Datenschutz & Compliance

Auftragsverarbeitung: Welche Verträge Unternehmen mit ihren Dienstleistern brauchen

6 Min. Lesezeit
Kurze Antwort

Ein AVV nach Art. 28 DSGVO ist immer dann Pflicht, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Das betrifft Webhosting, CRM-Systeme, E-Mail-Marketing-Tools und viele Cloud-Dienste.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) ist eine schriftliche Vereinbarung zwischen einem Unternehmen als Verantwortlichem und einem Dienstleister als Auftragsverarbeiter. Rechtsgrundlage ist Art. 28 DSGVO. Die Regelung ist keine Bürokratie-Kür, sondern zwingendes Recht: Wer ohne AVV personenbezogene Daten an Dritte übergibt, begeht einen Datenschutzverstoß, der mit Bußgeldern bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden kann.

Der AVV legt fest, was der Dienstleister mit den Daten tun darf, welche technischen und organisatorischen Maßnahmen er ergreifen muss, ob und welche Unter-Auftragsverarbeiter er einsetzen darf, und wie er bei Datenpannen reagieren muss. Er macht den Dienstleister weisungsgebunden: Der Auftragsverarbeiter darf die Daten ausschließlich nach Ihren Anweisungen verarbeiten, nicht für eigene Zwecke.

Für Unternehmen bedeutet das in der Praxis: Bevor Sie irgendwelche personenbezogenen Daten (Kundendaten, Mitarbeiterdaten, Interessenten) an einen externen Dienstleister weitergeben oder zugänglich machen, muss ein AVV vorhanden und unterschrieben sein. Die Verantwortung bleibt beim Unternehmen — der Dienstleister haftet zwar mit, aber ein fehlender AVV trifft immer zuerst Sie als Verantwortlichen.

Mit diesen Dienstleistern brauchen Sie einen AVV

  • Webhosting-Anbieter: Ihr Hoster speichert alle Kontaktformulareinsendungen, Bestelldaten und Nutzer-IPs — AVV ist zwingend, fast alle seriösen Hoster bieten ihn fertig an.
  • CRM-Systeme (HubSpot, Salesforce, Pipedrive): Enthalten vollständige Kundendaten mit Kontakthistorie, Umsätzen und persönlichen Notizen — besonders kritisch bei US-Anbietern.
  • E-Mail-Marketing-Tools (Mailchimp, Brevo, Klaviyo): Verwalten Adresslisten mit personenbezogenen Daten — ohne AVV ist jeder Newsletter-Versand datenschutzwidrig.
  • Externe Lohnbuchhaltung: Steuerberater oder Lohnbüros verarbeiten hochsensible Mitarbeiterdaten — gesonderter AVV oder Berufsgeheimnisträger-Ausnahme prüfen.
  • IT-Dienstleister mit Systemzugang: Wer remote auf Ihren Server oder Ihre Datenbank zugreift, verarbeitet potenziell alle darin enthaltenen Personendaten.
  • Cloud-Speicher (Google Drive, Dropbox, OneDrive): Werden oft gedankenlos für Kundendokumente genutzt — US-Anbieter erfordern besondere Prüfung der Datenschutzgrundlagen.
  • Buchhaltungssoftware in der Cloud (DATEV, Lexoffice): Enthält Kunden- und Lieferantendaten — AVV mit dem Software-Anbieter erforderlich.
  • Support-Ticket-Systeme (Zendesk, Freshdesk): Verarbeiten Kundenkommunikation inklusive persönlicher Anfragen und Kontaktdaten.

Was muss ein AVV mindestens enthalten?

Art. 28 DSGVO schreibt vor, was ein rechtswirksamer AVV enthalten muss. Ein selbst formuliertes Dokument ohne diese Mindestinhalte schützt Sie im Zweifel nicht. Die meisten seriösen Dienstleister haben standardisierte AVVs, die Sie einfach annehmen können — prüfen Sie aber, ob alle Pflichtbestandteile vorhanden sind.

Zwingend enthalten sein müssen: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen, die Weisungsbindung des Auftragsverarbeiters, Vertraulichkeitspflichten seiner Mitarbeiter, technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, Regelungen zu Unter-Auftragsverarbeitern (Sub-AVV), Unterstützungspflichten bei Betroffenenanfragen, Löschpflichten nach Auftragsende und Kontrollrechte des Verantwortlichen.

Besonders wichtig ist die Regelung zu Sub-Auftragsverarbeitern: Wenn Ihr Mailchimp-Konto beispielsweise über Amazon Web Services betrieben wird, ist AWS ein Sub-Auftragsverarbeiter. Dieser muss ebenfalls vertraglich eingebunden sein — und Sie müssen das wissen. Prüfen Sie daher immer die aktuelle Liste der Sub-Auftragsverarbeiter Ihrer wichtigsten Dienstleister.

Typische Lücken, die bei Prüfungen auffallen

Google Analytics ist der häufigste Befund: Viele Unternehmen nutzen es ohne gültigen AVV und ohne korrekte Einwilligung. Dropbox und Google Drive werden für Kundendateien genutzt, ohne dass je ein AVV geprüft wurde. Mailchimp-Nutzer versenden Newsletter an selbst erfasste Adressen — ohne AVV, ohne geprüfte Rechtsgrundlage. Besonders gefährlich: Wenn ein externer Buchhalter Excel-Listen mit Kundendaten bekommt und kein AVV vorliegt, ist das ein meldepflichtiger Datenschutzvorfall, sobald er bekannt wird.

AVV systematisch nachholen: So gehen Sie vor

  1. Dienstleister-Inventar erstellen

    Listen Sie alle externen Dienstleister auf, die irgendwie mit Ihren Kundendaten, Mitarbeiterdaten oder Interessentendaten in Berührung kommen. Denken Sie auch an Software-as-a-Service-Angebote, die Sie im Browser nutzen — auch diese speichern Ihre Daten auf fremden Servern.

  2. AVV-Pflicht prüfen

    Für jeden Dienstleister prüfen: Verarbeitet er personenbezogene Daten in meinem Auftrag? Wenn ja: AVV Pflicht. Ausnahme: Berufsgeheimnisträger wie Rechtsanwälte und Steuerberater fallen teilweise unter eine eigene Regelung — aber auch hier ist Vorsicht geboten.

  3. AVV beim Dienstleister anfordern oder herunterladen

    Die meisten seriösen Anbieter (AWS, Google, Microsoft, HubSpot) stellen AVVs in ihren Datenschutzeinstellungen bereit, die online akzeptiert werden. Für kleinere Dienstleister müssen Sie aktiv nachfragen — ein Dienstleister, der keinen AVV anbietet, ist ein Datenschutzrisiko.

  4. Inhalt prüfen, nicht blind unterschreiben

    Prüfen Sie zumindest, ob Zweck, Datenkategorien und Sub-Auftragsverarbeiter-Liste enthalten sind. Bei US-Anbietern: Welche Übermittlungsgrundlage gilt für den Datentransfer in die USA (Standard-Vertragsklauseln, Adequacy Decision)?

  5. AVVs zentral dokumentieren

    Speichern Sie alle unterzeichneten oder akzeptierten AVVs an einem zentralen Ort und notieren Sie Datum und Version. Im Verzeichnis von Verarbeitungstätigkeiten (VVT) muss jeder AVV referenziert sein. Das ist der erste Punkt, den eine Datenschutzbehörde bei einer Prüfung einsehen will.

  6. Regelmäßig aktualisieren

    Dienstleister ändern ihre Sub-Auftragsverarbeiter-Listen und AVV-Versionen. Abonnieren Sie entsprechende Update-Benachrichtigungen oder prüfen Sie jährlich, ob der AVV noch aktuell und rechtswirksam ist.

INREMA-Einschätzung

In unserer Beratungspraxis fehlen bei 80 % der Erstprüfungen AVVs für mindestens drei Dienstleister. Das häufigste Muster: Hosting stimmt, Newsletter-Tool fehlt, CRM wird komplett übersehen. Ein AVV-Inventar aufzubauen ist kein Mammutprojekt — mit einer strukturierten Liste und zwei Stunden Arbeit haben die meisten KMUs ihre kritischsten Lücken geschlossen.

Praktischer Tipp für den Einstieg

Starten Sie mit Ihren drei wichtigsten Dienstleistern: Webhosting, E-Mail-Marketing und CRM. Dort liegen in der Regel die meisten Kundendaten. Googeln Sie einfach '[Anbieter] Auftragsverarbeitungsvertrag' — seriöse Anbieter haben eine Landingpage dafür. Ergebnis nach zwei Stunden: Die drei kritischsten Lücken sind geschlossen, der Rest folgt schrittweise.

Was passiert ohne AVV?

Fehlt ein vorgeschriebener AVV, liegt ein Datenschutzverstoß vor — unabhängig davon, ob Daten tatsächlich missbraucht wurden. Die bloße Tatsache, dass keine Vereinbarung besteht, ist der Verstoß. Datenschutzbehörden können diesen Verstoß aktiv prüfen, wenn Beschwerden eingehen oder Kontrollen durchgeführt werden.

Die Konsequenzen reichen von einer Verwarnung über Anordnungen zur sofortigen Nachbesserung bis hin zu Bußgeldern. In der Praxis sind Bußgelder für fehlende AVVs bei kleinen Unternehmen selten sechsstellig, aber vier- bis fünfstellige Bescheide kommen vor. Teurer wird es, wenn der fehlende AVV mit anderen Verstößen zusammentrifft — zum Beispiel wenn auch die Einwilligung für den Newsletter fehlt.

Hinzu kommt das Reputationsrisiko: Wenn ein Datenschutzverstoß publik wird, steht das Unternehmen vor seinen Kunden als fahrlässig da. Für B2B-Unternehmen kann das Aufträge kosten, weil Kunden eigene DSGVO-Pflichten haben und Ihre Datenschutzpraxis als Teil der Lieferkette prüfen müssen.

Zusammenfassung
  • AVV nach Art. 28 DSGVO ist Pflicht, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.
  • Betroffen sind Webhosting, CRM, E-Mail-Marketing, externe Buchhaltung, IT-Dienstleister und Cloud-Speicher.
  • Fehlender AVV ist bereits für sich allein ein Datenschutzverstoß — unabhängig vom tatsächlichen Datenmissbrauch.

Häufige Fragen

Brauche ich einen AVV, wenn mein Steuerberater meine Kundendaten hat?
Steuerberater sind Berufsgeheimnisträger und unterliegen besonderen gesetzlichen Verschwiegenheitspflichten. Die DSGVO sieht dafür eine Ausnahme vor: Mit Steuerberatern und Rechtsanwälten muss kein AVV abgeschlossen werden, da sie keine Auftragsverarbeiter, sondern eigenständige Verantwortliche sind. Trotzdem sollten Sie prüfen, welche Daten genau weitergegeben werden.
Kann ein AVV auch mündlich oder per E-Mail abgeschlossen werden?
Nein. Art. 28 DSGVO schreibt ausdrücklich die Schriftform vor — also ein unterschriebenes Dokument oder eine elektronische Vereinbarung mit nachweisbarer Akzeptanz. Eine mündliche Absprache oder eine E-Mail ohne formale Annahme genügt nicht und hat im Streitfall keinen Bestand.
Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?
Bei der Auftragsverarbeitung (Art. 28 DSGVO) handelt der Dienstleister ausschließlich nach Ihrer Weisung. Bei der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) legen beide Parteien gemeinsam Zwecke und Mittel der Verarbeitung fest. Das tritt zum Beispiel bei gemeinsamen Facebook-Seiten auf. Welche Konstellation vorliegt, hängt vom Einzelfall ab.
Müssen wir den AVV unseren Kunden zeigen?
Sie müssen Kunden nicht den vollständigen AVV vorlegen, aber in Ihrer Datenschutzerklärung angeben, welche Dienstleister Sie einsetzen und auf welcher Grundlage. Auf Anfrage müssen Sie Auskunft über Ihre Verarbeitungstätigkeiten geben. Der AVV selbst kann als Geschäftsgeheimnis behandelt werden.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
AVV-Checkliste: Mit welchen Dienstleistern Sie einen Vertrag brauchen
8 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
TOM nach DSGVO: Technische und organisatorische Maßnahmen richtig umsetzen
9 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen