6 Antworten zum Auftragsverarbeitungsvertrag (AVV)
Ein Auftragsverarbeitungsvertrag (AVV) ist nach DSGVO erforderlich, sobald ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er regelt Verantwortlichkeiten und schützt vor Bußgeldern und Vertrauensverlust.
Inhaltsverzeichnis
Einordnung: Warum ein AVV zentral ist
Ein Auftragsverarbeitungsvertrag (AVV) spielt eine zentrale Rolle im modernen Datenschutz. Gemäß DSGVO ist er unerlässlich, sobald ein Unternehmen einen externen Dienstleister beauftragt, personenbezogene Daten zu verarbeiten.
Der Vertrag schafft klare Regelungen zur Datenverarbeitung und hilft, rechtliche Konsequenzen sowie Vertrauensverlust bei Kunden oder Partnern zu vermeiden.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Der AVV ist ein wesentliches Instrument, das festlegt, wie Daten verarbeitet, gespeichert und geschützt werden müssen.
Praktisches Beispiel: Newsletter-Dienstleister im Online-Shop. Der AVV stellt sicher, dass E-Mail-Adressen nur für den vorgesehenen Zweck verwendet werden.
Wann brauche ich einen AVV?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet – auch wenn es „nur“ um Speicherung, Analyse oder Zugriff geht.
Beispiele: Cloud-Buchhaltungssoftware oder ein externes CRM-System, das Kundendaten verwaltet.
Was beinhaltet ein AVV?
Typische Inhalte: Parteien und Kontaktdaten, Art und Zweck der Verarbeitung, Rechte und Pflichten (u. a. Datensicherheit, Meldepflichten bei Datenpannen, Unterauftragsverarbeiter), Rückgabe/Löschung am Vertragsende sowie Kontrollrechte.
Oft enthalten: Regelungen zu Haftung/Schadensersatz bei Verstößen.
Wer muss den AVV erstellen?
Der Verantwortliche sollte den AVV initiieren und sicherstellen, dass die DSGVO-Anforderungen erfüllt sind.
Häufig stellt der Auftragsverarbeiter Standardvorlagen bereit, die angepasst werden können. Wichtig ist, dass beide Seiten die Inhalte verstehen und tragen.
Wann muss der AVV abgeschlossen werden?
Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet oder darauf zugreift, sollte vor Beginn der Verarbeitung ein AVV geschlossen werden.
Was passiert ohne AVV?
Ohne AVV drohen rechtliche Konsequenzen (Bußgelder), Vertrauensverlust, unklare Verantwortlichkeiten und ein erhöhtes Risiko unsicheren Datenaustauschs.
Fazit
Ein AVV ist das Bindeglied für Rechtssicherheit in der Zusammenarbeit mit Dienstleistern. Er klärt Verantwortlichkeiten und schützt vor finanziellen und reputativen Schäden.
Autor
Sebastian Schenk
Co-Founder & CEO
Jurist und Datenschutzbeauftragter. Treibt bei simply Legal die Produktvision voran und sorgt dafür, dass Dieter rechtlich und praktisch trägt.
Quellen & Weiterführendes
Dieser Artikel gibt den Stand zum Erscheinungsdatum wieder. Bei rechtlichen Änderungen passen wir unsere Inhalte an.
Ähnliche Beiträge
Donnerstag, 10. Juli 2025
Wie erstelle ich eine Datenschutzerklärung
Jede Website braucht eine Datenschutzerklärung. Sie erfüllt die Informationspflichten aus Art. 13 DSGVO und erklärt, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden.
Donnerstag, 11. September 2025
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen (TOM) sind das Rückgrat des Datenschutzes gemäß DSGVO. Sie reichen von technischen Sicherheitsvorkehrungen bis zu organisatorischen Prozessen und sollten regelmäßig überprüft und angepasst werden.
Montag, 10. November 2025
Verarbeitungsverzeichnis (VVZ) und Löschkonzept
VVZ und Löschkonzept sind zentrale Bausteine der DSGVO-Compliance: Das VVZ dokumentiert Verarbeitungstätigkeiten, das Löschkonzept sorgt für Speicherbegrenzung und regelkonforme Datenlöschung.
