zur Blogübersicht

Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO (AVV): So reagieren Sie richtig auf eine Anfrage

März 6, 2025

Der Schutz personenbezogener Daten ist für Unternehmen von essenzieller Bedeutung, insbesondere wenn für die Verarbeitung externe Dienstleister und Partner genutzt werden.

Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung dieser Daten und verpflichtet Unternehmen dazu, die Einhaltung der gesetzlichen Vorgaben sicherzustellen.

Eine zentrale Rolle spielt dabei die sogenannte Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO.

Wer mit Dienstleistern zusammenarbeitet, die personenbezogene Daten im Auftrag verarbeiten, ist verpflichtet, eine AVV abzuschließen.

Doch was ist zu tun, wenn eine solche Anfrage eingeht? Welche rechtlichen Aspekte sind zu beachten?

In diesem Artikel erklären wir Schritt für Schritt, wie Unternehmen richtig reagieren und wie wir Sie als erfahrene Anwaltskanzlei dabei unterstützen können. Zudem zeigen wir auf, welche Konsequenzen bei Nichtbeachtung drohen und welche bewährten Praktiken Unternehmen implementieren können.

Was ist eine Auftragsverarbeitungsvereinbarung?

Eine AVV ist ein Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Auftragnehmer).

Diese Unterscheidung ist wichtig, da der Verantwortliche die Kontrolle über die Datenverarbeitung behält und für deren Rechtmäßigkeit haftet, während der Auftragsverarbeiter ausschließlich im Auftrag des Verantwortlichen handelt und dessen Weisungen unterliegt.

Die Vereinbarung regelt, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen.

Alle Unternehmen sind dazu verpflichtet, eine AVV mit externen Dienstleistern abzuschließen, wenn diese personenbezogene Daten „im Auftrag“ verarbeiten. Hierbei kann es schon ausreichen, dass ein externer Dienstleister im Zuge von Wartungstätigkeiten (Softwarepflegevertrag abgeschlossen?) Zugriff auf Ihre Systeme und somit auf Ihre Daten bekommt.

Typische Beispiele sind IT-Dienstleister, Cloud-Anbieter, externe Marketingagenturen oder Buchhaltungsservices.

Eine AVV enthält konkrete Anweisungen zur Datenverarbeitung, Anforderungen an Sicherheitsmaßnahmen sowie Regelungen zur Haftung und Kontrollrechten.

Wann muss eine AVV abgeschlossen werden?

Eine AVV ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Entscheidend ist, dass das Unternehmen als Verantwortlicher die Kontrolle über die Zwecke und Mittel der Verarbeitung behält, während der Dienstleister lediglich die Datenverarbeitung übernimmt.

Praxis-Checkliste: Ist eine AVV erforderlich?

Werden personenbezogene Daten an einen externen Dienstleister übermittelt?
Hat der Dienstleister Zugriff auf personenbezogene Daten, auch wenn er diese nicht aktiv verarbeitet?
Erfolgt die Verarbeitung der Daten weisungsgebunden?
Sind sensible Daten wie Gesundheits- oder Finanzinformationen betroffen?

Wenn eine oder mehrere dieser Fragen mit „Ja“ beantwortet werden, ist der Abschluss einer AVV zwingend erforderlich. Besonders kritisch ist der Abschluss einer AVV, wenn sensible personenbezogene Daten, wie Gesundheitsdaten oder Finanzinformationen, verarbeitet werden.

Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO: Warum sie unverzichtbar ist

AVV-Anfrage erhalten – Was tun?

Erhält ein Unternehmen eine Anfrage zum Abschluss einer AVV, sollte es zuerst prüfen, ob die Vereinbarung tatsächlich erforderlich ist!

Diese Aufgabe fällt typischerweise der Rechtsabteilung oder dem Datenschutzbeauftragten zu, die beurteilen müssen, ob personenbezogene Daten verarbeitet werden und ob eine AVV notwendig ist.

Unternehmen bei denen mindestens 20 Mitarbeiter Daten verarbeiten sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dieser muss offiziell bei der zuständigen Landesdatenschutzbehörde angegeben und gemeldet werden.

„Grundsätzlich gilt: ein Datenschutzbeauftragter ist ab 20 Mitarbeitern Pflicht!“

Nicht jeder Vertrag über Dienstleistungen erfordert zwangsläufig eine AVV – es kommt immer darauf an, ob und in welchem Ausmaß personenbezogene Daten im Auftrag verarbeitet werden.

Im nächsten Schritt ist eine sorgfältige Prüfung des Vertragsinhalts nötig.

Standardvorlagen sind oft unzureichend und enthalten mitunter Klauseln, die nicht den individuellen Anforderungen des Unternehmens entsprechen und zu einseitigen Haftungsnachteilen führen können.

Besondere Aufmerksamkeit verdienen Regelungen zu Kontrollrechten, Haftung, technischen und organisatorischen Maßnahmen (TOM) sowie der Weitergabe an Subunternehmer.

Unternehmen sollten sich intern oder extern rechtlich beraten lassen, um sicherzustellen, dass die AVV alle erforderlichen Bestimmungen enthält und keine unvorteilhaften Verpflichtungen eingeht.

Unabhängig und zusätzlich zum AVV-Abschluss ist die Verpflichtung Ihrer Mitarbeiter „zur Einhaltung datenschutzrechtlicher Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)“ (sog. Verpflichtung auf das Datengeheimnis) notwendig.

Eine aktuelle, kostenlose Vorlage hierzu finden Sie in unserem Downloadbereich unter https://wetzel.berlin/downloads/.

Wichtige Inhalte einer AVV

Eine rechtssichere AVV muss den Vorgaben des Art. 28 DSGVO entsprechen. Dazu gehören unter anderem die genaue Beschreibung der Verarbeitungstätigkeiten, die Definition der Pflichten des Auftragsverarbeiters sowie Vorgaben zur Datensicherheit.

Wichtige Bestandteile einer AVV:

Technische und organisatorische Maßnahmen (TOM): Sicherstellung des Datenschutzes und der Datensicherheit
Verpflichtung zur Vertraulichkeit: Klare Regelungen zur Geheimhaltung
Rechte des Auftraggebers: Kontroll- und Prüfungsrechte festlegen
Regelung zum Einsatz von Subunternehmern: Weitergabe von Daten nur mit Zustimmung
Löschung oder Rückgabe der Daten: Klare Festlegung nach Beendigung der Verarbeitung

Risiken bei einer fehlenden oder fehlerhaften AVV

Unternehmen, die keine oder eine fehlerhafte AVV abschließen, riskieren empfindliche Strafen. Darüber hinaus haften Geschäftsführer unter Umständen persönlich für Datenschutzverstöße.

Ein weit verbreiteter Irrglaube ist, dass Geschäftsführer einer GmbH (oder sonstiger mutmaßlich haftungsbeschränkter Unternehmensformen) nicht mit Ihrem Privatvermögen haften, sondern im Zweifelsfall das Unternehmen in die Haftung geht. In einigen Rechtsbereichen ist diese Annahme zumindest zum Teil richtig, im Datenschutzrecht haftet der Geschäftsführer im Falle eines Datenschutzvorfalls persönlich mit seinem Privatvermögen!

Ausführlicher gehen wir auf diese Risiken gesondert in unseren Schwerpunktartikeln ein:

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Neben finanziellen Sanktionen drohen erhebliche Reputationsschäden, wenn Datenschutzmängel öffentlich bekannt werden.

Kunden und Geschäftspartner legen zunehmend Wert auf Datenschutz und Datensicherheit – eine unzureichende AVV kann das Vertrauen nachhaltig beeinträchtigen.

Neben den finanziellen Folgen besteht die Gefahr, dass Geschäftsprozesse unterbrochen werden, wenn Partnerunternehmen aufgrund fehlender AVVs die Zusammenarbeit einstellen.

Wenn ihr Unternehmen als Dienstleister oder Unterauftragnehmer tätig ist, ist der Abschluss einer Auftragsdatenverarbeitungsvereinbarung z.B. für größere Auftraggeber obligatorisch und ein fehlender Vertrag und somit der Nachweis der datenschutzkonformen Auftragsumsetzung ein direktes Ausschlusskriterium im Auswahlprozess und in der Ausschreibung für Dienstleister und Zulieferer.

Wie wir Sie als spezialisierte Kanzlei unterstützen können

Unsere Kanzlei hat bereits zahlreichen Unternehmen dabei geholfen, rechtssichere Auftragsverarbeitungsvereinbarungen abzuschließen, dies ist Bestandteil unseres Tagesgeschäfts.

Wir prüfen bestehende AVVs auf ihre Rechtssicherheit, erstellen individuelle Verträge und übernehmen den gesamten AVV-Prozess, um Sie und Ihr Unternehmen abzusichern und zu entlasten.

Ein Auszug aus unseren Dienstleistungen:

Prüfung und Anpassung bestehender AVVs

Erstellung maßgeschneiderter Auftragsverarbeitungsverträge

Begleitung von Vertragsverhandlungen mit Auftragsverarbeitern

Schulungen und Beratungen zu DSGVO-relevanten Themen

Stellung des externen Datenschutzbeauftragten

Beratung zur Risiko- und Haftungsminimierung

Schnelle Unterstützung bei Vorfällen

Unsere Mandanten profitieren von unserer langjährigen Erfahrung in den Bereichen Datenschutz, Compliance und IT-/Vertrags-Recht. Wir bieten zudem regelmäßige Schulungen und Beratungen an, um sicherzustellen, dass Ihr Unternehmen kontinuierlich auf dem neuesten Stand der Datenschutzbestimmungen bleiben.

Der Abschluss einer AVV ist somit nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Bestandteil eines sicheren Datenschutzmanagements. Unternehmen, die Auftragsverarbeitungsverträge abschließen müssen, sollten sich bewusst sein, dass fehlerhafte oder fehlende AVVs erhebliche Risiken für den Geschäftsbetrieb und für die Geschäftsführungsebene mit sich bringen. Eine sorgfältige Prüfung und individuelle Vertragsgestalltung sind unerlässlich, um rechtliche Sicherheit zu gewährleisten.

Wir als erfahrene Anwaltskanzlei unterstützen Unternehmen umfassend bei der Umsetzung der DSGVO-Anforderungen und sorgen für rechtssichere AVVs.

Kontaktieren Sie uns für eine unverbindliche Erstberatung und stellen Sie sicher, dass Ihre Datenschutzmaßnahmen den gesetzlichen Vorgaben entsprechen.

Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein entscheidender Wettbewerbsvorteil.

„Konzentrieren Sie sich auf Ihr Geschäft, wir halten Ihnen den Rücken frei!“

Auch interessant zum Thema:

Rechtssichere Nutzungsbedingungen, Datenschutzrichtlinien und IT-Verträge: So sichern Sie Ihr Unternehmen ab

Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen

Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse

Bürokratische Vorgaben, Datenschutz und Compliance als lästige Herausforderung – Wie Unternehmen durch praxisnahe Lösungen direkt entlastet werden können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten

Häufige Fragen (FAQs)

Was passiert, wenn ich keine AVV abschließe?

Unternehmen riskieren hohe Bußgelder und rechtliche Konsequenzen. Zudem kann es zu Schadensersatzansprüchen von betroffenen Personen kommen. Im Zweifelsfall haftet hierfür die Geschäftsführung privatrechtlich.

Wer haftet für Verstöße gegen die DSGVO?

Der Verantwortliche bleibt letztlich für die Einhaltung der DSGVO verantwortlich. In bestimmten Fällen können auch Geschäftsführer persönlich haftbar gemacht werden.

Kann ich Standardvorlagen aus dem Internet nutzen?

Standardvorlagen können eine gute erste Orientierung bieten, sind jedoch oft nicht ausreichend. Individuelle Anpassungen sind notwendig, um spezifische Anforderungen und Risiken abzudecken.

Wie oft sollten AVVs überprüft werden?

Eine regelmäßige Überprüfung wird empfohlen, insbesondere bei Änderungen der Verarbeitungstätigkeiten oder neuen gesetzlichen Vorgaben. Dies ist jeweils von der Brisanz der verarbeiteten Daten abhängig zu machen.

Welche Kosten entstehen durch eine rechtliche Prüfung?

Die Kosten hängen vom Umfang der Prüfung ab. Eine Investition in eine rechtssichere AVV zahlt sich jedoch langfristig aus, indem sie hohe Bußgelder und rechtliche Risiken vermeidet.

Aktuelle Beiträge

Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern

Als Geschäftsführer einer GmbH tragen Sie eine besondere Verantwortung – nicht nur für den wirtschaftlichen Erfolg Ihres Unternehmens, sondern auch für die rechtskonforme Führung aller Geschäfte. Was viele Geschäftsführer von GmbHs unterschätzen: „Im Falle von...

Influencer Marketing: Werbekennzeichnung und Schleichwerbung vermeiden

Als Influencer:in erreichst du täglich Hunderte oder sogar Millionen Menschen. Unternehmen arbeiten gern mit dir zusammen, um ihre Produkte authentisch zu präsentieren. Doch aufgepasst: Das Internet ist kein rechtsfreier Raum – gerade beim Influencer Marketing gibt es...

IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt

Als Entscheider in einem Unternehmen stehen Sie täglich vor der Herausforderung, technologische Innovationen mit rechtlichen Rahmenbedingungen in Einklang zu bringen. Ob Softwarelizenzen, Cloud-Dienste oder der Betrieb eines Online-Shops – die digitale Transformation...

CSC-Anbauvereinigung – Warum es sinnvoll für jeden Verein ist, einen eigenen Anwalt zu haben

Der Weg vom Konzept eines Cannabis Social Clubs (CSC) bis zur erfolgreichen Erlangung einer Anbaugenehmigung ist mit zahlreichen rechtlichen Hürden gepflastert. Als eine der führenden Kanzleien in diesem speziellen Rechtsgebiet haben wir bereits viele...

Meldestelle gemäß Hinweisgeberschutzgesetz (HinSchG) in Vereinen: Vertrauen schaffen, Risiken vermeiden

Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 in Kraft und betrifft nicht nur Unternehmen, sondern auch Vereine, insbesondere dann, wenn sie eine gewisse Anzahl an Mitarbeitenden beschäftigen oder in sensiblen Bereichen tätig sind. Die Einführung...

Datenschutz: Warum er auch in Gemeinden, Behörden und öffentlichen Einrichtungen unverzichtbar ist

Datenschutz ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere in Gemeinden, Behörden und öffentlichen Einrichtungen wie z.B. Schulen. Hier werden täglich sensible personenbezogene Daten verarbeitet, die einem besonderen Schutz unterliegen....

Sicherheit für Influencer:innen: Künstlername eintragen lassen und als Marke schützen

Als Influencer:in ist dein Name dein Markenzeichen und dein Business! Doch was passiert, wenn jemand anderes ihn verwendet? Ohne rechtlichen Schutz könnte dein Name von Dritten genutzt oder sogar als Marke eingetragen werden – was bedeutet, dass du möglicherweise...

Die zentrale Rolle technisch-organisatorischer Maßnahmen (TOM) in Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO

Für Unternehmen, die personenbezogene Daten an externe Dienstleister outsourcen, sind technisch-organisatorische Maßnahmen (TOM) ein entscheidender Pfeiler der Compliance. Art. 28 DSGVO verpflichtet Auftraggeber und -nehmer dazu, in der...

Cannabis Social Clubs (CSC): Ärger mit dem Finanzamt vermeiden!

Die Gründung und der Betrieb von Cannabis Social Clubs (CSCs) in Deutschland bieten die Möglichkeit, Cannabis gemeinschaftlich und legal anzubauen. Doch dieser Weg ist mit zahlreichen rechtlichen Herausforderungen verbunden, die es zu meistern gilt. Neben der...

Vorbestraft? Einträge im polizeilichen Führungszeugnis löschen lassen

Ein Eintrag im polizeilichen Führungszeugnis stellt für viele Betroffene eine erhebliche Belastung dar! Besonders dann, wenn dieser Eintrag die berufliche Zukunft oder das soziale Leben beeinflusst. Arbeitgeber, Behörden und Institutionen verlangen in vielen Fällen...