Zum Inhalt springen
21+ Projekte erfolgreich umgesetzt 5.0★ Google Bewertung · Lauenburg & Umgebung Kostenloses 15-Min Erstgespräch — direkt mit Ronni Kostenlose Erstberatung buchen →

AVV (Auftragsverarbeitungsvertrag)

Vertrag nach Art. 28 DSGVO, der regelt, wie ein Dienstleister mit personenbezogenen Daten im Auftrag eines Unternehmens umgehen darf.

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — zum Beispiel ein Cloud-Anbieter, ein E-Mail-Marketing-Tool, ein CRM oder ein KI-Dienst. Der AVV ist kein Formalismus, sondern die juristische Grundlage dafür, dass Sie die Kontrolle über “Ihre” Daten behalten, auch wenn jemand anderes sie technisch verarbeitet.

Was muss ein AVV enthalten?

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technisch-organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
  • Regelungen zu Unterauftragsverarbeitern
  • Unterstützungspflichten bei Betroffenenrechten und Datenpannen

Wer ist Verantwortlicher, wer Auftragsverarbeiter?

Der Verantwortliche sind Sie als Unternehmen: Sie entscheiden, welche Daten verarbeitet werden und zu welchem Zweck. Der Auftragsverarbeiter ist der Dienstleister, der in Ihrem Auftrag handelt — weisungsgebunden und ohne eigenen Zweck. Google Workspace, Microsoft 365, HubSpot, Mailchimp, DATEV, Lexware, Azure OpenAI — das sind typische Auftragsverarbeiter. Entscheidet ein Dienstleister hingegen selbst über Zweck und Mittel der Verarbeitung (etwa bei Analyse-Tools, die Daten auch für eigene Zwecke nutzen), sind Sie gemeinsam Verantwortliche nach Art. 26 DSGVO — das braucht einen anderen Vertrag.

Wann brauchen Sie einen AVV?

  • Sie nutzen einen Cloud-KI-Dienst (Azure OpenAI, AWS Bedrock, Anthropic Claude Enterprise)
  • Ein IT-Dienstleister betreibt KI-Systeme oder Managed-IT für Sie
  • Sie setzen externe Tools ein, die Kundendaten verarbeiten (CRM, E-Mail-Marketing, Buchhaltungssoftware, Ticketsystem)
  • Ein Freelancer oder eine Agentur hat Zugriff auf Ihre Kundendaten

Kein AVV nötig bei: Self-Hosted-Lösungen auf eigener Hardware — hier gibt es keinen externen Auftragsverarbeiter.

Häufige Fehler bei AVV

  • Den Standard-AVV des Anbieters ungeprüft akzeptieren. Viele enthalten Klauseln, die Sie in Drittland-Transfers ohne geeignete Garantien hineinziehen.
  • Unterauftragsverarbeiter (Sub-Processors) nicht dokumentieren. Gerade bei Cloud-Diensten hängen schnell zehn bis zwanzig Subs dran, und jeder neue braucht eine Freigabe.
  • Löschfristen weglassen. Nach Vertragsende muss klar sein, wann und wie die Daten gelöscht werden.
  • TOMs (Technisch-organisatorische Maßnahmen) nicht prüfen. Ein Anbieter darf viel versprechen — aber in einer Datenpanne zählt, was im Vertrag und im Audit nachweisbar ist.

AVV und KI-Dienste

Beim Einsatz von generativer KI (OpenAI, Anthropic, Gemini, Azure OpenAI) ist der AVV besonders heikel: Sobald Kundendaten in ein Prompt fließen, entsteht eine Verarbeitung — und wenn der Anbieter keine “zero data retention”-Option bietet, landen Ihre Daten im Modell-Training. Achten Sie daher auf drei Dinge: erstens einen gültigen AVV mit dem Anbieter, zweitens die Garantie, dass Ihre Prompts nicht zum Training verwendet werden, und drittens die Rechtsgrundlage für den Drittland-Transfer (meist via EU-US Data Privacy Framework oder Standardvertragsklauseln plus Transfer-Impact-Assessment). Im KI-Audit prüfen wir Ihre eingesetzten KI-Tools konkret auf diese Punkte und dokumentieren Lücken für Ihren Datenschutzbeauftragten.

Wo bekomme ich einen AVV und was kostet er?

Seriöse Anbieter stellen den AVV kostenlos zum Download bereit — entweder als PDF zum Unterzeichnen oder eingebettet in die Nutzungsbedingungen, die Sie beim Checkout akzeptieren (sogenannte Data Processing Addenda). Bei Microsoft 365, Google Workspace, HubSpot und den meisten SaaS-Tools ist das der Standardfall. Wenn ein Anbieter keinen AVV zur Verfügung stellt oder Geld dafür verlangt, ist das ein Warnsignal — in dem Fall lohnt sich der Wechsel zu einem konformen Wettbewerber. Die Unterzeichnung selbst ist formfrei: In der Regel reicht ein Klick-Accept oder eine digitale Signatur, Papier ist nicht erforderlich. Verantwortlich für die saubere Ablage bleiben allerdings Sie als Unternehmen — bewahren Sie jede Version mindestens drei Jahre nach Vertragsende auf, um bei einer Prüfung durch die Aufsichtsbehörde auskunftsfähig zu sein.

Mehr zum Kontext: siehe DSGVO, Cloud Computing und EU-US Data Privacy Framework.

Der webAION Unterschied

Viele Agenturen nutzen veraltete Standards bei AVV (Auftragsverarbeitungsvertrag). Wir setzen auf moderne Technologie (Astro & React), um genau hier einen Wettbewerbsvorteil für Sie zu erzielen.

Modernes Webdesign Technologie-Vergleich

Verwandte Begriffe

Cloud Computing DSGVO (Datenschutz-Grundverordnung) EU-US Data Privacy Framework (DPF)

Noch Fragen zu AVV (Auftragsverarbeitungsvertrag)?

Wir beraten Sie gerne zur praktischen Anwendung in Ihrem Unternehmen.

Kontakt aufnehmen