AV-Vertrag (Auftragsverarbeitung) erklärt: Wann brauche ich einen?
Was ist Auftragsverarbeitung?
Auftragsverarbeitung nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeitet und keine eigenen Zwecke verfolgt. Der Verantwortliche bleibt in der Datenschutz-Verantwortung, der Auftragsverarbeiter ist „verlängerter Arm“. Klassische Fälle: AWS- oder Azure-Hosting, Mailchimp/Brevo für Newsletter, externe Buchhaltungs-Software (DATEV), Cloud-CRM (HubSpot, Salesforce), Helpdesk-Tools (Zendesk).
Abgrenzung, was ist KEINE Auftragsverarbeitung?
Wenn der Dienstleister eigene Zwecke verfolgt oder eine eigene gesetzliche Pflicht hat, liegt keine Auftragsverarbeitung vor, sondern eine eigene Verantwortlichkeit oder gemeinsame Verantwortung (Art. 26). Beispiele ohne AVV: Steuerberater (gesetzliche Berufspflichten), Rechtsanwalt, Wirtschaftsprüfer, Bank, Paketdienstleister mit eigener Vertragsbeziehung zum Empfänger. Hier reicht eine normale Vertraulichkeitsvereinbarung.
Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
Der AVV muss schriftlich (auch elektronisch) festlegen: (a) Gegenstand und Dauer der Verarbeitung, (b) Art und Zweck, (c) Art der personenbezogenen Daten und Kategorien Betroffener, (d) Rechte und Pflichten des Verantwortlichen, (e) Weisungsbindung, (f) Verschwiegenheits-Pflicht, (g) TOMs nach Art. 32, (h) Sub-Verarbeitung nur mit Genehmigung, (i) Unterstützung bei Betroffenenrechten und Pannen-Meldung, (j) Rückgabe oder Löschung am Ende, (k) Nachweis- und Audit-Pflichten.
Sub-Auftragsverarbeitung
Setzt der Dienstleister selbst Sub-Unternehmen ein (z. B. AWS, Google), braucht er deine Genehmigung, entweder konkret oder als allgemeine Genehmigung mit Widerspruchsrecht. Die meisten Cloud-Anbieter listen ihre Sub-Verarbeiter öffentlich und informieren über Änderungen. Wichtig: Bei Sub-Verarbeitern in Drittländern (USA!) zusätzlich Art. 44 ff. beachten (Standardvertragsklauseln, TIA, ggf. Data Privacy Framework).
Praxis-Workflow: AVV im Einkauf verankern
Schritt 1: Bei jedem neuen Tool prüfen, ob personenbezogene Daten verarbeitet werden. Schritt 2: AVV vom Anbieter anfordern (meist standardisiert verfügbar). Schritt 3: TOMs prüfen und mit eigenem Schutzbedarf abgleichen. Schritt 4: Vertrag unterschreiben/elektronisch akzeptieren. Schritt 5: Eintrag im Verarbeitungsverzeichnis (Art. 30). Schritt 6: Jährliches Review, bei Anbieter-Wechsel Datenlöschung dokumentieren lassen.
Typische Fallen
(1) Free-Tier-Tools ohne AVV, verboten, auch in kleinen Teams. (2) US-Anbieter ohne Data Privacy Framework Zertifizierung oder ohne Standardvertragsklauseln + Transfer Impact Assessment. (3) Newsletter-Tools, die deine Empfänger-Liste „verbessern“, dann sind sie eigenständig verantwortlich, AVV reicht nicht. (4) IT-Dienstleister vor Ort mit Admin-Zugriff. AVV nötig, auch wenn sie keine Daten „mitnehmen“.
Folgen bei fehlendem AVV
Verstoß gegen Art. 28 ist nach Art. 83 Abs. 4 mit Bußgeldern bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je höher) bewehrt. Die Aufsichtsbehörden verhängen reale Bußgelder regelmäßig, etwa 65.500 € gegen ein Unternehmen, das ohne AVV mit einem Marketing-Dienstleister zusammenarbeitete (LfDI BW 2021).
Hinweis
Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))