Auftragsverarbeitungs-Verträge: Rechtssicherheit für Ihre Datenverarbeitung

Auftragsverarbeitungs-Verträge (AVV)

Erfahren Sie mehr über die rechtlichen Anforderungen an Auftragsverarbeitungs-Verträge: Wann sie erforderlich sind, welche Inhalte sie haben müssen und wie wir Ihr Unternehmen mit rechtssicheren Vertragslösungen unterstützen können.






Grundlagen zu Auftragsverarbeitungs-Verträgen

Was ist ein Auftragsverarbeitungs-Vertrag?


Ein Auftragsverarbeitungs-Vertrag (AVV) ist ein rechtlich verbindliches Dokument, das die Beziehung zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Dienstleister) im Rahmen der Verarbeitung personenbezogener Daten regelt. Er ist in Artikel 28 der DSGVO verankert und stellt ein zentrales Element zur Gewährleistung des Datenschutzes bei der Auslagerung von Datenverarbeitungsprozessen dar.

Wann ist ein AVV erforderlich?


Ein AVV muss immer dann abgeschlossen werden, wenn ein Unternehmen (Verantwortlicher) einen Dienstleister (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt. Dies umfasst typische Szenarien wie die Nutzung externer IT-Dienstleister, Beauftragung von Marketing-Dienstleistern, Einbindung externer Support-Dienste, Outsourcing von HR-Funktionen, Beauftragung von Callcentern oder den Einsatz von Analytics-Tools.

Was unterscheidet Verantwortliche von Auftragsverarbeitern?


Ein Verantwortlicher entscheidet über die Zwecke und Mittel der Datenverarbeitung, während ein Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Bei gemeinsamer Verantwortlichkeit entscheiden zwei oder mehr Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung, was eine Vereinbarung nach Art. 26 DSGVO erfordert.

Welche Inhalte muss ein AVV enthalten?


Ein rechtlich konformer AVV muss den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung festlegen. Zudem muss er die Rechte und Pflichten beider Parteien definieren, technische und organisatorische Maßnahmen beschreiben, Regelungen zur Unterstützung des Verantwortlichen bei Betroffenenrechten enthalten und Vorgaben für Unterauftragsverarbeiter sowie Löschkonzepte festlegen.

Welche Risiken entstehen bei fehlendem AVV?


Das Fehlen eines AVV oder ein inhaltlich mangelhafter AVV kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes führen. Zudem kann der Verantwortliche für Datenschutzverstöße des Auftragsverarbeiters haften, es können unklare Verantwortlichkeiten bei Datenpannen entstehen und Reputationsschäden bei Bekanntwerden von Compliance-Mängeln drohen.

Wie sollte die Umsetzung eines AVV in der Praxis erfolgen?


Die praktische Umsetzung umfasst die Identifikation aller relevanten Dienstleister, die Prüfung der Notwendigkeit eines AVV, die Verhandlung und den Abschluss rechtssicherer Verträge, die regelmäßige Überprüfung und Aktualisierung bestehender AVVs sowie die Dokumentation aller Maßnahmen zur Nachweisbarkeit der DSGVO-Konformität im Rahmen der Rechenschaftspflicht.

Mehr anzeigen






Professionelle Expertenberatung – Wir begleiten Sie zum Erfolg!

Entdecken Sie maßgeschneiderte Lösungen für Ihr Unternehmen: Persönliche Beratung durch unsere branchenführenden Experten.

Termin vereinbaren




Pflichtinhalte eines Auftragsverarbeitungs-Vertrags

Welche Elemente muss ein AVV nach Artikel 28 DSGVO enthalten?


Ein rechtssicherer AVV muss gemäß Artikel 28 DSGVO zahlreiche Pflichtinhalte umfassen. Dazu gehören die genaue Beschreibung von Gegenstand und Dauer der Verarbeitung, Art und Zweck der Datenverarbeitung sowie die Kategorien der verarbeiteten Daten und der betroffenen Personen. Zudem müssen die Weisungsgebundenheit des Auftragsverarbeiters, die Vertraulichkeitsverpflichtung aller beteiligten Personen sowie die technischen und organisatorischen Maßnahmen zum Datenschutz klar definiert sein.

Wie werden Subunternehmer im AVV geregelt?


Die Regelung zum Einsatz von Subunternehmern ist ein zentraler Bestandteil eines AVV. Typischerweise wird festgelegt, dass die Beauftragung von Subunternehmern nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen zulässig ist. Der Auftragsverarbeiter muss den Verantwortlichen über jede beabsichtigte Änderung informieren und sicherstellen, dass auch die Subunternehmer die gleichen Datenschutzverpflichtungen einhalten wie er selbst.

Welche Unterstützungspflichten hat der Auftragsverarbeiter?


Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen. Dies umfasst Hilfe bei Auskunftsersuchen, Berichtigungs- und Löschungsanfragen sowie bei Anfragen zur Datenübertragbarkeit. Zudem muss er Unterstützung bei der Einhaltung weiterer Datenschutzpflichten leisten, insbesondere bei der Gewährleistung der Datensicherheit, der Meldung von Datenpannen, der Durchführung von Datenschutz-Folgenabschätzungen und bei vorherigen Konsultationen mit Aufsichtsbehörden.

Was gilt für die Beendigung der Auftragsverarbeitung?


Im AVV muss klar geregelt sein, was mit den personenbezogenen Daten nach Abschluss der Verarbeitung geschieht. Standardmäßig sollte festgelegt sein, dass der Auftragsverarbeiter alle personenbezogenen Daten entweder löscht oder an den Verantwortlichen zurückgibt, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht. Die Löschung oder Rückgabe muss nachweisbar und nach Möglichkeit dokumentiert sein.

Welche besonderen Anforderungen gelten bei Drittlandtransfers?


Bei Datenübermittlungen in Länder außerhalb der EU/des EWR müssen im AVV zusätzliche Vorkehrungen getroffen werden. Dies umfasst die explizite Regelung der Drittlandübermittlung mit Angabe der Empfängerländer, die Implementierung geeigneter Garantien wie EU-Standardvertragsklauseln sowie die Dokumentation einer Risikobewertung. Seit dem "Schrems II"-Urteil des EuGH sind die Anforderungen an internationale Datentransfers erheblich gestiegen und erfordern eine gründliche Prüfung und Dokumentation.

Welche Fehler treten bei AVVs in der Praxis häufig auf?


In der Praxis weisen AVVs häufig Mängel auf, die zu ihrer Unwirksamkeit führen können. Zu den häufigsten Fehlern zählen zu unspezifische Beschreibungen der Verarbeitung, fehlende oder unklare Regelungen zu Subunternehmern, unzureichende Beschreibungen der technischen und organisatorischen Maßnahmen, fehlende Definition von Weisungs- und Kontrollrechten sowie lückenhafte Löschkonzepte. Die Verwendung veralteter Vertragsmuster, die nicht den aktuellen Anforderungen der DSGVO entsprechen, stellt ebenfalls ein erhebliches Risiko dar.

Mehr anzeigen



Lassen Sie sich von unseren Experten beraten

Termin vereinbaren Geeignete Zeit wählen





Unsere Leistungen zu Auftragsverarbeitungs-Verträgen

Warum ist professionelle Unterstützung bei AVVs so wichtig?


Die rechtssichere Gestaltung von AVVs erfordert spezialisiertes Fachwissen aufgrund der komplexen rechtlichen Anforderungen, die sich durch neue Rechtsprechung kontinuierlich weiterentwickeln. Besondere Herausforderungen stellen die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit, internationale Datenübermittlungen nach dem "Schrems II"-Urteil sowie die präzise Beschreibung technischer und organisatorischer Maßnahmen dar. Unsere Experten unterstützen Sie mit fundiertem Fachwissen und langjähriger praktischer Erfahrung bei allen Aspekten rund um AVVs.

Wie erstellen wir maßgeschneiderte AVVs?


Wir erstellen individuelle AVVs, die exakt auf Ihre spezifischen Anforderungen zugeschnitten sind. Dies umfasst eine rechtssichere Vertragsgestaltung gemäß Art. 28 DSGVO, eine präzise Beschreibung der Verarbeitungstätigkeiten und Datenflüsse sowie eine detaillierte Darstellung der technischen und organisatorischen Maßnahmen. Zudem sorgen wir für klare Regelungen zu Weisungs- und Kontrollrechten, rechtskonforme Gestaltung bei internationalen Datentransfers und eine Harmonisierung mit bestehenden Vertragsbeziehungen.

Welche Vorteile bietet unser Review bestehender AVVs?


Für bereits vorhandene AVVs bieten wir ein umfassendes Review mit konkreten Anpassungsempfehlungen. Dies beinhaltet die Prüfung auf Vollständigkeit und Rechtskonformität gemäß den aktuellen gesetzlichen Anforderungen, die Identifikation von Lücken oder Risiken sowie die Bewertung der beschriebenen technischen und organisatorischen Maßnahmen. Wir überprüfen zudem die Regelungen zu Subunternehmern und Drittlandtransfers und erstellen einen detaillierten Bericht mit Anpassungsempfehlungen, bei Bedarf übernehmen wir auch die Überarbeitung und Aktualisierung des AVV.

Was umfasst unser AVV-Management-System?


Für Unternehmen mit zahlreichen Dienstleisterbeziehungen entwickeln wir ein strukturiertes AVV-Management-System. Dieses umfasst die Erstellung einer Dienstleisterübersicht mit Bewertung der AVV-Pflicht, die Entwicklung standardisierter AVV-Vorlagen für verschiedene Dienstleistertypen sowie die Definition eines Prozesses für AVV-Abschluss, -Aktualisierung und -Kontrolle. Zusätzlich implementieren wir ein Subunternehmer-Management, bauen ein Dokumentations- und Nachweissystem auf und schulen die verantwortlichen Mitarbeiter im Umgang mit dem System.

Wie unterstützen wir bei Verhandlungen mit Dienstleistern?


Wir unterstützen Sie bei Verhandlungen mit Ihren Dienstleistern zum Abschluss rechtskonformer AVVs. Dies beinhaltet die rechtliche Bewertung vorgelegter AVV-Entwürfe, die Identifikation kritischer Vertragspunkte und die Entwicklung von Alternativformulierungen. Wir helfen bei der Durchsetzung notwendiger Anpassungen, bei der Beurteilung der vom Dienstleister angegebenen TOMs sowie bei der Verhandlung von Drittlandtransfers und Subunternehmer-Regelungen. Auf Wunsch übernehmen wir auch die direkte Verhandlungsführung mit dem Dienstleister, um sicherzustellen, dass Ihre AVVs nicht nur den formalen Anforderungen entsprechen, sondern auch Ihre Interessen optimal schützen.

Welche Vorteile bietet eine professionelle AVV-Beratung?


Eine professionelle AVV-Beratung bietet zahlreiche Vorteile für Ihr Unternehmen. Sie minimiert das Risiko von Bußgeldern und Haftungsansprüchen durch rechtssichere Vertragsgestaltung, optimiert Ihre Geschäftsprozesse durch klare Verantwortlichkeiten und Pflichten sowie verbessert Ihre Compliance-Position bei Datenschutzaudits. Zudem schafft sie Rechtssicherheit bei internationalen Datentransfers, ermöglicht eine effiziente Verwaltung zahlreicher Dienstleisterbeziehungen und stärkt Ihre Verhandlungsposition gegenüber Dienstleistern durch fundierte rechtliche Expertise.

Mehr anzeigen



Datenschutz-Services für Ihr Unternehmen

  • Datenschutzberatung

    Datenschutz-Erstberatung

    Unsere Datenschutzexperten analysieren Ihre aktuelle Situation und bieten konkrete Handlungsempfehlungen für eine DSGVO-konforme Umsetzung.

    Mehr erfahren
  • Datenschutzdokumente

    Individuelle Datenschutz-Dokumente

    Wir erstellen und pflegen alle relevanten Dokumente wie AVVs, TOMs, Richtlinien und Nachweise – rechtssicher und aktuell.

    Mehr erfahren
  • Audit

    Datenschutz-Audit

    Wir überprüfen Ihre Prozesse, Verträge und Dokumentation auf DSGVO-Konformität und helfen bei der Optimierung.

    Mehr erfahren
  • Schulung

    Schulungen & Sensibilisierung

    Wir schulen Ihre Mitarbeitenden praxisnah zu Datenschutzthemen – online oder vor Ort – und fördern datenschutzkonformes Verhalten.

    Mehr erfahren