Auftragsverarbeitungsvertrag (AVV) prüfen lassen
Ihren AVV auf DSGVO-Konformität prüfen — unsere KI prüft Pflichtbestandteile nach Art. 28, TOM-Anhang, Subprozessorliste und Löschkonzept.
Jetzt AVV prüfen
PDF hochladen - KI-Analyse in Sekunden - Risikobewertung erhalten
Einzelanalyse ab 2,99 € · Mit Abo oder Coin-Paket günstiger
Was wird geprüft?
Daten & DSGVO
AVV-Pflichtpunkte, Subprozessoren, Löschfristen, Datenschutz
DSGVO-Compliance
Datenschutzerklärung, Cookie-Consent, AVV-Vollständigkeit
Formalia-Check
Pflichtangaben, formelle Anforderungen, Vollständigkeit
Ungewöhnliche Klauseln
Outlier-Detection: ungewöhnliche, unklare oder überraschende Klauseln
Was ein Auftragsverarbeitungsvertrag regelt
Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO zwingend vorgeschrieben, sobald ein Dienstleister personenbezogene Daten weisungsgebunden für ein anderes Unternehmen verarbeitet – etwa Cloud-Hosting, Newsletter-Tools, Lohnbuchhaltung oder externe IT-Wartung. Der Verantwortliche bleibt datenschutzrechtlich in der Pflicht, der Auftragsverarbeiter handelt nur auf dessen dokumentierte Weisung.
Typische Pflichtbestandteile nach Art. 28 Abs. 3 DSGVO sind:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Kategorien betroffener Personen
- Weisungsbindung und Vertraulichkeitsverpflichtung der eingesetzten Personen
- Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, meist als Anlage
- Regelungen zu Unterauftragsverarbeitern (Sub-Prozessoren)
- Unterstützungspflichten bei Betroffenenrechten, Meldepflichten und Datenschutz-Folgenabschätzung
- Löschung oder Rückgabe der Daten nach Vertragsende und Nachweis-/Audit-Rechte
Häufige Risiko-Klauseln
Im B2B-Kontext gilt zwar erweiterte Vertragsfreiheit, doch beim AVV setzt die DSGVO harte Grenzen. Kritisch sind vor allem:
- Pauschale Sub-Prozessor-Freigabe: Eine Klausel, die dem Auftragsverarbeiter erlaubt, beliebige Unterauftragnehmer ohne Information einzusetzen, widerspricht Art. 28 Abs. 2 DSGVO. Mindestens ein Widerspruchsrecht muss bestehen.
- Drittlandtransfer ohne Garantien: Werden Daten in die USA oder andere Drittländer übermittelt, fehlen oft Standardvertragsklauseln (Art. 46 DSGVO) oder ein Transfer-Impact-Assessment.
- Ausgehöhlte Audit-Rechte: Formulierungen wie „Prüfungen nur nach Vorlage eines Zertifikats" können das Kontrollrecht aus Art. 28 Abs. 3 lit. h DSGVO unzulässig beschneiden.
- Haftungsdeckel und Freistellung: Eine Klausel, die die Haftung des Auftragsverarbeiters für Datenschutzverstöße komplett ausschließt, ist heikel – die Außenhaftung nach Art. 82 DSGVO lässt sich vertraglich nicht wegbedingen, nur im Innenverhältnis ausgestalten.
- Vage TOM-Anlage: Verweise auf „angemessene Maßnahmen" ohne konkrete Beschreibung erfüllen Art. 32 DSGVO nicht.
Worauf Sie konkret achten sollten
Prüfen Sie, ob die TOM als konkrete Anlage beiliegen und zum Risikoniveau passen. Klären Sie, welche Sub-Prozessoren aktuell eingesetzt werden und wie Änderungen kommuniziert werden. Achten Sie auf eine eindeutige Löschregelung nach Vertragsende inklusive Nachweis. Im Innenverhältnis lohnt der Blick auf Haftungsverteilung und Regress – als Verantwortlicher sollten Sie sich Regressansprüche sichern, wenn der Auftragsverarbeiter den Schaden verursacht hat. Stimmen die genannten Datenkategorien und der Zweck mit Ihrer tatsächlichen Verarbeitung überein?
Praxis-Tipp: Ein häufiger Fehler ist, einen vom Anbieter vorgelegten AVV ungeprüft zu unterschreiben, weil „das Standard ist". Genau dort verstecken sich einseitige Haftungsregelungen und Drittlandklauseln. Diese Hinweise sind allgemeine Information und ersetzen keine individuelle Rechtsberatung.
Eine KI-Analyse prüft die Klauseln Ihres AVV in Sekunden und markiert Lücken bei TOM, Sub-Prozessoren und Haftung.
Kritische Klauseln im AVV
Datensicherungs- & Backup-Klausel
Regelt Backup-Häufigkeit, Wiederherstellung und Verantwortlichkeiten für Datenverluste in der Cloud.
Subprozessoren-Klausel (AVV)
Liste der Unterauftragsverarbeiter in der AVV. Änderungen müssen vorab mitgeteilt werden, Widerspruchsrecht muss bestehen.
Technische und Organisatorische Maßnahmen (TOM)
Pflichtanhang der AVV mit konkreten Schutzmaßnahmen. Pauschale Verweise auf "Stand der Technik" reichen nicht.
Aufbewahrungsfristen
Gesetzliche und vertragliche Fristen zur Datenspeicherung. Nach Ablauf müssen Daten gelöscht werden (Art. 17 DSGVO).
Recht auf Löschung / Vergessenwerden
Art. 17 DSGVO gibt Betroffenen das Recht auf Löschung ihrer personenbezogenen Daten.
Drittlandtransfer (DSGVO)
Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR. Erfordert Angemessenheitsbeschluss oder SCC.
Häufige Fragen
Was muss in einer AVV stehen?
Bereit, Ihren AVV prüfen zu lassen?
Laden Sie Ihr Dokument hoch und erhalten Sie sofort eine detaillierte Risikoanalyse.
Jetzt AVV prüfen