AVV (Auftragsverarbeitungsvertrag)

Ausführliche Erklärung

Der Auftragsverarbeitungsvertrag bildet die rechtliche Grundlage, wenn ein Unternehmen externe Dienstleister beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten. Die Datenschutz-Grundverordnung schreibt in Artikel 28 Absatz 3 vor, welche Mindestinhalte ein solcher Vertrag enthalten muss: Gegenstand und Zweck der Verarbeitung, Art der verarbeiteten Daten, Kategorien betroffener Personen, Dauer der Verarbeitung sowie technische und organisatorische Maßnahmen. Der Vertrag stellt sicher, dass der Dienstleister die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet und nicht für eigene Zwecke nutzt.

Entscheidend für die Notwendigkeit eines AVV ist die Weisungsgebundenheit: Der Dienstleister agiert als "verlängerter Arm" des Unternehmens, ohne eigene Entscheidungskompetenz über Zweck und Mittel der Datenverarbeitung. Typische Fälle sind Webhosting-Anbieter, Cloud-Speicherdienste, Newsletter-Tools, CRM-Systeme oder cloudbasierte Lohnbuchhaltungssoftware. Nicht unter Auftragsverarbeitung fallen hingegen eigenverantwortliche Dienstleister wie Steuerberater bei klassischer Beratungstätigkeit, die weisungsfrei und unter Berufsgeheimnis agieren.

Die Verantwortung für den Datenschutz bleibt trotz AVV beim Auftraggeber. Das Unternehmen haftet gegenüber Betroffenen auch für Verstöße des Auftragsverarbeiters. Deshalb ist die sorgfältige Auswahl von Dienstleistern entscheidend: Der Auftragsverarbeiter muss hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten. Bei Verstößen gegen die Pflicht zum Abschluss eines AVV drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Diese Regelung gilt ausnahmslos für alle Unternehmensgrößen, von Ein-Personen-Unternehmen bis zu Konzernen.