beschreibt, wie Daten geschützt werden:

**Technische Maßnahmen:** - Zutrittskontrolle (Zugang zu Serverraeumen, Gebaeude) - Zugangskontrolle (Passwoerter, 2FA, Biometrie) - Zugriffskontrolle (Rollen, Rechte-Management) - Weitergabekontrolle (VPN, TLS, verschlüsselte E-Mails) - Eingabekontrolle (Audit-Logs) - Verfügbarkeitskontrolle (Backups, Redundanz)

**Organisatorische Maßnahmen:** - Mitarbeiter-Schulungen (mind. jährlich) - Incident-Response-Plan - Datenschutz-Richtlinien - Regelmäßige Reviews (jährlich)

Ein guter AVV enthält einen konkreten TOM-Katalog, keinen pauschalen Hinweis auf "branchenueblich".

Ein oft unterschätzter Teil des AVV ist der Umgang mit Subunternehmern (weiteren Auftragsverarbeitern) und Datenübermittlungen außerhalb der EU:

- **Subunternehmer transparent machen** - der Auftragsverarbeiter muss offenlegen, welche weiteren Dienstleister er einsetzt (z.B. Cloud-Hoster, CDN, Support-Tools) - **Genehmigung regeln** - der AVV legt fest, ob neue Subunternehmer einzeln genehmigt werden müssen oder generell zugelassen sind (mit Widerspruchsrecht) - **Gleiches Schutzniveau weitergeben** - jeder Subunternehmer muss vertraglich auf dieselben Pflichten verpflichtet werden - **Drittland-Transfer absichern** - bei Verarbeitung außerhalb der EU braucht es eine Rechtsgrundlage: Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder Data Privacy Framework bei zertifizierten US-Anbietern

Prüfen Sie bei jedem Dienstleister, wo die Daten tatsächlich gespeichert und verarbeitet werden. Gerade bei großen Cloud-Plattformen ist der Datenstandort nicht immer auf den ersten Blick erkennbar und sollte vertraglich festgehalten werden.