Auftragsverarbeitungsvertrag (AVV)

Definition

Der Auftragsverarbeitungsvertrag (AVV) — englisch DPA (Data Processing Agreement) — ist ein schriftlicher Vertrag nach Art. 28 Abs. 3 DSGVO zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Er regelt verbindlich, dass der Auftragsverarbeiter personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet.

Ohne wirksamen AVV ist die Datenweitergabe an den Dienstleister rechtswidrig — auch wenn der Dienstleister technisch alles “richtig” macht.

In der Praxis

Ein AVV ist immer dann nötig, wenn ein externer Dienstleister Zugriff auf personenbezogene Daten Ihrer Kunden, Mitarbeiter oder anderer Betroffener bekommt — und diese in Ihrem Auftrag verarbeitet. Typische Konstellationen:

• Cloud-Anbieter (Microsoft 365, Google Workspace, AWS)
• Newsletter-Tools (Mailchimp, Brevo, ActiveCampaign)
• IT-Dienstleister mit Fernwartung
• Cloud-Buchhaltung (DATEV, Lexware, sevdesk)
• Cookie-Banner-Anbieter
• KI-Tools mit personenbezogenen Eingaben (ChatGPT, Claude)

Kein AVV nötig ist bei Berufsgeheimnisträgern (Steuerberater, Anwälte) — sie sind eigenverantwortliche Verarbeiter mit eigener Schweigepflicht.

Was Sie tun müssen

Für jeden Dienstleister mit Datenzugang:

• AVV-Status prüfen — vorhanden? aktuell? vollständig?
• Pflicht-Inhalte nach Art. 28 Abs. 3 abdecken: Gegenstand, Dauer, Zweck, Daten- und Personenkategorien, Pflichten/Rechte, Weisungsbindung, Verschwiegenheit, TOMs, Sub-Auftragsverarbeiter, Unterstützungspflichten, Löschung, Auditrechte
• Bei Drittland-Übermittlung zusätzlich Standardvertragsklauseln und Risikobewertung (Schrems II)
• AVV im Verarbeitungsverzeichnis als Empfänger referenzieren
• Mindestens jährlicher Review

Die ausführliche Praxis-Anleitung mit Tabelle “AVV nötig ja/nein” finden Sie in der AVV-Checkliste für KMU. Bei Kowoll-Mandanten ist die AVV-Bibliothek im Festpreis enthalten.