Viele Unternehmen haben gehört, dass AV-Verträge zur DSGVO gehören. Wenige wissen genau, wann sie Pflicht sind, was drinstehen muss und wo die typischen Lücken stecken. Dieser Artikel erklärt das ohne Juristendeutsch, aber mit den konkreten Anforderungen, die tatsächlich gelten.
Was ein AV-Vertrag überhaupt ist
Der Auftragsverarbeitungsvertrag (AVV, manchmal auch Auftragsverarbeitungsvereinbarung oder auf Englisch DPA genannt) regelt das Verhältnis zwischen Ihrem Unternehmen und einem externen Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet.
Der entscheidende Begriff ist "in Ihrem Auftrag". Wenn Sie einem Dienstleister Daten überlassen und er diese nach Ihren Vorgaben verarbeitet, sind Sie der Verantwortliche, er ist der Auftragsverarbeiter. Die DSGVO verlangt in diesem Fall eine schriftliche Vereinbarung, die genau festlegt, was erlaubt ist, was nicht, und welche Schutzmaßnahmen gelten.
Ohne diesen Vertrag ist die Datenweitergabe an den Dienstleister schlicht nicht rechtmäßig, selbst wenn der Dienstleister noch nie einen Datenmissbrauch begangen hat.
Quelle: Verordnung (EU) 2016/679 (DSGVO)Verordnung (EU) 2016/679, Art. 28: Auftragsverarbeiter.
Wann ein AV-Vertrag Pflicht ist
Die Antwort ist breiter als viele erwarten. Ein AV-Vertrag ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten für Sie verarbeitet. Das trifft auf mehr Situationen zu, als auf den ersten Blick erkennbar ist.
IT-Dienstleister und Systembetreuung: Wer Ihre IT-Infrastruktur betreut, hat Zugang zu Systemen, in denen Mitarbeiter-, Kunden- und Geschäftsdaten liegen. Auch wenn der Techniker diese Daten nicht aktiv liest oder auswertet, gilt der Systemzugriff bereits als Verarbeitung.
Cloud-Dienste: Microsoft 365, Google Workspace, Buchhaltungssoftware als SaaS, CRM-Systeme in der Cloud, Dateiablagen wie SharePoint oder Dropbox Business. Alle diese Dienste speichern oder verarbeiten Daten auf externen Servern. Große Anbieter wie Microsoft oder Google stellen standardisierte AVV bereit, die beim Vertragsabschluss akzeptiert werden. Das Problem: Viele Unternehmen klicken sich durch den Onboarding-Prozess, ohne den AVV-Teil zu dokumentieren oder zu archivieren.
Lohnbuchhaltung und Steuerberatung: Ein externer Lohnbuchhalter oder eine Steuerberatungskanzlei, die Ihre Lohnabrechnungen erstellt, verarbeitet Mitarbeiterdaten. Hier ist ein AVV Pflicht.
E-Mail-Marketing-Tools: Wenn Sie einen Newsletter-Dienst nutzen und dort Empfängeradressen hinterlegen, ist das Auftragsverarbeitung. Ob es sich um Mailchimp, CleverReach oder einen anderen Anbieter handelt, macht keinen Unterschied.
Webhosting und Server: Wer Ihre Website oder Anwendungen hostet und dabei Zugriffsprotokolle oder Kontaktformular-Daten speichert, gilt als Auftragsverarbeiter.
Was der AV-Vertrag enthalten muss
Art. 28 DSGVO legt die Mindestinhalte verbindlich fest. Ein AV-Vertrag, dem diese Punkte fehlen, ist nicht DSGVO-konform, auch wenn er unterschrieben ist.
Pflichtinhalte nach Art. 28 DSGVO:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflicht des Auftragsverarbeiters, Daten nur nach Weisung zu verarbeiten
- Vertraulichkeitspflicht für alle Personen, die Zugang zu den Daten haben
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
- Regelung zur Einbindung von Subunternehmern (Unterauftragsverarbeitern)
- Unterstützungspflichten bei Betroffenenanfragen und Datenpannen
- Löschung oder Rückgabe der Daten nach Vertragsende
- Kontrollrechte des Verantwortlichen (Audits)
Der letzte Punkt wird in der Praxis oft unterschätzt. Als Auftraggeber haben Sie das Recht, zu prüfen, ob der Dienstleister die vereinbarten Maßnahmen tatsächlich einhält. Gute Dienstleister legen dafür Nachweise, Zertifizierungen oder Audit-Berichte vor.
Typische Lücken im Mittelstand
In der Betreuungspraxis tauchen immer wieder dieselben Probleme auf.
Fehlende AVV mit Cloud-Diensten: Besonders bei kleineren und mittleren Unternehmen fehlen Vereinbarungen mit einzelnen Cloud-Produkten, weil die Einführung schnell ging und der DSGVO-Teil dabei übersprungen wurde. Gängige Kandidaten: Microsoft 365 (der AVV liegt bei Microsoft in der Admin-Konsole), Buchhaltungssoftware, CRM-Systeme, Videokonferenz-Tools.
Inhaltlich unvollständige AVV: Viele ältere AVV enthalten nicht alle Pflichtinhalte nach der aktuellen DSGVO. Das betrifft vor allem Vereinbarungen, die vor 2018 abgeschlossen und seitdem nicht aktualisiert wurden. Eine formale Vereinbarung, die inhaltlich unvollständig ist, schützt nicht vor Bußgeldern.
Ungeprüfte Subunternehmer-Klauseln: Wenn ein Dienstleister Teile seiner Leistung an Dritte weitergibt (zum Beispiel ein IT-Dienstleister, der einen Cloud-Hoster nutzt), muss das im AVV geregelt sein. Entweder über eine generelle Genehmigung mit Informationspflicht oder über eine Liste genehmigter Unterauftragsverarbeiter. Diese Klauseln fehlen in vielen älteren Verträgen.
Kein AVV mit dem IT-Dienstleister: Ausgerechnet der Dienstleister, der den weitreichendsten Zugang zu Ihren Systemen hat, läuft häufig ohne AVV. Das liegt daran, dass viele IT-Dienstleister den AVV nicht von sich aus mitschicken und die Unternehmensseite nicht danach fragt.
Keine Dokumentation, wer welchen AVV hat: Selbst wenn AVV geschlossen wurden, fehlt oft eine zentrale Liste, welche Dienstleister darunter fallen, welche Vereinbarung mit welchem Datum gilt und wann eine Überprüfung ansteht. Im Prüfungsfall können die Vereinbarungen dann nicht schnell vorgelegt werden.
Wer AV-Verträge schließen muss
Größe spielt keine Rolle. Auch ein Handwerksbetrieb mit fünf Mitarbeitern, der seine Buchhaltung extern vergeben hat und einen Cloud-Dienst für die Auftragsverwaltung nutzt, braucht AVV mit diesen Dienstleistern.
Die Pflicht tritt nicht erst ab einer bestimmten Unternehmensgröße oder Mitarbeiterzahl ein. Sie gilt für jeden Verantwortlichen im Sinne der DSGVO, der personenbezogene Daten im Auftrag verarbeiten lässt. Das ist im Regelfall jedes Unternehmen, das überhaupt externe Dienstleister einsetzt.
Für kleine Unternehmen ist das keine schlechte Nachricht. Die meisten großen Anbieter (Microsoft, Google, DATEV) stellen standardisierte AVV bereit, die man als Auftraggeber schlicht akzeptieren und dokumentieren muss. Der Aufwand beschränkt sich auf die Übersicht über die eigenen Dienstleister und das Abhaken vorhandener Vereinbarungen.
Praktische Schritte zum vollständigen AVV-Status
- Dienstleister-Liste erstellenAlle externen Dienstleister auflisten, die Zugang zu personenbezogenen Daten haben oder diese für Sie verarbeiten. IT-Betreuung, Cloud-Dienste, Steuer- und Lohnbuchhaltung, E-Mail-Marketing, Webhoster, CRM-Systeme, Videokonferenz-Tools.
- AVV-Status prüfenFür jeden Dienstleister klären, ob ein AVV existiert, und wenn ja, ob er die Pflichtinhalte nach Art. 28 DSGVO enthält. Bei großen Anbietern (Microsoft, Google) liegt der AVV oft in der Admin-Konsole oder im Kundenportal.
- Lücken schließenFehlende AVV beim Dienstleister anfordern. Seriöse Anbieter haben standardisierte Vereinbarungen. Wer einen AVV verweigert oder verzögert, kann nicht mehr rechtmäßig eingesetzt werden.
- Dokumentation führenEine einfache Liste mit Dienstleistern, AVV-Datum, Ansprechpartner und Überprüfungsdatum. Das muss kein aufwändiges System sein, eine gepflegte Tabelle reicht.
- Regelmäßig überprüfenEinmal jährlich prüfen, ob alle Vereinbarungen noch aktuell sind, keine neuen Dienstleister hinzugekommen sind und vorhandene AVV noch dem Stand der tatsächlichen Verarbeitung entsprechen.
Was ITCC im AVV-Kontext übernimmt
ITCC ist kein Datenschutzberater und ersetzt keine Datenschutzberatung. Was wir übernehmen: Beim Onboarding schließen wir mit jedem betreuten Unternehmen einen vollständigen AV-Vertrag nach Art. 28 DSGVO ab. Sie erhalten die Vereinbarung beim Start der Zusammenarbeit, nicht erst wenn Sie danach fragen.
Zusätzlich beschreiben wir die technischen und organisatorischen Maßnahmen, die wir für Ihre IT-Infrastruktur umsetzen, so dass diese direkt in Ihre DSGVO-Dokumentation einfließen können. Verschlüsselung, Zugriffsschutz, Backup-Konzept und Protokollierung sind Teil der Standardbetreuung.
Wenn Sie unsicher sind, ob Ihre bestehenden AVV vollständig und aktuell sind, sprechen Sie uns an. Wir schauen uns gemeinsam an, wo Lücken bestehen, bevor eine Datenschutzbehörde das tut.
Jetzt Beratungsgespräch vereinbaren: Kontakt zu ITCC
Häufige Fragen
Verwandte Themen
- ComplianceBSI IT-Grundschutz für Unternehmer: Das Whitepaper
Was der BSI IT-Grundschutz ist, wie die Bausteine aufgebaut sind, welche Absicherungsstufe für KMU passt und wie der Weg von der Bestandsaufnahme zur Umsetzung aussieht.
- ComplianceDSGVO für KMU: Die wichtigsten Pflichten ohne Panik
Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen, Datenpannen-Meldung und Datenschutzbeauftragter: Was KMU wirklich tun müssen und was warteten kann.
- ComplianceNIS2 für Unternehmen: Was Geschäftsführer jetzt wissen müssen
Wen NIS2 wirklich trifft, welche 10 Maßnahmen Pflicht sind, wie die persönliche Geschäftsführerhaftung funktioniert und was KMU jetzt konkret tun sollten.