AVV (Auftragsverarbeitungsvertrag)

Pflichtvertrag nach Art. 28 DSGVO bei Auftragsverarbeitung

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Ein Auftragsverarbeitungsvertrag (AVV) ist ein nach Art. 28 Abs. 3 DSGVO verpflichtender Vertrag, wenn ein Verantwortlicher personenbezogene Daten durch einen Dienstleister verarbeiten lässt. Er regelt 8 Pflichtinhalte: Gegenstand, Dauer, Art und Zweck, Datenarten, Pflichten und Rechte, sowie Verschwiegenheit, Sub-Auftragsverarbeitung, Mithilfe bei Betroffenenrechten und TOM.

Was ist AVV (Auftragsverarbeitungsvertrag)?

Der AVV ist nach Art. 28 Abs. 3 DSGVO Pflicht bei jeder Auftragsverarbeitung. Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister auf Weisung des Verantwortlichen personenbezogene Daten verarbeitet — typische Beispiele: IT-Hosting, Cloud-Services, Newsletter-Versand, externe Lohnabrechnung.

Die BayLDA-Klarstellung 2024 hat festgehalten: Steuerberater sind keine Auftragsverarbeiter, sondern eigenständig Verantwortliche — kein AVV erforderlich.

Praxisbeispiel

Ein 30-Personen-Maschinenbauer schließt AVVs mit:

Häufig gestellte Fragen

Reicht der Standard-AVV des Anbieters?
Oft ja, aber prüfen: Drittlandtransfer-Klauseln, Sub-Auftragsverarbeiter-Liste, Datenrückgabe nach Vertragsende. Eigene Anpassungen sind nach Art. 28 zulässig.
AVV mit IT-Wartungsdienstleister nötig?
Ja, sobald während Wartung Datenzugriff möglich ist. Auch bei Read-only-Zugriff sicherheitshalber AVV.
Wer prüft die Auftragsverarbeiter?
Verantwortlicher trägt Auswahl- und Kontrollpflicht (Art. 28 Abs. 1). Praxis: jährliche AV-Liste-Review + risikobasierte TOM-Prüfung.

Siehe auch