Datenschutz

Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Zuletzt aktualisiert:

Was ein AVV ist

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt die rechtliche Beziehung zwischen Verantwortlichem (du) und Auftragsverarbeiter (z.B. Dienstleister). Pflicht in Schriftform oder elektronisch. Mindest-Inhalte vorgeschrieben.

Wann AVV-Pflicht greift

  • Cloud-Provider (AWS, Azure, Google Cloud, Hetzner, IONOS).

  • E-Mail-Marketing (Mailchimp, Brevo, ConvertKit).

  • CRM- + Sales-Tools (Salesforce, HubSpot, Pipedrive).

  • Helpdesk + Customer-Service (Zendesk, Intercom, Freshdesk).

  • Steuerberater + Lohnbüro (wenn sie Mitarbeiter-Daten verarbeiten).

  • IT-Dienstleister (wenn sie Zugriff auf personenbezogene Daten haben).

  • Cookie-Banner-Tools (Cookiebot, UserCentrics, OneTrust).

  • Analytics-Tools (Google Analytics, Matomo, Plausible).

Pflicht-Inhalte (Art. 28 Abs. 3)

  1. Gegenstand + Dauer der Verarbeitung.

  2. Art + Zweck der Verarbeitung.

  3. Art der personenbezogenen Daten.

  4. Kategorien betroffener Personen.

  5. Pflichten + Rechte des Verantwortlichen.

  6. Verarbeitungsanweisungen.

  7. Vertraulichkeitsverpflichtung der Mitarbeitenden.

  8. Technisch-organisatorische Massnahmen (TOMs).

  9. Sub-Verarbeiter-Regelung.

  10. Unterstützung bei Betroffenenrechten.

  11. Löschung oder Rückgabe nach Vertragsende.

  12. Audit-Recht.

Sub-Verarbeiter

Wenn Dienstleister selbst andere einsetzen (z.B. Mailchimp nutzt AWS), brauchst du Transparenz + Kontrolle. Zwei Standard-Modelle: Sondergenehmigung pro Sub-Verarbeiter ODER generelle Genehmigung mit Liste + Widerspruchsrecht.

Praxis-Tipps

  • Vorlagen: bei jedem größeren Anbieter Standard-AVV verfügbar. PDF unterschreiben.

  • TOMs anschauen: stehen sie konkret drin oder nur 'angemessene Massnahmen'? Letzteres reicht oft nicht.

  • Sub-Verarbeiter-Liste pflegen: zentrale Übersicht aller AVVs + Sub-Verarbeiter.

  • Audit-Recht klar regeln: einmal pro Jahr typisch.

Bussgeld-Risiko

Verstoss gegen Art. 28 ist niedriges-Niveau-Bussgeld (bis 10 Mio EUR oder 2 % Umsatz). Hauptrisiko: bei einer Datenpanne ist ohne AVV der Schadensersatz-Anspruch des Betroffenen direkt gegen dich, nicht den Dienstleister.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.