AVV-Paket (AVV + TOM + Subprozessoren) prüfen lassen
Unsere KI analysiert Ihr gesamtes AVV-Paket inklusive Hauptvertrag, Anlage zu technisch-organisatorischen Maßnahmen und Subunternehmer-Liste.
Jetzt AVV-Paket prüfen
PDF hochladen - KI-Analyse in Sekunden - Risikobewertung erhalten
Einzelanalyse ab 2,99 € · Mit Abo oder Coin-Paket günstiger
Was wird geprüft?
Daten & DSGVO
AVV-Pflichtpunkte, Subprozessoren, Löschfristen, Datenschutz
DSGVO-Compliance
Datenschutzerklärung, Cookie-Consent, AVV-Vollständigkeit
Formalia-Check
Pflichtangaben, formelle Anforderungen, Vollständigkeit
Anhänge & Widersprüche
Widersprüche zwischen Hauptvertrag und Anlagen
Ungewöhnliche Klauseln
Outlier-Detection: ungewöhnliche, unklare oder überraschende Klauseln
Was ein AVV-Paket ausmacht
Ein AVV-Paket bündelt die Dokumente, die Sie als Verantwortlicher von einem Dienstleister erhalten, sobald dieser personenbezogene Daten in Ihrem Auftrag verarbeitet - etwa ein Cloud-Anbieter, ein Newsletter-Tool oder ein Lohnabrechnungs-Service. Es besteht typischerweise aus drei Bausteinen:
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit den Pflichtangaben zu Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO - die konkrete Beschreibung, wie der Dienstleister die Daten schützt
- Subprozessoren-Liste - alle weiteren Dienstleister, die der Anbieter selbst einbindet (oft Hosting, Support oder Analyse aus Drittländern)
Typische Schwachstellen und Risiko-Klauseln
Viele AVV-Pakete sehen formal vollständig aus, weisen aber inhaltliche Lücken auf. Besonders häufig:
- Unkonkrete TOM: Floskeln wie "Daten werden nach Stand der Technik geschützt" erfüllen Art. 32 DSGVO nicht. Es fehlen Aussagen zu Verschlüsselung, Zugriffskontrolle, Pseudonymisierung oder Backup-Konzepten.
- Subprozessoren ohne Drittlandsangabe: Wird ein US-Dienst eingebunden, muss die Grundlage des Datentransfers (z. B. EU-Standardvertragsklauseln nach Art. 46 DSGVO) genannt sein. Eine bloße Liste ohne Transfermechanismus ist ein Mangel.
- Generaleinwilligung statt Widerspruchsrecht: Nach Art. 28 Abs. 2 DSGVO muss der Wechsel von Subprozessoren vorab angekündigt werden - Sie brauchen ein echtes Einspruchsrecht, nicht nur eine pauschale Zustimmung.
- Fehlende Löschregelung: Was nach Vertragsende mit den Daten passiert (Löschung oder Rückgabe nach Art. 28 Abs. 3 lit. g DSGVO), wird oft unklar gelassen.
- Haftungs-Deckelung zulasten des Verantwortlichen: Manche AVV verschieben die DSGVO-Verantwortung einseitig auf den Auftraggeber.
Worauf Sie konkret achten sollten
Prüfen Sie Ihr Paket gezielt an diesen Punkten:
- Sind alle Pflichtinhalte des Art. 28 Abs. 3 DSGVO abgedeckt (Weisungsbindung, Vertraulichkeit, Unterstützungspflichten, Audit-Recht)?
- Beschreiben die TOM tatsächlich messbare Maßnahmen statt allgemeiner Versprechen?
- Ist die Subprozessoren-Liste aktuell, vollständig und mit Standort versehen?
- Gibt es ein klares Verfahren für Datenpannen (Meldepflicht nach Art. 33 DSGVO an Sie)?
- Wird Ihnen ein Kontroll- und Auditrecht eingeräumt?
Dies ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung. Eine KI-Analyse prüft Ihr AVV-Paket in Sekunden auf fehlende Pflichtangaben, schwache TOM und kritische Subprozessor-Klauseln - und zeigt Ihnen, wo nachgebessert werden sollte.
Kritische Klauseln im AVV-Paket
Subprozessoren-Klausel (AVV)
Liste der Unterauftragsverarbeiter in der AVV. Änderungen müssen vorab mitgeteilt werden, Widerspruchsrecht muss bestehen.
Technische und Organisatorische Maßnahmen (TOM)
Pflichtanhang der AVV mit konkreten Schutzmaßnahmen. Pauschale Verweise auf "Stand der Technik" reichen nicht.
Häufige Fragen
Was umfasst ein vollständiges AVV-Paket?
Welche TOM müssen im AVV dokumentiert werden?
Bereit, Ihren AVV-Paket prüfen zu lassen?
Laden Sie Ihr Dokument hoch und erhalten Sie sofort eine detaillierte Risikoanalyse.
Jetzt AVV-Paket prüfen