+49 (0) 30 28047033

Auftragsverarbeitungsvertrag (AVV) – Pflicht, Inhalt und Abgrenzung

Kategorie: Datenschutz

Ein Auftragsverarbeitungsvertrag (AVV) ist immer dann erforderlich, wenn personenbezogene Daten im Auftrag eines Unternehmens verarbeitet werden. Er stellt sicher, dass Dienstleister rechtlich verpflichtet sind, Datenschutz und Datensicherheit einzuhalten. In diesem Beitrag erfahren Sie, wann ein AVV notwendig ist, welche Inhalte zwingend hineinmüssen und wo die Grenzen zu anderen Vertragskonstellationen liegen.

weiterlesen
Auftragsverarbeitungsvertrag und DSGVO-Pflichten

Was ist ein Auftragsverarbeitungsvertrag?

Ein AVV ist ein Zusatzvertrag zum eigentlichen Leistungsvertrag. Er wird immer dann notwendig, wenn Sie als Verantwortlicher einen Dienstleister beauftragen, personenbezogene Daten in Ihrem Auftrag zu verarbeiten. Entscheidend ist dabei das Unterordnungsverhältnis. Der Dienstleister handelt nicht eigenständig, sondern weisungsgebunden.

Beispiele:

  • Nutzung einer Cloud- oder SaaS-Plattform, um Kundendaten zu speichern
  • Externe Analyse von Fahrzeugdaten durch einen Zulieferer
  • Outsourcing von IT-Services oder Lohnbuchhaltung

Wann ist ein AVV notwendig?

Immer dann, wenn ein Dritter Daten ausschließlich in Ihrem Auftrag verarbeitet. Das heißt: Der Dienstleister entscheidet nicht über die Zwecke der Verarbeitung, sondern setzt lediglich Ihre Vorgaben um.

Typische Szenarien:

  • Hosting von personenbezogenen Daten
  • Callcenter-Dienstleistungen
  • E-Mail-Marketing über externe Plattformen

Anders ist es, wenn zwei Unternehmen gemeinsam Verantwortliche sind und Daten auf Augenhöhe verarbeiten. Hier spricht man von „Gemeinsamer Verarbeitung“. Eine weitere Abgrenzung ist die getrennte Verarbeitung, bei der Unternehmen zwar Daten im selben Kontext nutzen, aber unabhängig voneinander handeln. Die Abgrenzung dieser drei Konstellationen kann sehr komplex sein.

Kostenfreier Datenschutz Check

Finden Sie mit unserem kostenlosen Datenschutz Check heraus, wo Ihr Unternehmen steht – anwaltlich geprüft & verständlich erklärt.

Check starten

Welche Inhalte muss ein AVV enthalten?

Die DSGVO schreibt in Art. 28 zwingende Mindestinhalte vor. Dazu gehören insbesondere:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Die Pflichten und Rechte des Verantwortlichen
  • Weisungsrechte gegenüber dem Auftragsverarbeiter
  • Technische und organisatorische Maßnahmen (TOM), um die Datensicherheit zu gewährleisten
  • Regelungen zur Unterstützung bei Betroffenenrechten (z. B. Auskunft, Löschung)
  • Hinweise zu Subunternehmern (Unterauftragsverarbeitern)

Der Hintergrund: Betroffene Personen sollen auch dann umfassend geschützt sein, wenn ihre Daten über mehrere Dienstleister hinweg verarbeitet werden.

Die Kette der Verantwortlichkeiten

In der Praxis endet die Auftragsverarbeitung nicht beim ersten Vertragspartner. Oft beauftragt ein Auftragsverarbeiter wiederum Unterauftragsverarbeiter. Damit das Datenschutzniveau stabil bleibt, müssen diese ebenfalls den Mindeststandards der DSGVO unterliegen. So entsteht eine Kette von Verträgen, die den Schutz personenbezogener Daten sicherstellt.

Typische Herausforderungen in der Praxis

Die größte Schwierigkeit liegt oft nicht darin, den Vertrag selbst zu schließen, sondern die Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit vorzunehmen. Bei klaren SaaS-Verträgen ist das in aller Regel eindeutig. Bei komplexen industriellen Szenarien kann die Bewertung jedoch erheblich schwieriger sein. Hier ist eine präzise juristische Prüfung unerlässlich.

Fazit

Ein Auftragsverarbeitungsvertrag ist ein unverzichtbares Instrument zur Einhaltung der DSGVO. Er schützt die Rechte betroffener Personen, stellt ein Mindestmaß an Transparenz sicher und ordnet klar Verantwortlichkeiten in arbeitsteiligen Prozessen. Prüfen Sie daher bei jedem Projekt sorgfältig, ob ein AVV erforderlich ist – und ziehen Sie im Zweifel fachkundige Unterstützung hinzu. Gerade die Abgrenzung zu gemeinsamer oder getrennter Verarbeitung kann komplex sein.Falls Sie bei der Erstellung oder Prüfung eines AVV Unterstützung benötigen, biete ich Ihnen meine Expertise als Fachanwalt für IT-Recht und externer Datenschutzbeauftragter an.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Externer Datenschutzbeauftragter durch Rechtsanwalt: Warum sich das lohnt
Nächster Beitrag
Aufgaben eines Datenschutzbeauftragten: Was Sie wissen sollten