AVV (Auftragsverarbeitungsvertrag)

Ausführliche Erklärung

Ein Auftragsverarbeitungsvertrag regelt die Bedingungen, unter denen ein externer Dienstleister personenbezogene Daten weisungsgebunden für ein Unternehmen verarbeiten darf. Die rechtliche Grundlage bildet Artikel 28 der Datenschutz-Grundverordnung. Der zentrale Unterschied zu anderen Dienstleisterverträgen liegt in der Weisungsgebundenheit: Je stärker der Auftraggeber Zweck, Ablauf und Rahmen der Verarbeitung vorgibt, desto eher liegt eine Auftragsverarbeitung vor.

Für KMU ist der AVV besonders relevant bei der Nutzung von Cloud-Diensten, Hosting-Anbietern, Newsletter-Tools, Buchhaltungssoftware, CRM-Systemen oder KI-Anwendungen. Wichtig: Das beauftragende Unternehmen bleibt datenschutzrechtlich verantwortlich – auch wenn der Dienstleister einen Fehler macht. Der AVV schützt rechtlich, indem er die Pflichten des Auftragsverarbeiters klar festlegt. Fehlt er, drohen nach Art. 83 Abs. 4 DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. In der Praxis fallen Bußgelder für KMU deutlich geringer aus, doch bei Kontrollen durch Aufsichtsbehörden fällt ein fehlender AVV sofort negativ auf.

Ein wirksamer AVV muss nach Art. 28 Abs. 3 DSGVO mindestens folgende Pflichtinhalte enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen, Weisungsrecht des Auftraggebers, Vertraulichkeitsverpflichtung der Mitarbeitenden, technische und organisatorische Maßnahmen (TOM) zum Datenschutz, Regelungen zu Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten und Datenschutzvorfällen sowie Löschung oder Rückgabe der Daten nach Vertragsende. Der Vertrag kann schriftlich oder elektronisch geschlossen werden. Viele professionelle Anbieter stellen standardisierte AVV-Vorlagen bereit, die jedoch immer auf den konkreten Verarbeitungszweck geprüft werden sollten.