DSGVOAVVAuftragsverarbeitung

AVV nach DSGVO: Wann Sie einen brauchen und was drinstehen muss

Von Redaktion VertragLotse

Wenn Sie einen Cloud-Dienst, ein Newsletter-Tool oder einen externen IT-Dienstleister nutzen, verarbeiten diese Unternehmen oft personenbezogene Daten in Ihrem Auftrag. In diesem Fall brauchen Sie einen AVV.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein Dritter (Auftragsverarbeiter) personenbezogene Daten auf Weisung des Verantwortlichen verarbeitet (Art. 28 DSGVO). Typische Beispiele:

  • Cloud-Hosting (AWS, Azure, Hetzner)

  • E-Mail-Marketing (Mailchimp, CleverReach)

  • Buchhaltungssoftware (sevDesk, lexoffice)

  • CRM-Systeme (HubSpot, Salesforce)

  • Webanalyse (wenn Daten an Dritte übermittelt werden)


Pflichtinhalte des AVV nach Art. 28 Abs. 3 DSGVO

Kernregelungen

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen

Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung
  • Vertraulichkeitsverpflichtung der Mitarbeiter
  • Technische und organisatorische Maßnahmen (TOMs)
  • Genehmigung für Unterauftragsverarbeiter
  • Unterstützung bei Betroffenenrechten
  • Löschung oder Rückgabe der Daten nach Ende der Verarbeitung
  • Nachweis- und Kontrollrechte für den Verantwortlichen

Häufige Fehler beim AVV

  • Kein AVV abgeschlossen: Bußgeldrisiko bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes
  • Standard-AVV nicht geprüft: Die AVV der Anbieter sind oft einseitig formuliert
  • Drittlandtransfer nicht beachtet: Bei US-Anbietern sind zusätzliche Garantien nötig
  • TOMs nicht konkret genug: Allgemeine Verweise reichen nicht
  • Unterauftragsverarbeiter nicht gelistet: Müssen benannt werden

Drittlandtransfer

Bei Auftragsverarbeitern außerhalb der EU/des EWR (z. B. USA) müssen zusätzliche Schutzmaßnahmen getroffen werden:

  • Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework)

  • Standardvertragsklauseln (SCCs)

  • Binding Corporate Rules


Vertrag prüfen lassen

Lassen Sie Ihren AVV prüfen, um DSGVO-konform zu sein. Jetzt AVV hochladen.

Vertrag prüfen lassen?

Laden Sie Ihren Vertrag hoch und erhalten Sie in Sekunden eine KI-gestützte Analyse mit Risikobewertung.

Jetzt Vertrag prüfen