Pflichtinhalte, Muster und Praxisbeispiele für Ihren Auftragsverarbeitungsvertrag. Kostenloser Leitfaden für Cloud-Dienste, SaaS, IT-Dienstleister und KMU.
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist die vertragliche Grundlage, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Er regelt die Rechte und Pflichten beider Parteien — des Verantwortlichen (Auftraggeber) und des Auftragsverarbeiters (Dienstleister).
Ohne gültigen AVV liegt ein Datenschutzverstoß vor, der mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden kann. Die Aufsichtsbehörden prüfen das Vorhandensein und die Qualität von AVVs regelmäßig — besonders bei Cloud- und SaaS-Diensten.
Art. 28 Abs. 3 DSGVO schreibt folgende Mindestinhalte für jeden AVV vor:
| # | Pflichtinhalt | Erläuterung |
|---|---|---|
| 1 | Gegenstand und Dauer der Verarbeitung | Was wird verarbeitet, wie lange läuft der Vertrag? |
| 2 | Art und Zweck der Verarbeitung | z. B. Hosting, E-Mail-Versand, Lohnabrechnung |
| 3 | Art der personenbezogenen Daten | Kontaktdaten, Gesundheitsdaten, Zahlungsdaten |
| 4 | Kategorien betroffener Personen | Kunden, Patienten, Mitarbeiter, Websitebesucher |
| 5 | Weisungsbindung | Verarbeitung nur auf dokumentierte Weisung |
| 6 | Vertraulichkeitspflicht | Alle Mitarbeiter des Dienstleisters sind verpflichtet |
| 7 | Technisch-organisatorische Maßnahmen (TOM) | Verschlüsselung, Zugriffskontrolle, Backup-Konzept |
| 8 | Unterauftragsverarbeiter | Genehmigungspflicht, Liste der Sub-Dienstleister |
| 9 | Unterstützung bei Betroffenenrechten | Auskunft, Löschung, Datenübertragbarkeit |
| 10 | Löschung und Rückgabe nach Vertragsende | Daten löschen oder zurückgeben, Nachweis erbringen |
| 11 | Nachweispflichten und Audits | Auftraggeber darf Kontrollen durchführen |
Ein AVV ist immer dann erforderlich, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Entscheidend ist: Sie bestimmen den Zweck und die Mittel der Verarbeitung, der Dienstleister führt nur aus.
Keine Auftragsverarbeitung liegt vor bei eigenverantwortlicher Tätigkeit — etwa wenn ein Steuerberater seine eigene fachliche Leistung erbringt oder ein Rechtsanwalt eigenständig berät. In diesen Fällen genügt eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) oder eine einfache Vertraulichkeitsvereinbarung.
In diesen Faellen sollte in der Regel geprueft werden, ob ein Auftragsverarbeitungsvertrag erforderlich ist:
Besonders Arztpraxen und Gesundheitseinrichtungen müssen aufgrund der Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) besonders sorgfältige AVVs abschließen.
| Kriterium | Word / PDF | Custodio |
|---|---|---|
| Einstieg | Kostenlos | Ab 49 €/Monat |
| Vorlagen | Generische Muster, manuell anpassen | Branchenspezifische AVV-Bausteine |
| TOM-Anlage | Manuell formulieren | TOM-Katalog mit Auswahlfeldern |
| Unterauftragnehmer | Statische Liste im Anhang | Dynamische Liste mit Änderungshistorie |
| Versionierung | AVV_Hoster_v2_final_korr.docx | Automatisch mit Audit-Trail |
| Fristüberwachung | Kalender-Eintrag manuell | Automatische Erinnerungen |
| Verknüpfung zum VVT | Nicht vorhanden | AVV automatisch mit VVT-Einträgen verknüpft |
| Unterschrift | Drucken, scannen, ablegen | Digitale Signatur, zentrale Ablage |
Mit Custodio erstellen Sie Auftragsverarbeitungsverträge in Minuten — mit branchenspezifischen Bausteinen, TOM-Katalog, Unterauftragnehmer-Verwaltung und automatischer VVT-Verknüpfung.
Kostenlos beraten lassen Kostenlos DSE erstellenEin AVV nach Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Er ist Pflicht, sobald ein externer Dienstleister Zugriff auf personenbezogene Daten erhält — etwa beim Cloud-Hosting, IT-Support oder E-Mail-Marketing.
Ein AVV muss enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenkategorien, Kategorien betroffener Personen, Weisungsbindung, Vertraulichkeitspflicht, TOM, Regelungen zu Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten, Löschpflichten und Nachweispflichten.
Immer wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet — z. B. Cloud-Anbieter, IT-Support mit Fernzugriff, Lohnbüro, Newsletter-Dienst, Hosting-Provider oder SaaS-Anwendungen. Bei eigenverantwortlicher Tätigkeit (z. B. Steuerberater) ist kein AVV nötig.
Kostenlose AVV Vorlagen sind ein guter Startpunkt, müssen aber individuell angepasst werden. Jeder AVV muss die konkreten Verarbeitungen, Datenkategorien und TOM des jeweiligen Dienstleisters abbilden. Tools wie Custodio unterstuetzt die Erstellung von AVVs mit strukturierten Bausteinen und Vorlagen.