In Kürze verfügbar Art. 28 DSGVO — Pflicht bei Auftragsverarbeitung

AVV-Prüfung

Auftragsverarbeitungsverträge mit allen externen Dienstleistern — geprüft, vollständig und DSGVO-konform. Wir inventarisieren, prüfen und schließen die Lücken.

Jetzt vormerken lassen Was wir prüfen

AVV-Inventar Übersicht

Microsoft 365 AVV vorhanden

Datev Lohn AVV vorhanden

HubSpot CRM AVV veraltet

Shopify AVV vorhanden

Zoom Kein AVV

Dropbox Business Kein AVV

Freshdesk SCCs prüfen

Compliance-Rate 4 / 7

Vertrauen führender Unternehmen

Was wir bei jedem AVV prüfen

Ein AVV zu haben reicht nicht. Er muss auch korrekt und vollständig sein — auf Ihren konkreten Fall zugeschnitten.

Mindestinhalt Art. 28

Sind alle gesetzlich vorgeschriebenen Inhalte vorhanden? Gegenstand, Dauer, Zweck, Datenkategorien, Weisungsrecht, Vertraulichkeit und Nachweispflichten.

Technische Maßnahmen

Sind die vereinbarten technischen und organisatorischen Maßnahmen (TOM) konkret und ausreichend — oder nur allgemeine Floskeln ohne Aussagekraft?

Sub-Auftragsverarbeiter

Welche Unterauftragnehmer nutzt der Dienstleister? Sind diese transparent aufgeführt? Haben Sie ein Widerspruchsrecht bei Änderungen?

Drittstaaten-Transfer

Werden Daten in Länder außerhalb der EU/EEA übertragen? Wenn ja: Sind EU-Standardvertragsklauseln (SCCs) oder andere Garantien vorhanden und aktuell?

Aktualität & Gültigkeit

Ist der AVV noch aktuell? Ältere Verträge vor 2018 oder nach der Schrems-II-Entscheidung sind oft nicht mehr ausreichend. Wir prüfen auf Aktualität.

Löschung & Rückgabe

Was passiert mit Ihren Daten am Vertragsende? Der AVV muss klare Regelungen zu Löschung oder Rückgabe aller personenbezogenen Daten enthalten.

So läuft die AVV-Prüfung ab

Strukturiert, vollständig und ohne Lücken — von der Inventarisierung bis zur revisionssicheren Dokumentation.

Inventarisierung

Vollständige Erfassung aller externen Dienstleister mit Zugang zu personenbezogenen Daten — inkl. Cloud-Services, SaaS-Tools, IT-Dienstleister und externe Mitarbeiter.

AVV-Audit

Prüfung bestehender AVVs auf Vollständigkeit, Aktualität und Konformität mit Art. 28 DSGVO sowie aktueller Rechtsprechung (inkl. Schrems II, SCCs 2021).

Lückenschluss

Erstellung fehlender AVVs auf Basis bewährter Muster, Nachverhandlung unzureichender Verträge mit Dienstleistern, Beschaffung von SCCs für Drittstaaten-Transfers.

Dokumentation

Vollständige AVV-Übersicht als Teil Ihrer Datenschutzdokumentation — revisionssicher, mit Versionierung und Erinnerungsfunktion für Ablaufdaten.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist eine rechtlich verbindliche Vereinbarung nach Art. 28 DSGVO zwischen einem Verantwortlichen (Ihrem Unternehmen) und einem Auftragsverarbeiter (z.B. einem Cloud-Anbieter, IT-Dienstleister, Marketinganbieter). Er regelt, wie der Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten darf, welche technischen und organisatorischen Maßnahmen er ergreift und welche Rechte Sie als Auftraggeber haben.

Mit welchen Dienstleistern brauche ich einen AVV?

Immer dann, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet — also nicht für eigene Zwecke. Typische Beispiele: Cloud-Services (Microsoft 365, Google Workspace, AWS, Azure), E-Mail-Marketing-Tools, CRM-Systeme, Lohnabrechnung extern, IT-Support mit Systemzugang, Buchhaltungssoftware als SaaS, Videokonferenz-Dienste, Hosting-Anbieter, HR-Software. Die Liste ist länger als die meisten Unternehmen vermuten.

Was muss ein AVV mindestens enthalten?

Art. 28 DSGVO schreibt einen Mindestinhalt vor: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der Betroffenen sowie Pflichten und Rechte des Verantwortlichen. Außerdem: Vertraulichkeitsverpflichtung, Sicherheitsmaßnahmen (TOM), Sub-Auftragsverarbeitung, Unterstützungspflichten bei Betroffenenanfragen, Löschung/Rückgabe nach Vertragsende und Nachweispflichten. Ein AVV-Template des Dienstleisters reicht oft nicht aus — es muss Ihren konkreten Fall abdecken.

Reicht der Standard-AVV des Dienstleisters?

Meist nicht vollständig. Viele Dienstleister bieten Muster-AVVs an, die die gesetzlichen Mindestanforderungen erfüllen — aber Ihre spezifische Verarbeitung nicht immer korrekt abbilden. Wir prüfen, ob der vorgelegte AVV zu Ihren tatsächlichen Verarbeitungstätigkeiten passt, ob die vereinbarten TOM ausreichend sind und ob Regelungen zu Sub-Auftragsverarbeitern vollständig und akzeptabel sind.

Was droht, wenn wir keinen AVV haben?

Das Fehlen eines AVV bei einer Auftragsverarbeitung ist ein direkter DSGVO-Verstoß. Die Aufsichtsbehörden prüfen dies aktiv, besonders nach Datenpannen oder Beschwerden. Bußgelder können bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes betragen. Neben Bußgeldern drohen Schadensersatzansprüche von Betroffenen und Reputationsschäden.

Wie läuft eine AVV-Prüfung durch AWARE7 ab?

Zunächst inventarisieren wir gemeinsam alle Ihre externen Dienstleister mit Datenzugang. Für jeden prüfen wir: Liegt ein AVV vor? Ist er DSGVO-konform? Deckt er die tatsächliche Verarbeitung ab? Sind die TOM ausreichend? Für fehlende AVVs erarbeiten wir Muster, für lückenhafte helfen wir bei Nachverhandlungen. Am Ende erhalten Sie eine vollständige AVV-Übersicht als Teil Ihrer Datenschutzdokumentation.

Können AVVs auch für Drittstaaten-Übertragungen relevant sein?

Ja, und das ist besonders kritisch. Wenn Dienstleister Daten in Länder außerhalb der EU/EEA übertragen (z.B. USA), brauchen Sie zusätzlich einen Transfermechanismus — z.B. EU-Standardvertragsklauseln (SCCs). Wir prüfen, ob Ihre Dienstleister Daten in Drittstaaten übertragen und ob die erforderlichen Garantien vorliegen. Besonders relevant: viele US-SaaS-Dienste (auch mit EU-Rechenzentrum) können unter US-Recht fallen.

Ihr Ansprechpartner

Dieser Service startet in Kürze. Hinterlassen Sie Ihre Anfrage — wir melden uns persönlich und besprechen Ihren Bedarf.

Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

Vollständiges Profil ansehen

Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

Vollständiges Profil ansehen

Aus dem Blog

Alle Artikel

Compliance & Standards