SES - heute live

Auftragsverarbeitungsvertrag (AVV) online unterschreiben

Der Auftragsverarbeitungsvertrag gehört zu jedem Kunden, der Ihnen personenbezogene Daten anvertraut - und Art. 28 Abs. 9 DSGVO erlaubt das elektronische Format ausdrücklich. PDF hochladen, Signatur-Link senden, Kunde unterschreibt im Browser ohne Konto - der Audit-Trail dokumentiert den Abschluss für die Rechenschaftspflicht.

Auftragsverarbeitungsvertrag (AVV) jetzt signierenPreise ansehen

Welche Signaturstufe für einen Auftragsverarbeitungsvertrag (AVV)?

Art. 28 Abs. 9 DSGVO lässt das elektronische Format für den AVV ausdrücklich zu - der EU-autonome Formbegriff verlangt Dokumentation, keine Schriftform nach § 126 BGB. SES erfüllt das vollständig und liefert mit dem Audit-Trail gleich den Rechenschafts-Nachweis.

Wann reicht SES?

  • AVV mit jedem Neukunden beim Projekt- oder Vertragsstart (Agentur, IT-Dienstleistung, SaaS)
  • AVV als Anlage zum Dienstleistungs- oder Rahmenvertrag - im selben Versand signiert
  • Neue AVV-Fassung nach Subunternehmer-Wechsel oder TOM-Update an den Kundenbestand
  • TOM-Anlage und Subunternehmer-Liste gemeinsam mit dem AVV in einem Durchgang
  • Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controller)
  • Vertraulichkeitsverpflichtungen der eingesetzten Mitarbeiter nach Art. 28 Abs. 3 lit. b DSGVO

Wann ist mehr nötig?

  • Für den AVV selbst gibt es keinen QES-Fall - Art. 28 Abs. 9 DSGVO lässt das elektronische Format ausdrücklich genügen und schreibt keine bestimmte Signaturstufe vor.
  • Verlangt ein Konzern-Kunde dennoch eine QES, ist das eine interne Compliance-Vorgabe, keine Rechtspflicht - QES kommt bei VertragLotse mit Phase 2 (Q4/2026).
  • Begleitdokumente mit eigener gesetzlicher Form (z.B. eine Bürgschaft als Sicherheit, § 766 BGB) sind getrennt zu betrachten und gehören nicht in den elektronischen Versand.

Welche rechtlichen Anforderungen gelten?

Warum der AVV kein Fall für die qualifizierte Signatur ist

Kaum ein Vertragstyp erzeugt so viel unnötige Unsicherheit wie der Auftragsverarbeitungsvertrag. Viele Ratgeber empfehlen vorsorglich eine qualifizierte elektronische Signatur - dabei beantwortet die DSGVO die Frage selbst: Nach Art. 28 Abs. 9 DSGVO ist der Vertrag schriftlich abzufassen, „was auch in einem elektronischen Format erfolgen kann". Das elektronische Format ist also ausdrücklich zugelassen.

Entscheidend ist die richtige Lesart: „Schriftlich" meint hier nicht die Schriftform des § 126 BGB mit eigenhändiger Unterschrift. Die DSGVO ist eine EU-Verordnung, ihr Formbegriff wird unionsweit autonom ausgelegt und zielt auf nachvollziehbare Dokumentation, nicht auf eine bestimmte Signaturstufe. Ein als PDF abgeschlossener und elektronisch signierter AVV erfüllt die Vorgabe damit ohne Weiteres.

Eine einfache elektronische Signatur leistet sogar mehr, als die Verordnung verlangt: Sie dokumentiert nicht nur den Vertragstext, sondern auch, wer wann zugestimmt hat. Eine QES ist für den AVV weder vorgeschrieben noch von Aufsichtsbehörden gefordert - wer sie dennoch verlangt, folgt einer internen Policy, keiner Rechtspflicht.

An dieser Rechtslage hat sich zwischen 2024 und 2026 nichts geändert. Auch das Bürokratieentlastungsgesetz IV, das zum 1. Januar 2025 viele nationale Formvorschriften gelockert hat, spielte für den AVV keine Rolle - Art. 28 Abs. 9 DSGVO war von Anfang an digitalfreundlich formuliert.

Der AVV im Neukunden-Onboarding: vom Angebot zur signierten Akte in fünf Minuten

Für Agenturen, IT-Freelancer und SaaS-Anbieter ist der AVV kein Einzelfall, sondern Routine: Sobald ein Projekt personenbezogene Daten berührt - Kundendatenbank, Newsletter-Tool, Hosting, Support-Zugänge -, verlangt Art. 28 DSGVO den Vertrag, und zwar vor der ersten Datenübergabe. Genau hier hakt es im Alltag: Das PDF kursiert als E-Mail-Anhang, niemand fühlt sich zuständig, und beim Projektstart ist die Akte unvollständig.

Mit dem Signatur-Versand wird daraus ein planbarer Schritt im Onboarding. Sie laden Ihren AVV als PDF hoch, tragen die E-Mail-Adresse des Kunden ein und versenden den Signatur-Link - Ihr Gegenüber unterschreibt im Browser am Handy, Tablet oder PC, ganz ohne eigenes Konto. Auf Wunsch sichern Sie den Vorgang zusätzlich mit einem E-Mail-Code ab.

Technische und organisatorische Maßnahmen (TOM), Subunternehmer-Liste und gegebenenfalls der Hauptvertrag lassen sich im selben Versand bündeln - der Kunde signiert alles in einem Durchgang. Wer Dienstleistungsvertrag und AVV getrennt verschickt, eröffnet zwei Baustellen, wo eine genügt.

Für die Unterschrift sind standardmäßig 14 Tage vorgesehen; kurz vor Ablauf erinnert das System den Kunden automatisch. Reagiert er nicht oder lehnt ab, wird der eingesetzte Coin erstattet - ein liegengebliebener AVV kostet Sie damit kein Geld, nur einen neuen Anlauf.

AVV-Rollout an den Kundenbestand: wenn sich Subunternehmer oder TOM ändern

Der zweite typische Moment ist nicht der Neukunde, sondern die Änderung: Sie wechseln den Hosting-Anbieter, nehmen ein neues Analyse-Tool in die Subunternehmer-Liste auf oder überarbeiten Ihre TOM. Dann braucht nicht ein einzelner Kunde eine neue AVV-Fassung, sondern der gesamte Bestand - und zwar dokumentiert, nicht per stillschweigender Website-Aktualisierung.

Für genau diesen Fall gibt es die Batch-Funktion: Sie legen viele Einzel-Anfragen in einem Durchgang an, jede mit eigenem Empfänger, und behalten den Rücklauf gesammelt im Blick. Pro Anfrage sind bis zu 10 Empfänger möglich - etwa wenn auf Kundenseite Geschäftsführung und Datenschutzbeauftragter gemeinsam zeichnen sollen, parallel oder in fester Reihenfolge.

Die Rollen sparen dabei Geld: Nur unterzeichnende Empfänger kosten einen Coin (~1,80 €, Mengenrabatt über Coin-Pakete). Wer den Vorgang nur prüfen oder mitlesen soll - etwa der eigene Datenschutzbeauftragte als Freigeber oder die Buchhaltung in Kopie -, läuft kostenlos mit. Mit dem Pro-Abo signieren Sie ganz ohne Coin-Verbrauch - bei wiederkehrenden AVV-Wellen die planbarere Variante.

Abgeschlossene AVVs übernehmen Sie kostenlos ins Vertragsarchiv - pro Kunde eine Akte, auffindbar nach Anbieter, Tag oder Vertragsnummer. Wenn drei Jahre später jemand wissen will, welche AVV-Fassung Kunde X unterschrieben hat, ist die Antwort ein Suchfeld entfernt.

Prüfung durch die Aufsichtsbehörde: der Audit-Trail als Rechenschafts-Nachweis

Art. 5 Abs. 2 DSGVO verpflichtet den Verantwortlichen, die Einhaltung der Datenschutz-Grundsätze nachweisen zu können - die Rechenschaftspflicht. Fragt eine Aufsichtsbehörde nach der Grundlage einer Auftragsverarbeitung, genügt die Versicherung nicht, man habe irgendwann etwas vereinbart. Gefragt ist ein Dokument mit Datum, Parteien und nachvollziehbarem Zustandekommen.

Genau das liefert der signierte AVV: Nach Abschluss wird das PDF mit einem PAdES-Server-Siegel gegen nachträgliche Veränderung geschützt. Der Audit-Trail protokolliert Zeitstempel, Dokument-Hash und gehashte IP-Adresse jedes Beteiligten - wer wann welche Fassung gesehen und gezeichnet hat, ist lückenlos dokumentiert.

Das zahlt sich auch im Streitfall aus. Behauptet ein Auftragsverarbeiter später, eine bestimmte TOM-Anlage nie akzeptiert zu haben, entscheidet die freie Beweiswürdigung des Gerichts - und ein manipulationsgeschütztes PDF mit Protokoll wiegt deutlich schwerer als ein loser E-Mail-Anhang ohne jede Unterschrift.

Ein fehlender oder nicht nachweisbarer AVV ist dagegen kein Kavaliersdelikt: Art. 83 Abs. 4 DSGVO sieht für Verstöße gegen Art. 28 Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor - und trifft Verantwortlichen wie Auftragsverarbeiter gleichermaßen. Der Fünf-Minuten-Versand ist die deutlich günstigere Versicherung.

So unterschreiben Sie einen Auftragsverarbeitungsvertrag (AVV) bei VertragLotse

  1. 1

    Vertrag hochladen

    PDF, Word oder gescanntes Original mit einem Klick hochladen. Ihren Auftragsverarbeitungsvertrag (AVV) bleibt verschlüsselt in Deutschland gespeichert.

  2. 2

    Empfänger eintragen

    Name + E-Mail jedes Unterzeichners. Bis zu 10 Empfänger pro Anfrage, optional in fester Reihenfolge.

  3. 3

    Unterschriftsfelder platzieren

    Klick auf die PDF-Seite, Stift-/Text-/Datum-Feld setzen - fertig. Pro Empfänger eigene Farbe für Übersicht.

  4. 4

    Versenden + automatisch siegeln

    Empfänger bekommen einen sicheren Link per E-Mail, signieren im Browser. Nach Abschluss wird das PDF mit Server-Siegel (PAdES) versehen - manipulationssicher prüfbar.

Was kostet die Signatur für einen Auftragsverarbeitungsvertrag (AVV)?

Preise im Überblick

Preise gelten pro Empfänger mit der Rolle „Unterzeichner". Freigeber, CC und Betrachter sind kostenlos.

StufeCoins / Unterzeichner≈ EURHinweis
SES - Einfach11,801 Unterzeichner • E-Mail-MFA + PAdES-Siegel
AES - FortgeschrittenPhase 223,60Pro Unterzeichner • Identitätsprüfung per VideoIdent - Phase 2
QES - QualifiziertPhase 235,40Pro Unterzeichner • Schriftform-Ersatz über QTSP - Phase 2
Exakte Coin-Packs und Mengen-Rabatte: Pricing-Übersicht

Häufige Fehler beim digitalen Unterschreiben von Auftragsverarbeitungsvertrag (AVV)

  • Den AVV als E-Mail-Anhang hin- und herschicken, ohne dass je beide Seiten zeichnen - bei einer Prüfung fehlt dann der Nachweis, dass und wann der Vertrag zustande kam.
  • Erst das Projekt starten, dann den AVV nachreichen - die Auftragsverarbeitung beginnt mit der ersten Datenübergabe, nicht mit dem Kick-off-Termin.
  • TOM-Anlage und Subunternehmer-Liste getrennt vom AVV verwalten - beides gehört in denselben Versand, damit eine konsistente, versiegelte Fassung existiert.
  • Nach einem Subunternehmer-Wechsel nur die eigene Website aktualisieren, aber keine neue AVV-Fassung an die Bestandskunden senden.
  • Aus Sorge vor fehlender QES gar nicht digital abschließen - Art. 28 Abs. 9 DSGVO lässt das elektronische Format ausdrücklich zu; der aufgeschobene Abschluss ist das eigentliche Risiko.

AVV vor der Unterschrift per KI prüfen lassen

Haftungsverteilung, Subunternehmer-Klauseln, Weisungsrechte und Löschpflichten unterscheiden sich von AVV zu AVV erheblich. Die KI-Vertragsanalyse bewertet das Dokument in wenigen Minuten Klausel für Klausel - damit Sie wissen, was Sie zeichnen, bevor der Signatur-Link rausgeht.

Auftragsverarbeitungsvertrag (AVV) mit KI prüfen lassen

Jetzt einen Auftragsverarbeitungsvertrag (AVV) signieren

Konto in 30 Sekunden anlegen, sofort die erste Signatur starten. Empfänger brauchen kein Konto, signieren im Browser.

Jetzt signierenPreise ansehen

Häufige Fragen

Muss ein AVV unterschrieben werden oder reicht die elektronische Form?
Art. 28 Abs. 9 DSGVO verlangt, dass der AVV schriftlich abzufassen ist - erlaubt aber ausdrücklich das elektronische Format. Eine eigenhändige Unterschrift auf Papier ist nicht vorgeschrieben. Ein elektronisch signiertes PDF erfüllt die Vorgabe und liefert zusätzlich den Nachweis, wer wann zugestimmt hat.
Ist eine einfache elektronische Signatur (SES) für den AVV ausreichend?
Ja. Der Formbegriff der DSGVO ist EU-autonom und meint nicht die Schriftform des § 126 BGB - eine QES ist für den AVV nicht erforderlich. Die SES mit Audit-Trail und PAdES-Siegel geht sogar über das hinaus, was Art. 28 Abs. 9 DSGVO mindestens verlangt.
Wie weise ich den AVV-Abschluss gegenüber der Aufsichtsbehörde nach?
Mit dem versiegelten PDF samt Audit-Trail: Zeitstempel, Dokument-Hash und gehashte IP-Adressen dokumentieren, wer wann welche Fassung signiert hat. Das bedient die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO deutlich besser als ein unsignierter E-Mail-Anhang. Beide Parteien erhalten das fertige Dokument automatisch.
Kann ich AVVs an viele Kunden gleichzeitig zur Unterschrift senden?
Ja. Pro Anfrage sind bis zu 10 Empfänger möglich; für den Rollout einer neuen AVV-Fassung an den ganzen Kundenbestand nutzen Sie die Batch-Funktion mit vielen Einzel-Anfragen in einem Durchgang. Nicht reagierende Kunden kosten nichts - bei Fristablauf wird der Coin automatisch erstattet.
Gilt Art. 28 DSGVO auch für Freelancer und kleine Agenturen?
Ja, die Pflicht hängt an der Tätigkeit, nicht an der Unternehmensgröße. Wer als Dienstleister personenbezogene Daten im Auftrag verarbeitet - etwa beim Newsletter-Versand, Hosting oder in der Kundendatenbank -, braucht den AVV auch als Solo-Selbstständiger. Ohne Vertrag riskieren beide Seiten ein Bußgeld nach Art. 83 Abs. 4 DSGVO.
Was kostet die digitale Signatur eines AVV?
1 Coin (~1,80 €) pro unterzeichnendem Empfänger - ein beidseitig gezeichneter AVV kostet also 2 Coins, Mengenrabatt gibt es über die Coin-Pakete. Datenschutzbeauftragte oder Buchhaltung laufen als Freigeber oder in Kopie kostenlos mit. Mit dem Pro-Abo signieren Sie ohne Coin-Verbrauch.
Muss mein Kunde ein Konto anlegen, um den AVV zu signieren?
Nein. Der Kunde erhält einen Signatur-Link per E-Mail und unterschreibt direkt im Browser - am Handy, Tablet oder PC. Optional sichern Sie den Vorgang mit einem E-Mail-Code (MFA) zusätzlich ab.
Muss der AVV vor oder nach dem Projektstart abgeschlossen werden?
Vor der ersten Verarbeitung personenbezogener Daten - also bevor der Dienstleister Zugriff auf Kundendaten, CRM oder Server erhält. Art. 28 Abs. 3 DSGVO setzt voraus, dass die Verarbeitung auf Grundlage des Vertrags erfolgt. Praktisch heißt das: den AVV in den Onboarding-Prozess einbauen, nicht in die Nacharbeit.

Verwandte Vertragstypen

NDA / Geheimhaltungsvereinbarung
SESNDA digital signieren
Dienstleistungsvertrag
SESdienstleistungsvertrag online unterschreiben
Freelancer-Vertrag
SESfreelancer vertrag online signieren
Foto- und Video-Einwilligung (DSGVO)
SESfoto einwilligung dsgvo digital unterschreiben

Verwandte Themen