AVV-Muster: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Jedes Unternehmen, das personenbezogene Daten durch externe Dienstleister verarbeiten lässt — ob SaaS, Cloud, IT-Support oder Marketing — benötigt einen Auftragsverarbeitungsvertrag (AVV). Art. 28 DSGVO schreibt die Mindestinhalte vor.
Wann ist ein AVV Pflicht?
Ein AVV ist immer dann erforderlich, wenn ein externer Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Typische Fälle: Cloud-Hosting, E-Mail-Marketing-Software, CRM-Systeme, Lohnbuchhaltungs-Software, IT-Support mit Datenzugang, Videoconferencing-Dienste.
Kein AVV nötig: eigenverantwortliche Verarbeitung durch den Dienstleister (z.B. Steuerberater, Rechtsanwalt, Bank) — hier gelten andere Regelungen.
AVV-Checkliste
9 Pflichtklauseln nach Art. 28 Abs. 3 DSGVO
Gegenstand und Dauer
Art. 28 Abs. 3 lit. aGenaue Beschreibung der beauftragten Verarbeitung: Zweck, Art der Daten, Kategorien betroffener Personen, Laufzeit des AVV
Weisungsgebundenheit
Art. 28 Abs. 3 lit. aAuftragsverarbeiter verarbeitet nur auf dokumentierte Weisung des Verantwortlichen. Ausnahme: gesetzliche Verpflichtung
Vertraulichkeit
Art. 28 Abs. 3 lit. bNur autorisierte Personen erhalten Zugang; diese sind zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Schweigepflicht
Technische und organisatorische Maßnahmen
Art. 28 Abs. 3 lit. c i.V.m. Art. 32Konkrete TOM als Anlage: Verschlüsselung, Pseudonymisierung, Zugangskontrollen, Backup, Penetrationstests, Vorfallmanagement
Sub-Auftragsverarbeiter
Art. 28 Abs. 3 lit. dWeitervergabe nur mit schriftlicher Genehmigung des Verantwortlichen; gleiche Datenschutzverpflichtungen für Sub-AV
Unterstützung bei Betroffenenrechten
Art. 28 Abs. 3 lit. eAV unterstützt den Verantwortlichen bei Auskunft, Löschung, Berichtigung, Portabilität und Widerspruch (Art. 15–22 DSGVO)
Unterstützung bei Sicherheit und DSFA
Art. 28 Abs. 3 lit. fAV unterstützt bei TOM (Art. 32), Meldepflichten (Art. 33/34), DSFA (Art. 35) und Konsultation (Art. 36)
Löschung/Rückgabe nach Auftragsende
Art. 28 Abs. 3 lit. gNach Vertragsende: alle Daten löschen oder zurückgeben und Löschung schriftlich bestätigen (es sei denn, gesetzliche Aufbewahrungspflicht)
Nachweispflicht und Audit
Art. 28 Abs. 3 lit. hAV stellt alle notwendigen Informationen für Compliance-Nachweis bereit; ermöglicht Audits (auch Dritte) und Inspektionen
Häufige Fehler beim AVV
Kein AVV abgeschlossen
Bußgeld-RisikoViele Unternehmen nutzen SaaS-Tools oder Cloud-Dienste ohne AVV. Das ist ein Verstoß gegen Art. 28 DSGVO und kann von Aufsichtsbehörden geahndet werden.
TOM-Anlage fehlt oder ist zu allgemein
Unwirksamer AVVEin AVV ohne konkrete technische und organisatorische Maßnahmen (TOM) ist unvollständig. Die TOM müssen spezifisch für die beauftragte Verarbeitung sein.
Sub-Auftragsverarbeiter nicht genehmigt
HaftungsrisikoNutzt der Auftragsverarbeiter weitere Dienstleister (z.B. AWS als Hosting), müssen diese im AVV oder einer separaten Liste genehmigt sein.
Kein Verfahren bei Datenpannen
FristversäumnisDer AVV muss regeln, wie und in welcher Frist der AV Datenpannen meldet. DSGVO-Frist: 72 Stunden nach Kenntnis an die Aufsichtsbehörde.
Bußgelder bei AVV-Verstößen
Verstöße gegen Art. 28 DSGVO (fehlender oder unzureichender AVV) können nach Article 83(5) mit bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes geahndet werden. Europäische Aufsichtsbehörden verhängen zunehmend Bußgelder für fehlende oder mangelhafte Auftragsverarbeitungsverträge.
DSGVO-Compliance prüfen
Überprüfen Sie Ihre DSGVO-Compliance mit dem EuroComply DSGVO-Checker — kostenlos, ohne Registrierung.
Dieses Muster dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Jeder AVV muss auf die spezifische Verarbeitungstätigkeit und die Parteien zugeschnitten werden. Maßgeblich ist die Verordnung (EU) 2016/679 (DSGVO). Letzte Überprüfung: Juni 2026.