Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?

Wer ein Unternehmen betreibt, arbeitet praktisch immer mit externen Dienstleistern: Webhoster, Newsletter-Tool, CRM, Buchhaltungs-Software, Cloud-Speicher. Sobald diese Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten, schreibt die DSGVO einen Auftragsverarbeitungsvertrag vor — kurz AVV. Ohne diesen Vertrag verarbeiten beide Seiten Daten rechtswidrig.

Ein AVV-Audit ist eine der häufigsten Erstfragen bei einer Datenschutzprüfung. Wenn Sie unsicher sind, welche Dienste auf Ihrer Website überhaupt mitlesen, gibt der kostenlose DSGVO-Scanner einen ersten Überblick.

Was ist ein Auftragsverarbeiter?

Die Definition steht in Art. 4 Nr. 8 DSGVO: ein Auftragsverarbeiter ist eine "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet".

Drei Merkmale müssen zusammenkommen:

1. Personenbezogene Daten sind im Spiel (Namen, E-Mails, IP-Adressen, Kundennummern, Mitarbeiterdaten).
2. Im Auftrag: Sie geben den Zweck und die wesentlichen Mittel der Verarbeitung vor. Der Dienstleister entscheidet nicht eigenständig, was mit den Daten geschieht.
3. Externe Stelle: nicht der Verantwortliche selbst, sondern ein rechtlich getrennter Dritter.

Sind alle drei erfüllt, ist Art. 28 DSGVO einschlägig — ein AVV ist Pflicht.

Typische Auftragsverarbeiter bei einer Website

Bei einem typischen kleinen Unternehmen sind das in der Regel:

• Webhoster und Cloud-Server-Anbieter (z.B. Hetzner, IONOS, Strato, AWS, Azure).
• CDN-Dienste und Reverse-Proxy-Anbieter (z.B. Cloudflare).
• E-Mail- und Newsletter-Tools (Mailchimp, Brevo, CleverReach, Rapidmail).
• Analyse- und Tracking-Werkzeuge (Google Analytics, Matomo Cloud, Plausible).
• CRM- und Ticket-Systeme (HubSpot, Pipedrive, Zendesk).
• Buchhaltungs-Software (sevDesk, Lexware Office, DATEV-Cloud-Anwendungen).
• Cloud-Speicher (Dropbox, Google Drive, Microsoft 365).
• Schriften-Dienste — bei externer Einbindung von Google Fonts ist Google ein Auftragsverarbeiter, sobald Sie korrekt eingebunden haben.
• Payment-Provider: hier ist die Einordnung im Einzelfall zu prüfen, oft ist der Dienstleister gemeinsamer Verantwortlicher oder eigener Verantwortlicher.

Faustregel: Wenn der Dienstleister auf irgendwelche Daten zugreifen kann, die Personen zuordenbar sind, brauchen Sie einen AVV.

Was nicht unter Auftragsverarbeitung fällt

Nicht jeder externe Dienstleister ist Auftragsverarbeiter:

• Anwälte, Steuerberater und Wirtschaftsprüfer handeln nach ihren berufsrechtlichen Vorgaben eigenständig — keine Auftragsverarbeitung, sondern eigene Verantwortlichkeit.
• Banken, Telekommunikationsanbieter und Postdienste in ihrer originären Tätigkeit sind eigene Verantwortliche.
• Auskunfteien wie SCHUFA handeln in eigener Verantwortung.
• Reine Wartungs-Dienstleister, die nur theoretischen Zugriff hätten und vertraglich auf den Zugriff verzichten, können je nach Konstellation ohne AVV auskommen — sicherer ist trotzdem ein AVV oder zumindest eine Verschwiegenheitserklärung.

Was im AVV stehen muss

Art. 28 Abs. 3 DSGVO listet die Pflichtinhalte auf. Ein konformer AVV enthält:

• Gegenstand und Dauer der Verarbeitung.
• Art und Zweck der Verarbeitung (z.B. "Hosting und Bereitstellung der Webseite").
• Art der personenbezogenen Daten (z.B. IP-Adressen, Logfile-Daten, Stammdaten der registrierten Nutzer).
• Kategorien betroffener Personen (Kunden, Mitarbeiter, Webseiten-Besucher).
• Rechte und Pflichten des Verantwortlichen.
• Weisungsbindung des Auftragsverarbeiters.
• Vertraulichkeitsverpflichtung der Mitarbeiter.
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (oft als TOM-Anlage).
• Regelung zu Sub-Auftragsverarbeitern (Genehmigungsvorbehalt oder allgemeine schriftliche Genehmigung).
• Unterstützung bei Anfragen Betroffener (Auskunft, Löschung, Berichtigung).
• Unterstützung bei Datenpannen nach Art. 33–34 DSGVO.
• Pflicht zur Löschung oder Rückgabe der Daten am Vertragsende.
• Nachweise und Kontrollrechte des Verantwortlichen (z.B. Auditrechte).

Seriöse Anbieter stellen den AVV als fertiges Vertragswerk zum Download. Die EU-Kommission hat zusätzlich Standardvertragsklauseln als Mustervertrag veröffentlicht, die Sie verwenden können, wenn der Dienstleister keinen eigenen AVV anbietet.

Haftung ohne AVV

Ohne abgeschlossenen AVV verarbeiten Sie selbst rechtswidrig. Die Folgen können sein:

• Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 lit. a DSGVO — egal ob der Verstoß durch Vorsatz oder Fahrlässigkeit entstanden ist.
• Schadensersatzansprüche Betroffener nach Art. 82 DSGVO. Der EuGH hat in mehreren Urteilen — zuletzt in der Rechtssache C-687/21 — bestätigt, dass auch ein bloßer Kontrollverlust über Daten unter Umständen einen ersatzfähigen immateriellen Schaden begründen kann.
• Haftung für Verstöße des Dienstleisters: Ohne AVV gilt jeder Datenschutzverstoß des Subunternehmers automatisch als eigener Verstoß, weil Sie nicht nachweisen können, dass der Dienstleister Ihren Weisungen unterworfen war.
• Abmahnungen durch Wettbewerber: Auch wenn die Frage der Abmahnfähigkeit von DSGVO-Verstößen umstritten ist, hat der BGH 2024 in der Rechtssache I ZR 222/19 anerkannt, dass bestimmte Datenschutzverstöße wettbewerbsrechtlich verfolgt werden können.

In der Praxis wird der fehlende AVV bei jeder Datenschutz-Beschwerde als erstes gefragt. Wer ihn nicht vorlegen kann, hat das Verfahren faktisch verloren.

Sub-Auftragsverarbeiter und EU/Drittland

Viele Dienstleister setzen ihrerseits Subunternehmer ein — der CRM-Anbieter nutzt z.B. AWS als Cloud-Plattform. Diese sogenannten Sub-Auftragsverarbeiter müssen im AVV geregelt sein. Üblich ist eine allgemeine schriftliche Genehmigung: der Verantwortliche genehmigt vorab den Einsatz von Sub-Auftragsverarbeitern, der Dienstleister meldet Neuzugänge mit Widerspruchsmöglichkeit (häufig 30 Tage).

Sobald Daten in ein Drittland außerhalb der EU/EWR gehen — typischerweise USA — brauchen Sie zusätzlich eine Rechtsgrundlage für die Drittlandübermittlung. Das ist:

• Angemessenheitsbeschluss (für die USA: Data Privacy Framework, sofern der Empfänger zertifiziert ist).
• Standardvertragsklauseln (SCC) der EU-Kommission, in der aktuellen Fassung von 2021.
• Binding Corporate Rules innerhalb von Konzernen.
• Einwilligung der Betroffenen für die spezifische Übermittlung — selten praktikabel im Massengeschäft.

So gehen Sie systematisch vor

1. Liste der Datenverarbeiter erstellen: Alle externen Dienste durchgehen, die Zugriff auf personenbezogene Daten haben. Webhoster, E-Mail-Server, Newsletter-Tool, Analytics, CRM, Cloud-Backup, Buchhaltung.
2. AVVs einholen: Auf der Anbieter-Website nach "DPA", "AVV" oder "Auftragsverarbeitung" suchen. Bei den meisten kommerziellen Tools steht das Dokument zum direkten Download bereit oder kann im Kundenbereich aktiviert werden.
3. Unterzeichnen und ablegen: Elektronische Signatur oder Gegenzeichnung per PDF genügen. Alle unterschriebenen AVVs an einem zentralen Ort speichern.
4. Im Verzeichnis von Verarbeitungstätigkeiten dokumentieren: Jeden Dienstleister mit Zweck, Datenarten und AVV-Stand listen.
5. In der Datenschutzerklärung benennen: Externe Dienste, die im Browser des Besuchers laden (z.B. Analytics, Schriften, Maps) müssen in der Datenschutzerklärung genannt werden.
6. Regelmäßig aktualisieren: Bei Anbieterwechsel oder neuem Tool den AVV nachziehen.

Wo Sie AVVs gängiger Tools finden

Die meisten kommerziellen Anbieter haben den AVV in ihrem Kunden- oder Hilfsbereich verlinkt. Eine kurze Übersicht der gängigen Anlaufstellen:

• Google Workspace und Google Analytics: über die Admin-Konsole unter "Konto" → "Rechtliches" abrufbar; zusätzlich Google Cloud Data Processing Addendum.
• Microsoft 365 / Azure: Microsoft Product Terms enthalten den DPA standardmäßig — abrufbar im Microsoft Trust Center.
• AWS: AWS GDPR Data Processing Addendum, automatisch Teil der AWS-Servicebedingungen.
• Brevo, Mailchimp, CleverReach, rapidmail: AVV im Kundenbereich oder direkt auf der jeweiligen "Datenschutz"-Seite zum Download als PDF.
• Hetzner, IONOS, Strato: AVV im Kundencenter zur Auswahl, häufig digital gegenzeichenbar.
• HubSpot, Pipedrive, Zendesk: DPA über den Customer Trust Hub des Anbieters.

Wenn ein Anbieter keinen AVV anbietet oder sich weigert, einen abzuschließen, sollten Sie den Dienst nicht produktiv einsetzen — die Verantwortung bleibt im Zweifel bei Ihnen.

Was Sie heute prüfen sollten

• Habe ich für meinen Webhoster einen AVV?
• Habe ich für mein Newsletter-Tool und mein CRM einen AVV?
• Sind alle externen Skripte auf meiner Website in einem aktuellen AVV abgebildet?
• Gibt es ein Verzeichnis von Verarbeitungstätigkeiten?

Ein häufiger Fallstrick: AVVs sind oft direkt mit dem Vertragsabschluss verknüpft, werden aber bei einem späteren Anbieterwechsel vergessen. Wer das CRM, das Newsletter-Tool oder den Hoster wechselt, sollte den neuen AVV vor dem Datenmigrations-Termin in der Hand haben — nicht danach. Eine simple Tabelle mit Spalten Dienstleister / Dienst / Datenarten / AVV vorhanden seit / Sub-Auftragsverarbeiter / Drittland hilft, den Überblick zu behalten und bei einer Behörden-Anfrage in Sekunden Auskunft geben zu können.

Welche externen Dienste Ihre Website tatsächlich lädt, zeigt der kostenlose DSGVO-Scanner in Sekunden — danach wissen Sie, mit wem Sie noch einen AVV brauchen.