AVV-Vorlage 2026: was rein muss, was nicht (Art. 28 DSGVO)

· · Kategorie: DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • AVV ist Pflicht bei jeder Auftragsverarbeitung — nach Art. 28 Abs. 3 DSGVO
  • 8 Pflichtinhalte: Gegenstand, Dauer, Zweck, Datenarten, Pflichten, Verschwiegenheit, Sub-AV, TOM
  • BayLDA 2024: Steuerberater sind keine AVs — kein AVV nötig
  • Schrems II / DPF Anhang Pflicht bei US-Sub-Auftragsverarbeitern
  • Right-to-Audit sollte explizit verankert werden

1. Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 Abs. 3 DSGVO ein verpflichtender Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Er regelt die Verarbeitung personenbezogener Daten im Auftrag.

"Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments..." — Art. 28 Abs. 3 DSGVO
Wer den vollständigen Dokumentensatz nicht von Grund auf neu aufsetzen will, findet im DSGVO-Kit einen AVV-Mustervertrag, AV-Bewertungs-Fragebogen und AV-Inventar-Excel.

2. Wann ist ein AVV Pflicht?

AVV nötig, wenn drei Kriterien zusammenkommen:

  1. Externe Stelle verarbeitet
  2. für Sie personenbezogene Daten
  3. auf Ihre Weisung (kein eigenes Verarbeitungsinteresse)

Typische AV-Konstellationen:

3. 8 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

PflichtinhaltBeispiel
1. Gegenstand + Dauer"Hosting der M365-Tenant für Mustermann GmbH, Vertragsdauer 36 Monate"
2. Art und Zweck"Speicherung von E-Mails, Dokumenten, Kalenderdaten zur Geschäftskommunikation"
3. Datenarten + Betroffenenkategorien"Stammdaten Mitarbeitende, Kunden-Kommunikation, sporadisch Art. 9-Daten (Krankheitsfälle)"
4. Pflichten + Rechte des VerantwortlichenWeisungsrecht, Right-to-Audit, Information bei Pannen
5. Verschwiegenheit (lit. b)Mitarbeitende des AV unterzeichnen Vertraulichkeitserklärung
6. Sub-Auftragsverarbeitung (lit. d)Liste vorab + Genehmigungs-/Widerspruchsverfahren
7. Mithilfe bei Betroffenenrechten (lit. e)Antworten an Betroffene innerhalb 14 Tagen
8. TOM (lit. c) + Audit (lit. h)TOM-Anhang + jährliches Audit-Recht

4. 6 typische AVV-Fehler

  1. Generischer 'Mustervertrag aus dem Internet': deckt keine eigenen Verarbeitungen ab
  2. Sub-AV-Liste fehlt: Microsoft hat ~80 Sub-AVs — alle müssen aufgelistet sein
  3. Drittland-Transfer ohne SCC/DPF-Anhang: bei US-Tools (Mailchimp, Zoom, Salesforce) Pflicht
  4. Right-to-Audit fehlt oder ist unwirksam ('mit 6 Monaten Vorlauf')
  5. Datenrückgabe nach Vertragsende ungeregelt
  6. Versionsverwaltung: alte AVV-Version aus 2018 noch in Anwendung trotz neuer SCC 2021/914

5. Schrems II / DPF-Anhang

Bei US-Auftragsverarbeitern oder Sub-AVs in Drittländern: Pflicht-Anhang mit:

6. BayLDA: was kein AVV ist

BerufAV oder eigenständig Verantwortlich?
SteuerberaterEigenständig Verantwortlich (BayLDA 2024) — KEIN AVV
WirtschaftsprüferEigenständig Verantwortlich
RechtsanwaltEigenständig Verantwortlich (Berufsgeheimnis)
Lohnbuchhalter (extern)I.d.R. AV — AVV nötig
Cloud-HostingAV — AVV nötig
Versanddienstleister (Brief, Paket)Eigenständig Verantwortlich

7. AVV-Checkliste vor Unterschrift

  1. Alle 8 Pflichtinhalte enthalten?
  2. Sub-AV-Liste vorhanden + Widerspruchsverfahren geregelt?
  3. TOM-Anhang konkret (nicht nur "angemessene TOMs")?
  4. Drittland-Anhang (SCC/DPF) bei US-Sub-AVs?
  5. Right-to-Audit vertraglich verankert?
  6. Datenrückgabe + Löschung nach Vertragsende geregelt?
  7. Versionsdatum + Gültigkeit dokumentiert?
  8. Beide Seiten signiert (digital signiert akzeptiert)?

Häufig gestellte Fragen

AVV mit Steuerberater nötig?
Nein. Das BayLDA hat 2024 klargestellt: Steuerberater sind eigenständig Verantwortliche, kein AV. Lohnbuchhalter hingegen ist meist AV — AVV nach Art. 28 erforderlich.
Reicht der Standard-AVV des Anbieters?
Oft ja, aber prüfen: Drittlandtransfer-Klauseln, Sub-Auftragsverarbeiter-Liste, Datenrückgabe nach Vertragsende, Right-to-Audit. Eigene Anpassungen sind nach Art. 28 zulässig.
AVV mit Microsoft 365 — was muss drin sein?
MS-Standard-AVV reicht nicht. Pflicht-Anpassungen: EU Data Boundary aktiviert, DPF-Garantie für US-Subprozessoren, Telemetrie-Konfiguration, Copilot-Tenant-Isolation.
Müssen alle Sub-AVs zustimmen?
Art. 28 Abs. 2: AV darf Sub-AVs nur mit vorheriger Genehmigung des Verantwortlichen einbeziehen. Praxis: Allgemein-Genehmigung im AVV mit Widerspruchsrecht.
Wer haftet bei AVV-Verstoß?
Primär Verantwortlicher (Außenverhältnis). AV haftet bei eigenen Pflichtverletzungen — Innenausgleich über AVV. EuGH C-340/21: immaterieller Schadensersatz auch bei Befürchtungs-Schaden.
Was kostet ein professioneller AVV?
RA-Honorar: 800-3.000 EUR pro AVV. Standard-Vorlage anpassen: 200-800 EUR. Compliance-Kit DSGVO-Kit: einmalig 490-1.490 EUR mit Mustervertrag + Bewertungs-Fragebogen.

Quellen

Verwandte Artikel

DSGVO · Glossar

AVV (Auftragsverarbeitungsvertrag)

Glossar-Eintrag mit Direktdefinition.

 DSGVO · Glossar

Schrems II

Drittlandtransfer + DPF.

 DSGVO · Pillar

Verarbeitungsverzeichnis erstellen

VVT mit AVV-Verknüpfung.

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.