Auftragsverarbeitungsvertrag (AVV): Wann du ihn brauchst, was reingehört und welche Klauseln zur Falle werden

    Einen Auftragsverarbeitungsvertrag brauchst du immer dann, wenn ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet. Fehlt dieser Vertrag oder ist er lückenhaft, drohen Bußgelder von bis zu 10 Mio. Euro, und für Verstöße deines Dienstleisters haftest am Ende du. Wir gehen mit dir den Pflichtinhalt des AVV nach DSGVO Schritt für Schritt durch und zeigen dir, welche Klauseln du besser nicht unterschreibst.

    konrat.ai kostenlos testen
    Thomas Weber

    Thomas Weber

    Managing Consultant, ISiCO

    13. Juli 2026 8 Min.

    Was ist ein Auftragsverarbeitungsvertrag und wann brauchst du einen?

    Kurzantwort: Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag nach Art. 28 DSGVO, der regelt, wie ein Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Pflicht wird er, sobald du eine solche Verarbeitung nach außen vergibst.

    Rechtlich ist der AVV ein normaler zivilrechtlicher Vertrag. Den Pflichtinhalt gibt Art. 28 Abs. 3 DSGVO vor. Alles darüber hinaus kannst du mit deinem Anbieter frei vereinbaren, solange ihr den gesetzlichen Kern nicht aushöhlt.

    Eine Auftragsverarbeitung erkennst du an zwei Merkmalen, die beide vorliegen müssen:

    1. 1

      Du entscheidest über Zwecke und Mittel der Verarbeitung.

    2. 2

      Der Dienstleister ist an deine Weisungen gebunden.

    Dazu muss der Dienstleister rechtlich außerhalb deines Unternehmens stehen. Deine eigenen Mitarbeitenden oder Abteilungen können deshalb nie deine Auftragsverarbeiter sein.

    Typische Fälle, in denen ein AVV Pflicht ist:

    • Cloud- und SaaS-Anwendungen (Software, die du im Browser nutzt, statt sie zu installieren)
    • Hosting und Backup-Verwaltung
    • Callcenter und Kundenbetreuung
    • Newsletter-Dienstleister
    • Digitalisierung und Archivierung von Dokumenten
    • IT-Support, weil dabei regelmäßig ein faktischer Zugriff auf Daten entsteht

    Beispiel: Auftragsverarbeitung ja oder nein?

    Ja: Du nutzt ein Newsletter-Tool. Der Anbieter speichert deine Empfängerlisten und versendet in deinem Auftrag. Zweck und Inhalt gibst du vor. → AVV nötig.

    Nein: Du beauftragst einen Steuerberater. Berufsgeheimnisträger wie Anwälte, Ärzte und Steuerberater zählen nicht als Auftragsverarbeiter. → Kein AVV.

    Wichtig zu wissen: Auch wenn du eine Verarbeitung auslagerst, bleibst du für Zulässigkeit, Rechtmäßigkeit und die Rechte der Betroffenen verantwortlich. Der AVV verteilt Aufgaben, aber er nimmt Dir deine Grundverantwortung nicht ab.

    Kurz: Sobald ein weisungsgebundener externer Dienstleister Daten für Dich verarbeitet, führt am AVV kein Weg vorbei.

    Was ist keine Auftragsverarbeitung? Die Abgrenzung zu Joint Control und getrennter Verantwortlichkeit

    Kurzantwort: Keine Auftragsverarbeitung liegt vor, wenn dein Dienstleister selbst über Zwecke und Mittel mitentscheidet oder die Daten für eigene Zwecke nutzt. Dann handelt es sich meist um eine gemeinsame oder getrennte Verantwortlichkeit, für die andere Regeln gelten.

    Einige Tätigkeiten gelten grundsätzlich nicht als Auftragsverarbeitung:

    • Post- und Transportdienstleistungen
    • Banken und Zahlungsdienstleister
    • Berufsgeheimnisträger wie Anwälte, Ärzte und Steuerberater

    Wichtig wird die richtige Einordnung, weil sie festlegt, wer welche Pflichten trägt.

    KriteriumAuftragsverarbeitung (Art. 28)Gemeinsame Verantwortlichkeit (Art. 26, „Joint Control")Getrennte Verantwortlichkeit
    Wer entscheidet über Zweck und Mittel?Nur du als VerantwortlicherBeide Parteien gemeinsamJede Partei getrennt für sich
    Weisungsgebunden?JaNeinNein
    Eigener Vertrag nötig?Ja, ein AVV nach Art. 28Ja, eine Vereinbarung nach Art. 26In der DSGVO nicht explizit geregelt
    Wer erfüllt die DSGVO-Pflichten?Grundsätzlich duJeder für seinen Teil, inkl. eigener Rechtsgrundlage und Info-Pflichten (Art. 13, 14)Jeder eigenständig und getrennt

    Kurz: Trifft dein Partner eigene Entscheidungen über die Daten, ist es keine Auftragsverarbeitung mehr; dann brauchst du einen anderen Vertragstyp.

    Was muss zwingend im AVV stehen? Der Pflichtinhalt nach Art. 28 DSGVO

    Kurzantwort: Art. 28 Abs. 3 DSGVO schreibt einen festen Pflichtinhalt für jeden AVV vor. Fehlt einer dieser Punkte, ist dein Vertrag unvollständig und erfüllt die gesetzlichen Anforderungen nicht.

    Art. 28 Abs. 3 DSGVO verlangt elf Pflichtangaben. Nutze diese Übersicht als Checkliste, wenn du einen AVV prüfst.

    PflichtregelungFundstelleWas das für dich bedeutet
    Beschreibung der VerarbeitungArt. 28 Abs. 3 S. 1Gegenstand, Dauer, Art und Zweck sowie Datenarten und Kategorien Betroffener müssen konkret benannt sein
    Rechte und Pflichten des VerantwortlichenArt. 28 Abs. 3 S. 1Zum Beispiel, dass du die Rechtmäßigkeit der Verarbeitung prüfst
    WeisungsgebundenheitArt. 28 Abs. 3 S. 2 lit. aDer Anbieter verarbeitet Daten nur auf deine dokumentierte Weisung
    VertraulichkeitArt. 28 Abs. 3 S. 2 lit. bAlle beteiligten Mitarbeitenden sind zur Verschwiegenheit verpflichtet
    Technische und organisatorische Maßnahmen (TOMs)Art. 28 Abs. 3 S. 2 lit. cDer Anbieter ergreift die Sicherheitsmaßnahmen nach Art. 32
    Umgang mit Sub-DienstleisternArt. 28 Abs. 2, Abs. 3 S. 2 lit. d, Abs. 4Regelt, ob und wie weitere Dienstleister beauftragt werden dürfen
    Unterstützung bei BetroffenenrechtenArt. 28 Abs. 3 S. 2 lit. eDer Anbieter hilft dir, Auskunfts- und Löschanfragen zu beantworten
    Unterstützung bei Art. 32 bis 36Art. 28 Abs. 3 S. 2 lit. fZum Beispiel bei Datenpannen und Datenschutz-Folgenabschätzungen
    Rückgabe oder Löschung nach VertragsendeArt. 28 Abs. 3 S. 2 lit. gDu entscheidest, ob die Daten zurückgegeben oder gelöscht werden
    Kontroll- und AuditrechteArt. 28 Abs. 3 S. 2 lit. hDu darfst die Einhaltung prüfen, auch vor Ort
    Hinweis bei rechtswidriger WeisungArt. 28 Abs. 3 S. 3Der Anbieter meldet dir, wenn eine Weisung gegen die DSGVO verstößt

    Beim Thema Sub-Dienstleister lohnt ein genauer Blick: dein Anbieter darf weitere Dienstleister nur einsetzen, wenn du das genehmigt hast, entweder im Einzelfall oder über eine allgemeine schriftliche Genehmigung mit Widerspruchsrecht. Und er muss mit jedem dieser Sub-Dienstleister selbst einen AVV nach denselben Maßstäben schließen.

    Was dein Dienstleister zusätzlich leisten muss

    Unabhängig vom Vertrag treffen den Auftragsverarbeiter eigene DSGVO-Pflichten:

    • Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 Abs. 2)
    • Datenpannen unverzüglich an dich melden (Art. 33 Abs. 2)
    • Mit der Aufsichtsbehörde zusammenarbeiten (Art. 31)
    • Bei Bedarf einen Datenschutzbeauftragten benennen (Art. 37)
    • Ohne EU-Niederlassung einen Vertreter in der EU bestellen (Art. 27)

    Kurz: Ein vollständiger AVV deckt alle elf Pflichtpunkte aus Art. 28 Abs. 3 ab. Fehlt etwas, hast du eine Lücke, die dir später zur Last gelegt werden kann.

    Welche Fallstricke verstecken sich in Auftragsverarbeitungsverträgen?

    Kurzantwort: Viele Standard-AVVs enthalten Klauseln, die dich als Verantwortlichen benachteiligen. Am häufigsten sind vier Muster, auf die du beim Prüfen achten solltest.

    1. 1

      Eingeschränkte Kontroll- und Auditrechte

      Manche Verträge erlauben dir Kontrollen nur mit langer Vorankündigung, nur einmal im Jahr oder nur durch Prüfer, die der Anbieter selbst bestimmt. Das kann dein gesetzliches Kontrollrecht faktisch aushebeln.

    2. 2

      Kostentragungsregelungen

      Immer wieder sollst du für Unterstützungsleistungen zahlen, etwa bei Betroffenenanfragen oder Datenpannen. Sind die Kosten so hoch oder unbestimmt, dass sie dich von deinen Rechten abschrecken, sehen Aufsichtsbehörden das kritisch, weil Art. 28 solche Kosten nicht vorsieht.

    3. 3

      Haftungsbegrenzungen

      Häufig sind die Haftungssummen so niedrig, dass sie nur einen Bruchteil eines möglichen Bußgeldes abdecken. Diese Klauseln stehen oft im Hauptvertrag, auf den der AVV nur verweist. Prüfe deshalb beide Dokumente zusammen, sonst bleibst du auf dem Großteil sitzen, selbst wenn der Dienstleister den Verstoß verschuldet hat.

    4. 4

      Einseitige Vertragsänderungen

      Vor allem große Anbieter behalten sich vor, den AVV jederzeit selbst zu ändern. Solche Klauseln sind nur unter strengen Voraussetzungen zulässig, und ständige Änderungen machen es schwer nachzuvollziehen, welche Version gerade gilt.

    Tipp: AVV herunterladen und archivieren

    Speichere den ursprünglich geschlossenen AVV inklusive TOM- und Sub-Dienstleister-Liste lokal ab. So kannst du belegen, welche Version und welche Inhalte tatsächlich Vertragsbestandteil geworden sind, wenn es zum Streit kommt.

    Kurz: Ein AVV kann formal vollständig und trotzdem nachteilig sein. Die Fallstricke stecken selten im Pflichtinhalt, sondern in den Details drumherum.

    Was passiert ohne oder mit fehlerhaftem AVV, und wer haftet für Bußgelder?

    Kurzantwort: Ein fehlender oder fehlerhafter Auftragsverarbeitungsvertrag kann dich bis zu 10 Mio. Euro oder 2 % Deines weltweiten Jahresumsatzes kosten. Als Verantwortlicher haftest du dabei auch für Verstöße, die dein Dienstleister begeht.

    Rechtsgrundlagen im Überblick:

    • Bußgeld: Die Aufsichtsbehörde kann einen Verstoß gegen Art. 28 nach Art. 83 Abs. 4 DSGVO ahnden.
    • Schadensersatz: Betroffene können nach Art. 82 DSGVO materielle und immaterielle Schäden geltend machen, gegen dich und gegen den Anbieter.

    Der Europäische Gerichtshof hat in der Rechtssache C-683/21 klargestellt: du bleibst auch für die Verarbeitungen verantwortlich, die in deinem Namen laufen. Verarbeitet dein Dienstleister rechtswidrig, kann die Behörde auch gegen dich ein Bußgeld verhängen.

    Eine Ausnahme gibt es aber. Nutzt dein Anbieter die Daten für eigene Zwecke oder auf eine Weise, der du vernünftigerweise nie zugestimmt hättest, wird er nach Art. 28 Abs. 10 DSGVO für diese Verarbeitung selbst zum Verantwortlichen und haftet dann auch selbst.

    Haftungsklauseln wirken nur im Innenverhältnis

    Im B2B-Bereich dürft ihr vertraglich regeln, wer welchen Schaden trägt. Diese Regelung gilt aber nur zwischen dir und deinem Dienstleister. Gegenüber Betroffenen und Aufsichtsbehörden entfaltet sie keine Wirkung. Sie ermöglicht dir höchstens, dir das Geld später vom Vertragspartner zurückzuholen (Regress).

    Kurz: Kein AVV zu haben ist ein doppeltes Risiko: ein eigenständiger Verstoß und der Verlust deiner Absicherung, wenn beim Dienstleister etwas schiefläuft.

    AVV mit Dienstleistern aus Drittländern: Was gilt bei US-Tools?

    Kurzantwort: Sitzt dein Anbieter außerhalb der EU oder des EWR, brauchst du zusätzlich zu den Regeln aus Art. 44 ff. DSGVO eine geeignete Garantie für ein angemessenes Datenschutzniveau. Bei US-Anbietern sind das meist das Data Privacy Framework oder die Standardvertragsklauseln.

    Geeignete Garantien nach Art. 45 und 46 DSGVO:

    • Angemessenheitsbeschluss der EU-Kommission
    • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR)
    • Standardvertragsklauseln (SCC)
    • Genehmigte Verhaltensregeln

    Data Privacy Framework und SCC kurz erklärt

    Data Privacy Framework (DPF): ein Angemessenheitsbeschluss für die USA. Nutzbar ist er nur, wenn dein konkreter Anbieter nach dem DPF zertifiziert ist. Prüfe das vor dem Einsatz.

    Standardvertragsklauseln (SCC): von der EU-Kommission vorformulierte Klauseln für Übermittlungen in Drittländer. Meist musst du zusätzlich ein Transfer-Impact-Assessment durchführen, also bewerten, ob das Datenschutzniveau im Zielland ausreicht.

    Kurz: Bei Anbietern außerhalb der EU reicht der AVV allein nicht. Du brauchst zusätzlich eine der genannten Garantien, sonst ist die Übermittlung unzulässig.

    Kannst du einfach eine AVV-Vorlage nutzen?

    Kurzantwort: Ja, eine Vorlage ist erlaubt, aber du solltest sie vor dem Einsatz gründlich prüfen. Sie muss dem aktuellen Stand entsprechen, den Anforderungen der Aufsichtsbehörden genügen und frei von nachteiligen Klauseln sein.

    Die EU-Kommission hat nach Art. 28 Abs. 7 DSGVO eigene Standardvertragsklauseln für den AVV veröffentlicht. Sie sind ein solides Grundgerüst, decken aber nur den Pflichtinhalt aus Art. 28 Abs. 3 ab. Zudem musst du bei einzelnen Klauseln selbst Optionen auswählen, etwa ob dein Anbieter neue Sub-Dienstleister mit Widerspruchsrecht oder nur mit deiner Zustimmung beauftragen darf.

    Mustervertrag nutzen: Dafür und Dagegen

    Dafür

    • Spart Zeit und Geld
    • Die EU-Standardvertragsklauseln bieten ein geprüftes Grundgerüst
    • Gut für einfache Standard-Konstellationen

    Dagegen / Vorsicht

    • Vorlagen können veraltet sein
    • Sie enthalten womöglich nachteilige Klauseln
    • Sonderfälle wie Drittland-Transfers oder besondere Datenarten sind nicht automatisch abgedeckt
    • Die SCC verlangen eigene Auswahl-Entscheidungen und decken nur den Pflichtinhalt ab

    Kurz: Eine Vorlage ist ein guter Startpunkt, aber kein Freifahrtschein. Passe sie immer an deinen konkreten Fall an und prüfe sie vor der Unterschrift.

    Häufig gestellte Fragen

    Fazit: Ein AVV schützt dich nur, wenn du ihn prüfst

    Ein Auftragsverarbeitungsvertrag ist Pflicht, sobald ein weisungsgebundener Dienstleister Daten für dich verarbeitet. Er ist aber mehr als eine Formalie: Ein vollständiger, fairer AVV nach DSGVO entscheidet darüber, ob du abgesichert bist oder das Bußgeld am Ende selbst trägst. Die größten Risiken liegen nicht im Pflichtinhalt, sondern in versteckten Klauseln zu Haftung, Kosten und Kontrolle.

    Deine To-do-Liste für sichere AVVs

    • Prüfe für jeden Dienstleister, ob eine Auftragsverarbeitung vorliegt (Zwei-Merkmale-Test).
    • Kontrolliere jeden AVV gegen die elf Pflichtpunkte aus Art. 28 Abs. 3.
    • Achte gezielt auf Kontroll-, Kosten-, Haftungs- und Änderungsklauseln.
    • Kläre bei Anbietern außerhalb der EU die passende Garantie (DPF oder SCC).
    • Führe eine Übersicht aller Auftragsverarbeiter und archiviere jeden AVV inklusive Anlagen.

    AVVs verstehen, prüfen und erstellen

    Erfahre alles über Auftragsverarbeitungsverträge, lass deine Dokumente prüfen oder erstelle neue Verträge. Ganz einfach mit konrat.ai.

    Jetzt kostenlos testen