🔒DSGVO & ComplianceDocCheck

AVV-Paket (AVV + TOM + Subprozessoren) prüfen lassen

Unsere KI analysiert Ihr gesamtes AVV-Paket inklusive Hauptvertrag, Anlage zu technisch-organisatorischen Maßnahmen und Subunternehmer-Liste.

Jetzt AVV-Paket prüfen

PDF hochladen - KI-Analyse in Sekunden - Risikobewertung erhalten

Einzelanalyse ab 2,99 € · Mit Abo oder Coin-Paket günstiger

Vertrag hochladen

Was wird geprüft?

Daten & DSGVO

AVV-Pflichtpunkte, Subprozessoren, Löschfristen, Datenschutz

DSGVO-Compliance

Datenschutzerklärung, Cookie-Consent, AVV-Vollständigkeit

Formalia-Check

Pflichtangaben, formelle Anforderungen, Vollständigkeit

Anhänge & Widersprüche

Widersprüche zwischen Hauptvertrag und Anlagen

Ungewöhnliche Klauseln

Outlier-Detection: ungewöhnliche, unklare oder überraschende Klauseln

Was ein AVV-Paket ausmacht

Ein AVV-Paket bündelt die Dokumente, die Sie als Verantwortlicher von einem Dienstleister erhalten, sobald dieser personenbezogene Daten in Ihrem Auftrag verarbeitet - etwa ein Cloud-Anbieter, ein Newsletter-Tool oder ein Lohnabrechnungs-Service. Es besteht typischerweise aus drei Bausteinen:

  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit den Pflichtangaben zu Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO - die konkrete Beschreibung, wie der Dienstleister die Daten schützt
  • Subprozessoren-Liste - alle weiteren Dienstleister, die der Anbieter selbst einbindet (oft Hosting, Support oder Analyse aus Drittländern)
Anders als bei einem klassischen Vertrag verhandeln Sie hier meist nicht frei mit - Sie erhalten ein fertiges Paket und müssen prüfen, ob es Ihren Pflichten genügt. Genau das macht die Kontrolle so wichtig.

Typische Schwachstellen und Risiko-Klauseln

Viele AVV-Pakete sehen formal vollständig aus, weisen aber inhaltliche Lücken auf. Besonders häufig:

  • Unkonkrete TOM: Floskeln wie "Daten werden nach Stand der Technik geschützt" erfüllen Art. 32 DSGVO nicht. Es fehlen Aussagen zu Verschlüsselung, Zugriffskontrolle, Pseudonymisierung oder Backup-Konzepten.
  • Subprozessoren ohne Drittlandsangabe: Wird ein US-Dienst eingebunden, muss die Grundlage des Datentransfers (z. B. EU-Standardvertragsklauseln nach Art. 46 DSGVO) genannt sein. Eine bloße Liste ohne Transfermechanismus ist ein Mangel.
  • Generaleinwilligung statt Widerspruchsrecht: Nach Art. 28 Abs. 2 DSGVO muss der Wechsel von Subprozessoren vorab angekündigt werden - Sie brauchen ein echtes Einspruchsrecht, nicht nur eine pauschale Zustimmung.
  • Fehlende Löschregelung: Was nach Vertragsende mit den Daten passiert (Löschung oder Rückgabe nach Art. 28 Abs. 3 lit. g DSGVO), wird oft unklar gelassen.
  • Haftungs-Deckelung zulasten des Verantwortlichen: Manche AVV verschieben die DSGVO-Verantwortung einseitig auf den Auftraggeber.

Worauf Sie konkret achten sollten

Prüfen Sie Ihr Paket gezielt an diesen Punkten:

  • Sind alle Pflichtinhalte des Art. 28 Abs. 3 DSGVO abgedeckt (Weisungsbindung, Vertraulichkeit, Unterstützungspflichten, Audit-Recht)?
  • Beschreiben die TOM tatsächlich messbare Maßnahmen statt allgemeiner Versprechen?
  • Ist die Subprozessoren-Liste aktuell, vollständig und mit Standort versehen?
  • Gibt es ein klares Verfahren für Datenpannen (Meldepflicht nach Art. 33 DSGVO an Sie)?
  • Wird Ihnen ein Kontroll- und Auditrecht eingeräumt?
Ein häufiger Fehler in der Praxis: Das Paket wird ungelesen abgezeichnet, weil "der Anbieter ja DSGVO-konform wirbt". Die Verantwortung bleibt jedoch bei Ihnen - im Zweifel haften Sie gegenüber Aufsichtsbehörden und Betroffenen.

Dies ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung. Eine KI-Analyse prüft Ihr AVV-Paket in Sekunden auf fehlende Pflichtangaben, schwache TOM und kritische Subprozessor-Klauseln - und zeigt Ihnen, wo nachgebessert werden sollte.

Kritische Klauseln im AVV-Paket

Häufige Fragen

Was umfasst ein vollständiges AVV-Paket?
Ein AVV-Paket besteht aus dem Auftragsverarbeitungsvertrag, der Anlage zu technisch-organisatorischen Maßnahmen (TOM), der Subunternehmer-Liste und ggf. einer Anlage zur Datenbeschreibung.
Welche TOM müssen im AVV dokumentiert werden?
Dokumentiert werden müssen Maßnahmen zu Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit.

Bereit, Ihren AVV-Paket prüfen zu lassen?

Laden Sie Ihr Dokument hoch und erhalten Sie sofort eine detaillierte Risikoanalyse.

Jetzt AVV-Paket prüfen