Das Wichtigste in Kürze
- Ein AVV ist vor Beginn der Verarbeitung schriftlich oder elektronisch zu schließen.
- Pflicht ist er, sobald ein Dienstleister im Auftrag personenbezogene Daten verarbeitet (Hoster, Analytics, Newsletter, CRM, SaaS).
- Bußgelder bei fehlendem AVV: bis 10 Mio. Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO).
- Sub-Auftragsverarbeiter müssen im AVV genehmigt sein. Sonst Haftungsrisiko.
Wann ein AVV nötig ist
Ein AVV liegt vor, wenn ein externer Dienstleister im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, ohne diese Daten für eigene Zwecke zu nutzen. Klassische Fälle:
- Hosting der Website oder Datenbank
- Analytics und Tracking-Dienste
- Newsletter-Versand
- CRM- und Helpdesk-Systeme
- Cloud-Speicher mit Kundendaten
- Wartung mit Backend-Zugriff durch Agentur oder Webdesigner
Kein AVV bei reiner Datenübermittlung
Empfänger, die als eigene Verantwortliche fungieren (Banken, Inkasso-Dienstleister, externe Steuerberater), brauchen keinen AVV. Bei ihnen werden Daten in deren Verantwortung verarbeitet.
Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
Ein wirksamer AVV regelt:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien der betroffenen Personen
- Arten der personenbezogenen Daten
- Pflichten und Rechte des Verantwortlichen
- Weisungsgebundenheit des Auftragsverarbeiters
- Vertraulichkeitspflicht der eingesetzten Personen
- Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
- Regelung zu Sub-Auftragsverarbeitern (Genehmigung, Liste, Information bei Änderung)
- Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12 bis 22 DSGVO)
- Meldepflicht bei Datenschutzverletzungen
- Mitwirkung bei DSFA (Datenschutz-Folgenabschätzung)
- Rückgabe oder Löschung der Daten nach Vertragsende
- Nachweispflicht und Audit-Rechte
TOMs als Anlage
Die technischen und organisatorischen Maßnahmen sind in der Regel eine eigene Anlage zum AVV. Inhalt: Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Muster gibt es bei den meisten Aufsichtsbehörden und auf der Generator-Seite.
AVV-Status der gängigen Dienstleister
Die folgende Übersicht zeigt, wo Sie den AVV der wichtigsten Anbieter finden. Bei den meisten reicht ein Klick im Kundenkonto. Bei Cloud-Diensten teilweise zustimmungspflichtig nach der Registrierung.
| Anbieter | Kategorie | Wo finden |
|---|---|---|
| All-Inkl.com | Hosting (DE) | Datenschutzhinweise, AVV im Kundenkonto bestellbar |
| IONOS | Hosting (DE) | AVV im Kundenkonto (Vertragsverwaltung), elektronische Annahme |
| Strato | Hosting (DE) | AVV in der Vertragsverwaltung, automatisch zum Vertrag |
| Hetzner | Hosting (DE) | Auftragsverarbeitung-Seite, Online-Abschluss |
| Cloudflare | CDN / DNS | Customer DPA, Online-Annahme im Dashboard |
| Google Analytics / GA4 | Analytics | Im Admin-Bereich „Datenverarbeitungszusatz" akzeptieren |
| Matomo (Cloud) | Analytics | AVV im Kundenkonto, automatisch zur Buchung |
| Plausible | Analytics (EU) | DPA online, EU-Server, EU-Anbieter |
| Brevo (Sendinblue) | Newsletter | AVV im Account, EU-Anbieter |
| Mailchimp | Newsletter | Im Admin-Bereich, US-Anbieter (Drittland-Hinweis) |
| HubSpot | CRM / Marketing | DPA online, US-Anbieter (Drittland-Hinweis) |
| sevdesk | Buchhaltung | AVV im Kundenkonto, DE-Anbieter |
| Microsoft 365 | Office / Cloud | Data Protection Addendum, in Lizenzbedingungen integriert |
Wer einen Dienst nutzt, der seinen AVV nicht standardmäßig anbietet oder dessen AVV nur auf Anfrage kommt: nicht weiter nutzen, bis das geklärt ist. Ohne AVV kein rechtmäßiger Einsatz.
Sub-Auftragsverarbeiter
Wenn der Auftragsverarbeiter weitere Dienstleister einsetzt (etwa Cloud-Infrastruktur, Backup-Provider), gelten diese als Sub-Auftragsverarbeiter. Der ursprüngliche AVV muss:
- diese Sub-Verarbeiter benennen oder durch eine allgemeine Genehmigung erfassen
- eine Pflicht zur Information bei Wechsel oder Hinzunahme regeln
- dem Verantwortlichen ein Widerspruchsrecht einräumen
Drittland-Übermittlungen
Werden Daten in Länder außerhalb der EU oder des EWR übermittelt (etwa USA), braucht es zusätzliche Garantien:
- EU-Standardvertragsklauseln (SCC) als Vertragsbestandteil
- oder Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework, wo anwendbar)
- oder verbindliche unternehmensinterne Datenschutzregeln (BCR)
Bei US-Anbietern ohne aktive DPF-Zertifizierung gilt: zusätzlich SCC und ergänzende technische Maßnahmen prüfen.
Wo Sie Vorlagen finden
Eine Liste mit kostenfreien und kostenpflichtigen AVV-Mustern finden Sie auf der Generator-Übersicht. Bewährte kostenlose Quellen:
- activeMind AV-Vertrag-Muster (Download)
- Proliance AVV-Muster mit TOMs-Anlage
- BfDI (Bundesbeauftragte) bietet einen Muster-Hinweis als Orientierung
Muster ist nicht gleich Vertrag
Eine Vorlage ist nur der Ausgangspunkt. Die TOMs müssen individuell an die tatsächliche Verarbeitung angepasst werden. Pauschal kopierte AVV-Texte ohne konkrete Maßnahmenliste halten der Prüfung durch eine Aufsichtsbehörde nicht stand.