Ratgeber · 22. Mai 2026
Auftragsverarbeitungsvertrag (AVV) — Checkliste für KMU
Auftragsverarbeitungsvertrag AVV Checkliste: Wann nötig, mit wem, was muss drin sein? Praxis-Tabelle und Vorlagen-Empfehlungen für KMU.
Ein fehlender AVV ist 2026 einer der häufigsten Bußgeld-Gründe in deutschen KMU. Nicht weil die Unternehmen schlampig sind, sondern weil die Frage “Brauche ich mit diesem Dienstleister einen AVV?” überraschend kompliziert sein kann. Diese Checkliste klärt in 10 Minuten, wer mit wem einen AVV abschließen muss, was drinstehen muss und welche Fallen lauern.
Was ein AVV ist und wann er greift
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist ein schriftlicher Vertrag zwischen Ihnen (Verantwortlicher) und einem Dienstleister (Auftragsverarbeiter), der personenbezogene Daten in Ihrem Auftrag verarbeitet — typisch ohne eigene Zweckbestimmung.
Faustregel: Wenn ein externer Dienstleister Zugriff auf Daten Ihrer Kunden, Mitarbeiter oder anderer Betroffener bekommt und diese in Ihrem Auftrag verarbeitet, brauchen Sie einen AVV. Auch dann, wenn der Dienstleister “nur” technische Infrastruktur stellt — Cloud-Hosting, E-Mail, Backup.
Ohne AVV droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO — bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes. In der Praxis liegen die verhängten Beträge bei kleinen Verstößen zwischen 3.000 und 30.000 Euro, siehe DSGVO-Bußgelder 2026.
AVV nötig: ja oder nein? Praxis-Tabelle
| Dienstleister / Tool | AVV nötig? | Hinweis |
|---|---|---|
| Microsoft 365, Google Workspace | Ja | Standard-AVV des Anbieters reicht meist |
| Mailchimp, Brevo, ActiveCampaign | Ja | Newsletter-Daten = Auftragsverarbeitung |
| Steuerberater | Nein | Berufliche Schweigepflicht, kein AVV nötig (eigene Verantwortlichkeit) |
| Lohnbüro (extern, kein StB) | Ja | Klassische Auftragsverarbeitung |
| Hosting-Anbieter Website | Ja | Auch wenn nur statisches Hosting |
| IT-Dienstleister Vor-Ort | Ja | Sobald Fernwartungs- oder Server-Zugriff besteht |
| DATEV (Buchhaltung-Cloud) | Ja | DATEV stellt Standard-AVV bereit |
| Anwaltskanzlei | Nein | Wie StB — eigene Verantwortlichkeit, Schweigepflicht |
| Druckerei Mailings | Ja | Wenn Adressdaten weitergegeben werden |
| Cookie-Banner-Anbieter (Borlabs, Cookiebot) | Ja | Tracking-Daten gehen über den Anbieter |
| ChatGPT, Claude, andere KI-Tools | Ja | Sobald personenbezogene Daten eingegeben werden |
| Versanddienstleister (DHL, DPD) | Nein | Eigenverantwortlich, kein AVV |
| Cloud-Backup (Strato HiDrive, AWS) | Ja | Backup von personenbezogenen Daten |
| Telefonanlagen-Provider (3CX-Cloud) | Ja | Verbindungs- und ggf. Audiodaten |
| Reinigungsfirma im Büro | Nein | Falls keine Aktenkenntnisnahme — sonst Geheimhaltungsvereinbarung |
| Marketing-Agentur mit CRM-Zugriff | Ja | Klassische Auftragsverarbeitung |
| Sozialversicherungsträger | Nein | Eigene gesetzliche Aufgabe |
Die Liste deckt rund 90 % der Konstellationen in einem typischen KMU ab. Sondersituationen klären Sie im Erstgespräch.
Pflicht-Inhalte eines AVV nach Art. 28 Abs. 3 DSGVO
Ein gültiger AVV muss schriftlich oder in elektronischer Form (mit nachvollziehbarer Authentifizierung) vorliegen und folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung — präzise, nicht “alles Mögliche”
- Art der Daten und Kategorien der Betroffenen
- Pflichten und Rechte des Verantwortlichen
- Weisungsbindung — der Auftragsverarbeiter darf nur auf dokumentierte Weisung handeln
- Verschwiegenheit — Mitarbeiter des Auftragsverarbeiters sind zur Vertraulichkeit verpflichtet
- Sicherheitsmaßnahmen (TOMs) — entweder als Anlage oder mit Verweis auf konkrete Maßnahmen
- Sub-Auftragsverarbeiter — Genehmigungsvorbehalt oder Informationspflicht
- Unterstützung bei Betroffenenrechten — Auskunft, Löschung, Berichtigung
- Unterstützung bei Datenpannen und Folgenabschätzungen
- Löschung oder Rückgabe der Daten nach Vertragsende
- Nachweise und Auditrechte — der Verantwortliche darf Kontrollen durchführen
Wer einen AVV abschließt, der einen dieser Punkte nicht enthält, hat formal keinen wirksamen AVV. Im Zweifel: lieber mit Standard-Vorlagen arbeiten als selber dichten.
Checkliste vor der Unterzeichnung
Vor jedem AVV gehören diese 8 Punkte geprüft:
- Identität des Auftragsverarbeiters klar? Juristische Person, Adresse, Vertretungsbefugnis stimmt?
- Sub-Unternehmer-Liste geliefert? Sind diese im Drittland? → siehe Drittland und SCCs
- TOMs sind im AVV referenziert UND als Anlage tatsächlich vorhanden?
- Drittland-Garantien dokumentiert? Bei US-Anbietern: ist die Firma im “Data Privacy Framework” (DPF) zertifiziert? Wenn nein, Schrems II beachten.
- Löschfristen nach Vertragsende konkret benannt?
- Auditrechte so formuliert, dass eine Vor-Ort-Prüfung praktisch möglich ist?
- Haftungsklauseln ausgewogen? Wer haftet bei welcher Pannenkategorie?
- Unterzeichner mit Vertretungsbefugnis (oder qualifizierter elektronischer Signatur)?
Häufige Fallen in der Praxis
Falle 1: Cloud-Tools werden ohne AVV eingesetzt. Ein Vertriebsmitarbeiter abonniert “schnell mal” ein neues CRM-Tool. Niemand weiß davon, niemand prüft den AVV. Drei Monate später ist das Tool fester Bestandteil — und es gibt keinen AVV. Lösung: zentrale Tool-Freigabe über die Geschäftsführung oder die Datenschutz-Koordination.
Falle 2: Standard-AVVs einfach abnicken. Microsoft, Google, AWS und Co. stellen ordentliche Standard-AVVs. Aber: Manche enthalten Klauseln zur eigenen Weiterverarbeitung für “Service-Verbesserung”, die rechtlich problematisch sind. Wer den AVV blind unterschreibt, übernimmt das Risiko.
Falle 3: KI-Tools werden vergessen. ChatGPT, Claude, Midjourney, GitHub Copilot — wer dort personenbezogene Daten eingibt (auch Mitarbeiter-Mails, Kunden-Namen), braucht einen AVV mit dem Anbieter. Mehr dazu in den Branchen-Hinweisen IT und Software.
Falle 4: AVV mit Tochterunternehmen vergessen. Wenn Sie Daten an eine eigene Tochter in Polen oder ein gemeinsames Service-Center geben, ist das auch eine Auftragsverarbeitung. Konzern-interne AVVs werden oft vergessen.
Falle 5: AVV mit dem IT-Dienstleister fehlt. Klassiker — die “Computer-Firma um die Ecke”, die seit 10 Jahren Server wartet, hat oft keinen AVV. Bei der Aufsicht ist das einer der ersten Prüfpunkte.
Vorlagen-Empfehlungen
Wer keine eigenen Vorlagen hat, kann auf etablierte Quellen zurückgreifen:
- GDD AVV-Mustervertrag (Gesellschaft für Datenschutz und Datensicherheit): solide juristische Grundlage, kostenlos für Mitglieder
- BvD-Muster (BvD e.V.): praxisnah, regelmäßig aktualisiert
- EU-Standard-Vertragsklauseln (SCCs) für Drittland-Konstellationen: nur in Kombination mit AVV-Korpus
- Anbieter-Standard-AVVs (Microsoft, DATEV, Google, AWS): solide für die jeweilige Plattform
Wer mit einem externen DSB arbeitet, bekommt typischerweise eine erprobte Vorlagen-Bibliothek dazu. Bei Kowoll-Mandanten ist das im Festpreis enthalten — siehe Kostenmodelle und Leistungen.
AVV-Pflege im Alltag
Ein AVV ist kein einmaliges Dokument. Pflege-Auslöser:
- Wechsel des Sub-Auftragsverarbeiters → Informations- oder Genehmigungspflicht
- Änderung der TOMs (z.B. neuer Cloud-Provider beim Dienstleister) → Aktualisierung
- Aufnahme in ein neues Drittland → neue SCC-Bewertung
- Übernahmen / Fusionen des Dienstleisters → AVV-Status prüfen
- Jährlicher Review im Rahmen der Rechenschaftspflicht
Die Pflege erfolgt typischerweise im Rahmen des Verarbeitungsverzeichnisses — dort wird jeder Auftragsverarbeiter mit AVV-Status geführt.
So gehen Sie konkret vor
Wenn Sie heute starten wollen:
- Liste der Dienstleister mit Datenzugang erstellen — IT, Cloud, Marketing, Buchhaltung, Hosting, Newsletter, KI-Tools, etc.
- Pro Dienstleister AVV-Status prüfen — vorhanden? Aktuell? Vollständig?
- Lücken schließen — fehlende AVVs anfordern, alte aktualisieren, Drittland-Bewertungen ergänzen
- Im VVT verlinken — jeder AVV taucht im Verarbeitungsverzeichnis als Empfänger auf
- Jährlicher Review im Datenschutz-Audit
Der ganze Aufbau dauert für ein typisches KMU mit 10 bis 30 Mitarbeitern 6 bis 12 Stunden — verteilt über 4 bis 6 Wochen. Mit BAFA-Förderung ist die Hälfte der externen Kosten erstattbar.
Erstgespräch buchen
Wenn Sie unsicher sind, wo Sie stehen: Thomas Kowoll macht einen kostenlosen 30-Minuten-AVV-Schnellcheck. Sie nennen drei Ihrer wichtigsten Dienstleister, wir prüfen den AVV-Status und Sie wissen sofort, wo das Risiko liegt. Anfragen unter +49 7071 770371 oder über das Kontaktformular. Die übersicht über alle Leistungen finden Sie auf der Leistungs-Seite, die konkreten Preisbeispiele auf der Seite Preisbeispiele.
Weiterlesen
- Datenpanne erkannt — 72-Stunden-Meldepflicht und Notfallplan Datenpanne im Unternehmen? Schritt-für-Schritt-Notfallplan für die 72-Stunden-Meldung an die Aufsicht, interne Eskalation und Doku-Pflichten.
- Datenschutz-Folgenabschätzung: Wann ist die DSFA Pflicht? Wann müssen KMU eine DSFA nach Art. 35 DSGVO machen? Schwellwert-Tests, konkrete Beispiele und Praxis-Checkliste mit Bußgeld-Risiken bei Versäumnis.
- Datenschutz-Kosten senken — 6 konkrete Hebel für KMU Datenschutz Kosten senken im KMU: 6 erprobte Hebel von Festpreis bis BAFA — mit realistischen Ersparnissen je Maßnahme.