Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Datenschutz & Compliance Glossar

Auftragsverarbeitungsvertrag (AVV / DPA)

Vertragliches Instrument nach Art. 28 DSGVO, das zwischen Verantwortlichem (Auftraggeber) und Auftragsverarbeiter (Dienstleister) abgeschlossen werden muss, wenn Dritte personenbezogene Daten im Auftrag verarbeiten. Ohne AVV ist die Datenverarbeitung durch den Dienstleister rechtswidrig.

Der Auftragsverarbeitungsvertrag (AVV), auch Data Processing Agreement (DPA) oder nach dem englischen Namen bekannt, ist das Herzstück des datenschutzrechtlichen Verhältnisses zwischen Unternehmen und ihren Dienstleistern. Fehlt er, drohen DSGVO-Bußgelder - auch wenn die Daten selbst sicher verarbeitet werden.

Wann ist ein AVV erforderlich?

Ein AVV ist immer dann erforderlich, wenn ein Dienstleister personenbezogene Daten im Auftrag des Unternehmens und damit weisungsgebunden verarbeitet. Typische Fälle sind:

  • Cloud-Dienste (Microsoft 365, Google Workspace, AWS)
  • Steuerberater und Lohnbuchhaltung
  • Marketing-Dienstleister (Newsletter-Versand)
  • IT-Dienstleister (Systemadministration, Support)
  • Callcenter und Webhosting-Anbieter
  • HR-Software (Personio, Workday)
  • CRM-Systeme (Salesforce, HubSpot)

Kein AVV erforderlich ist hingegen, wenn der Dienstleister eigenverantwortlicher Verantwortlicher ist (z.B. Rechtsanwälte, Ärzte, Banken) oder wenn gar keine personenbezogenen Daten verarbeitet werden.

Grauzonen

Einige Fälle erfordern genaue Prüfung: Steuerberater benötigen meistens einen AVV, da sie Mitarbeiterdaten verarbeiten. Banken sind eigenverantwortlich - kein AVV, aber Bankgeheimnis gilt. Dolmetscher die Protokolle erhalten, benötigen dagegen einen AVV.

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Ein rechtswirksamer AVV muss mindestens folgende Punkte regeln:

1. Gegenstand, Dauer, Art und Zweck der Verarbeitung Eine präzise Beschreibung wie: „Wir beauftragen XY mit der Gehaltsabrechnung von […] Mitarbeitern für den Zeitraum […]. Verarbeitete Daten: Name, IBAN, Gehalt, […]”

2. Art der personenbezogenen Daten und Kategorien der Betroffenen Konkrete Nennung: „Beschäftigte des Auftraggebers: Name, Adresse, Geburtsdatum, IBAN, Gehalt, Sozialversicherungsnummer, steuerliche Daten”

3. Weisungsgebundenheit des Auftragsverarbeiters Klare Formulierung: „Der Auftragsverarbeiter verarbeitet nur auf dokumentierte Weisung.”

4. Vertraulichkeit Alle autorisierten Personen müssen zur Vertraulichkeit verpflichtet sein.

5. Technische und organisatorische Maßnahmen (TOMs) In einer Anlage beigefügt oder direkt aufgeführt - mit konkreten Maßnahmen (Verschlüsselung, Zugriffskontrolle).

6. Unterauftragsverarbeiter Liste der Sub-Auftragsverarbeiter oder allgemeine Genehmigung, verbunden mit einer Informationspflicht bei Änderungen.

7. Betroffenenrechte unterstützen Der Dienstleister muss bei Auskunfts-, Lösch- und Berichtigungsanfragen helfen.

8. Unterstützung bei Datenschutz-Pflichten Mitwirkung bei TOMs, Datenschutz-Folgenabschätzungen und Meldung von Datenpannen.

9. Löschung oder Rückgabe nach Auftragsende Was passiert mit den Daten nach Vertragsende muss klar geregelt sein.

10. Nachweis und Audits Der Auftragsverarbeiter muss Audits durch den Auftraggeber ermöglichen.

Standardvertragsklauseln und Vorlagen

Für die Erstellung eines AVV gibt es verschiedene Optionen:

DSK (Datenschutzkonferenz) Muster-AVV: Kostenlos verfügbar und von deutschen Aufsichtsbehörden anerkannt. Download unter datenschutzkonferenz-online.de.

Anbieter-eigene AVVs: Microsoft lässt den AVV online im Admin Center akzeptieren, Google bietet ein Google Workspace Data Processing Amendment, AWS integriert den AVV in die Kundenvereinbarung. Wichtig: Anbieter-AVVs sind oft einseitig formuliert - es muss geprüft werden, ob alle Pflichtinhalte vollständig enthalten sind.

Eigener AVV ist sinnvoll bei kleineren Dienstleistern ohne eigenen AVV, wenn der Anbieter-AVV unvollständig ist oder wenn besondere Anforderungen wie konkrete Audit-Rechte gewünscht werden.

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Die Einordnung des Rechtsverhältnisses ist entscheidend und hat erhebliche Konsequenzen:

VerhältnisRechtsgrundlageCharakteristikBeispiel
AuftragsverarbeitungArt. 28 DSGVODienstleister handelt nur nach WeisungLohnbuchhaltungs-Software (Personio)
Gemeinsame VerantwortlichkeitArt. 26 DSGVOBeide Parteien bestimmen Zweck und Mittel gemeinsamFacebook Custom Audiences
Eigenverantwortlichkeit-Dienstleister verfolgt eigene ZweckeRechtsanwalt, Steuerberater mit Berufsverschwiegenheit

Der EuGH hat entschieden, dass Fanpage-Betreiber gemeinsam mit Meta verantwortlich sind - eine falsche Einordnung kann erhebliche Bußgelder nach sich ziehen.

Prüfung bestehender AVVs

Vollständigkeit (Art. 28 Abs. 3)

  • Gegenstand und Dauer beschrieben?
  • Art der Daten und Betroffene benannt?
  • Weisungsgebundenheit festgelegt?
  • Vertraulichkeit geregelt?
  • TOMs aufgeführt (Anlage)?
  • Unterauftragsverarbeiter gelistet?
  • Betroffenenrechte-Unterstützung?
  • Löschung nach Vertragsende?
  • Auditrechte des Auftraggebers?

Technische und organisatorische Maßnahmen (Anlage)

  • Konkrete Maßnahmen (nicht nur „angemessen”)?
  • Verschlüsselung erwähnt?
  • Zugriffskontrolle beschrieben?
  • Backup und Notfallprozesse?
  • Datenpannen-Meldeprozess (72-Stunden-Frist!)?

Drittlandübermittlung

  • Werden Daten in Drittländer übermittelt (USA, UK usw.)?
  • Wenn ja: Rechtsgrundlage vorhanden? (EU-US Data Privacy Framework, SCCs)
  • Unterauftragsverarbeiter im Drittland?

Häufige Lücken

  • TOMs zu allgemein formuliert: „wir verwenden geeignete Maßnahmen”
  • Unterauftragsverarbeiter nicht aktuell (neue Cloud-Provider fehlen)
  • Drittlandübermittlung nicht adressiert (US-Cloud!)
  • Kein Auditrecht des Auftraggebers vorgesehen

Bußgelder bei fehlendem AVV

Deutsche Fälle

Sachsen-Anhalt (2019): Ein Wohlfahrtsverband hatte keinen AVV mit seinem IT-Dienstleister abgeschlossen. Da es sich um einen ersten Verstoß mit kooperativer Haltung handelte, erging eine Verwarnung.

Berlin (2019): Die Deutsche Wohnen war von mehreren Verstößen betroffen, darunter auch AVV-Mängel. Diese wurden Teil eines Gesamtbußgelds von 14,5 Millionen Euro.

EU-Fälle

Schweden (2020): Unternehmens-E-Mail bei Google ohne AVV - 75.000 Euro Bußgeld.

Portugal (2019): Ein Krankenhaus hatte keinen AVV mit seinem IT-Dienstleister - 400.000 Euro Bußgeld.

Strafrahmen

Nach Art. 83 Abs. 4 DSGVO drohen bis zu 10.000.000 Euro oder 2% des weltweiten Jahresumsatzes (der höhere Wert gilt).

In der Praxis erhalten kooperative Unternehmen bei ersten Verstößen oft Verwarnungen. Bei bewussten Verstößen oder Datenpannen ohne vorhandenen AVV sind jedoch erhebliche Bußgelder zu erwarten.

AWARE7 Leistungen zum Thema

ISO 27001 Beratung ISO 27001 Gap-Analyse

Ausführlicher Wiki-Artikel

DSGVO und IT-Sicherheit: Technische Anforderungen, TOMs und Umsetzung

14 min Lesezeit

ISO 27001 - Informationssicherheitsmanagementsystem

9 Min. Lesezeit

Verwandte Begriffe

DSGVO (Datenschutz-Grundverordnung) ISO 27001 Risikomanagement (IT-Sicherheit) TOMs (Technisch-organisatorische Maßnahmen)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung