DSGVO: Auftragsverarbeitervertrag (AVV) erstellen – Anleitung 2026 | Enjyn Gruppe
Hallo Welt
Hallo Welt
Original Lingva Deutsch
Übersetzung wird vorbereitet...
Dieser Vorgang kann bis zu 60 Sekunden dauern.
Diese Seite wird erstmalig übersetzt und dann für alle Besucher gespeichert.
0%
DE Zurück zu Deutsch
Übersetzung durch Lingva Translate

303 Dokumentationen verfügbar

Wissensdatenbank

Zurück zur Übersicht

DSGVO Auftragsverarbeitervertrag AVV Erstellen

Zuletzt aktualisiert: 05.04.2026 um 19:42 Uhr

DSGVO: Auftragsverarbeitervertrag (AVV) erstellen – Anleitung 2026

Ein Auftragsverarbeitervertrag (AVV) ist eine rechtliche Grundvoraussetzung bei der Nutzung von externen Dienstleistern zur Verarbeitung personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) schreibt dies in Artikel 28 vor. Dieser Leitfaden zeigt Ihnen, wie Sie einen rechtssicheren AVV erstellen, welche Inhalte zwingend erforderlich sind und welche Strafen drohen.

Was ist ein Auftragsverarbeitervertrag (AVV)?

Ein Auftragsverarbeitervertrag ist eine schriftliche Vereinbarung zwischen einem Verantwortlichen (Controller) und einem Auftragsverarbeiter (Processor), die die Bedingungen und Pflichten bei der Verarbeitung personenbezogener Daten regelt. Der AVV garantiert, dass der Auftragsverarbeiter die Daten ausschließlich nach Weisung des Verantwortlichen verarbeitet.

Verantwortlicher: Das Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet.

Auftragsverarbeiter: Ein Dienstleister (z. B. Hosting-Anbieter, SaaS-Tool, Agentur), der personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

Wann ist ein AVV erforderlich?

⚠️ Wichtig: Ein AVV ist zwingend erforderlich, WENN ein Dienstleister in seinem Betriebssystem personenbezogene Daten verarbeitet, auf die Sie keinen direkten Zugriff haben.

Praktische Beispiele für Auftragsverarbeiter:

  • Hosting-Anbieter und Cloud-Services (AWS, Hetzner, Linode)
  • SaaS-Tools (CRM, E-Mail-Marketing, Projektmanagement)
  • E-Mail-Dienste und Newsletter-Plattformen
  • Agentur für Website-Entwicklung oder IT-Support
  • Payment-Processor und Zahlungsdienstleister
  • SEO- und Analyse-Tools (Google Analytics, Matomo)
  • Ticketing- und Support-Systeme

Kein AVV erforderlich bei: Reinen Diensten wie Postboten oder Speditionen, die Daten nicht in einem IT-System verarbeiten; Mitarbeitern (diese fallen unter Beschäftigtendatenschutz, Art. 88 DSGVO).

Gesetzliche Grundlage (Artikel 28 DSGVO)

Artikel 28 DSGVO regelt die Auftragsverarbeitung. Die wichtigsten Anforderungen:

  • Art. 28 Abs. 1: Auftragsverarbeitung erfolgt „ausschließlich nach Weisung" des Verantwortlichen.
  • Art. 28 Abs. 3: Der AVV muss schriftlich erfolgen und folgende Inhalte regeln:
    • Gegenstand und Dauer der Auftragsverarbeitung
    • Art und Umfang der Datenverarbeitung
    • Arten von personenbezogenen Daten
    • Kategorien betroffener Personen
    • Pflichten und Rechte des Verantwortlichen
  • Art. 28 Abs. 4: Unterauftragsverarbeiter dürfen nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen eingebunden werden.

Wer muss den AVV unterzeichnen?

Unterzeichner:

  • Verantwortlicher: Das Unternehmen, das die personenbezogenen Daten verarbeitet (meist Geschäftsführer/in oder bevollmächtigte Person).
  • Auftragsverarbeiter: Der Dienstleister (meist Geschäftsführer/in oder bevollmächtigte Person).

Der AVV muss von beiden Parteien unterzeichnet sein. Reine digitale Unterschriften (z. B. E-Mail mit Bestätigung) sind ausreichend, sofern eine klare Absicht zur Bindung erkennbar ist.

Pflichtinhalte des AVV (nach Art. 28 DSGVO)

Inhalt Beschreibung
Gegenstand Konkrete Beschreibung der Auftragsverarbeitung (z. B. „Hosting von Website und Kundendatenbank")
Dauer Zeitraum der Auftragsverarbeitung (z. B. „während der Vertragslaufzeit plus 30 Tage nach Kündigung")
Art und Umfang Welche Operationen werden durchgeführt? (z. B. Speichern, Löschen, Verschlüsseln, Backups)
Datentypen Welche Kategorien von Daten? (z. B. Name, E-Mail, IP-Adressen, Zahlungsdaten)
Betroffene Personen Wer sind die betroffenen Personen? (z. B. Kunden, Website-Besucher, Mitarbeiter)
Sicherheitsmaßnahmen Technische und organisatorische Maßnahmen zum Schutz der Daten
Löschung/Rückgabe Wie werden Daten nach Ende des Auftrags gelöscht oder zurückgegeben?
Unterauftragsverarbeiter Aufzählung und Genehmigung von Unterauftragsverarbeitern
Audit & Compliance Recht des Verantwortlichen auf Prüfungen und Audits

Mustervorlage: AVV-Struktur mit Musterklauseln

Nachfolgend finden Sie eine Beispielstruktur für einen Auftragsverarbeitungsvertrag, die Sie als Basis für Ihren eigenen AVV verwenden können:

AUFTRAGSVERARBEITUNGSVERTRAG (AVV) NACH ART. 28 DSGVO

1. PRÄAMBEL
Diese Vereinbarung regelt die Auftragsverarbeitung von personenbezogenen
Daten zwischen:
- Verantwortlicher: [Ihr Unternehmensname]
- Auftragsverarbeiter: [Dienstleister-Name]

2. GEGENSTAND UND DAUER
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich
    nach schriftlicher Weisung des Verantwortlichen.
2.2 Gegenstand: [Konkrete Beschreibung, z.B. Hosting der Website,
                   Verwaltung der Kundendatenbank, E-Mail-Support]
2.3 Dauer: Ab Unterzeichnung bis Beendigung des Hauptvertrags, danach
           Löschung innerhalb von 30 Tagen.

3. ART UND UMFANG DER DATENVERARBEITUNG
3.1 Kategorien von Operationen:
    - Speicherung
    - Lesen/Auslesen
    - Änderungen/Anpassungen
    - Löschung
    - Backup und Wiederherstellung

3.2 Arten von personenbezogenen Daten:
    - Name, Vorname
    - E-Mail-Adresse
    - Telefonnummer
    - IP-Adressen
    - Nutzungsdaten

3.3 Kategorien betroffener Personen:
    - Kunden und Interessenten
    - Website-Besucher
    - Mitarbeiter

4. PFLICHTEN DES AUFTRAGSVERARBEITERS
4.1 Der Auftragsverarbeiter verarbeitet Daten nur nach Weisung des
    Verantwortlichen.
4.2 Gewährleistung von Vertraulichkeit durch Verpflichtung aller Mitarbeiter
    (schriftliche Verpflichtung erforderlich).
4.3 Implementierung angemessener technischer und organisatorischer Maßnahmen
    nach Art. 32 DSGVO.
4.4 Unterstützung bei der Erfüllung der Betroffenenrechte.
4.5 Unterstützung bei Datenschutz-Folgenabschätzungen und Sicherheitsprüfungen.

5. UNTERAUFTRAGSVERARBEITER
5.1 Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger
    schriftlicher Genehmigung des Verantwortlichen einbinden.
5.2 Bereits genehmigte Unterauftragsverarbeiter (wenn zutreffend):
    - [Liste mit Namen und Tätigkeit]

6. SICHERHEIT UND SCHUTZMASSNAHMEN
6.1 Der Auftragsverarbeiter stellt sicher:
    - Verschlüsslung personenbezogener Daten (mindestens AES-256 oder TLS 1.2+)
    - Regelmäßige Sicherheitsupdates und Patches
    - Zugriffskontrolle und Authentifizierung (Zwei-Faktor-Authentifizierung)
    - Verschlüsselte Datenübertragung
    - Regelmäßige Backups
    - Notfallmanagement und Business Continuity Plan

7. LÖSCHUNG ODER RÜCKGABE VON DATEN
7.1 Nach Beendigung des Auftrags löscht der Auftragsverarbeiter sämtliche
    Daten innerhalb von 30 Tagen, sofern nicht anders vereinbart.
7.2 Der Verantwortliche kann alternativ Rückgabe aller Daten verlangen.
7.3 Nach Löschung bestätigt der Auftragsverarbeiter schriftlich die Löschung.

8. RECHT AUF KONTROLLE UND AUDITS
8.1 Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags zu
    überprüfen.
8.2 Der Auftragsverarbeiter stellt auf Anforderung alle erforderlichen
    Informationen und Nachweise zur Verfügung.
8.3 Der Verantwortliche kann Audits durchführen oder durch Dritte
    durchführen lassen.
8.4 Der Auftragsverarbeiter akzeptiert Inspektionen durch die zuständige
    Aufsichtsbehörde.

9. DATENSCHUTZVERLETZUNGEN
9.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne
    unangemessene Verzögerung, spätestens nach 24 Stunden, über
    Datenschutzverletzungen.
9.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der
    Erfüllung der Meldepflicht (Art. 33/34 DSGVO).

10. SCHLUSSKLAUSELN
10.1 Dieses Vertrag folgt deutschem Recht.
10.2 Salvatorische Klausel: Sollte eine Bestimmung unwirksam sein, bleibt
     der Vertrag im Übrigen gültig.
10.3 Abweichungen von diesem Vertrag bedürfen der Schriftform.

AVV-Template mit Musterklausel

Nachfolgend eine vollständige Musterklausel für eine einfache Auftragsverarbeitung nach Art. 28 DSGVO, die Sie als Vorlage verwenden können:

AUFTRAGSVERARBEITER-VEREINBARUNG NACH ART. 28 DSGVO
Muster für einfache Auftragsverarbeitung

Zwischen [Verantwortlicher Name] (im Folgenden "Verantwortlicher")
und [Auftragsverarbeiter Name] (im Folgenden "Auftragsverarbeiter")

VEREINBARUNG:

Der Auftragsverarbeiter erklärt sich bereit, personenbezogene Daten
ausschließlich nach schriftlicher Weisung des Verantwortlichen zu verarbeiten.

1. GEGENSTAND DER AUFTRAGSVERARBEITUNG
   - Tätigkeit: [z.B. Hosting, E-Mail-Support, Datenbank-Verwaltung]
   - Umfang: Speicherung, Verarbeitung und Übertragung von Kundendaten
   - Dauer: [Zeitraum], mindestens bis [Enddatum oder "bis zur Kündigung"]

2. KATEGORIEN VON DATEN UND BETROFFENEN PERSONEN
   - Personenbezogene Daten: Namen, E-Mail-Adressen, IP-Adressen, Zahlungsdaten
   - Betroffene Personen: Kunden, Website-Besucher, Mitarbeiter

3. SICHERHEIT UND DATENSCHUTZMASSNAHMEN
   - Verschlüsselung aller Daten im Transit und in Ruhe (AES-256 oder TLS 1.2+)
   - Zugriffskontrolle durch Authentifizierung und Autorisierung
   - Regelmäßige Sicherheitsupdates und Patches
   - Regelmäßige Backups und Disaster-Recovery-Plan
   - Notfall- und Business-Continuity-Management

4. SUBUNTERNEHMER
   Der Auftragsverarbeiter darf Subunternehmer nur mit vorheriger
   schriftlicher Genehmigung des Verantwortlichen einsetzt.
   Bereits genehmigte Subunternehmer: [keine / Liste mit Namen]

5. BETROFFENENRECHTE
   Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der
   Erfüllung von Auskunfts-, Berichtigungs- und Löschungsanfragen
   innerhalb von 14 Tagen nach Anforderung.

6. LÖSCHUNG ODER RÜCKGABE VON DATEN
   Nach Beendigung des Vertrags werden alle Daten innerhalb von 30 Tagen
   gelöscht oder auf Anforderung zurückgegeben. Eine schriftliche
   Bestätigung der Löschung wird erteil.

7. AUDIT UND KONTROLLE
   Der Verantwortlicher hat das Recht, die Einhaltung dieses Vertrags
   zu überprüfen und Audits durchzuführen (mindestens jährlich).

8. DATENSCHUTZVERLETZUNGEN
   Der Auftragsverarbeiter benachrichtigt den Verantwortlichen spätestens
   nach 24 Stunden über jede bekannte Datenschutzverletzung.

Ort und Datum: ______________________
Unterschrift Verantwortlicher: _______
Unterschrift Auftragsverarbeiter: ____

SQL-Beispiel: Logging von AVV-Vereinbarungen

Zum Tracking und zur Dokumentation von AVV-Abschlüssen können Sie folgende SQL-Struktur verwenden:

-- Tabelle für AVV-Verwaltung
CREATE TABLE IF NOT EXISTS avv_agreements (
  id INT AUTO_INCREMENT PRIMARY KEY,
  processor_name VARCHAR(255) NOT NULL,
  processor_email VARCHAR(255),
  contract_start_date DATE NOT NULL,
  contract_end_date DATE,
  data_categories TEXT COMMENT 'JSON: Namen, E-Mail, IP, etc.',
  affected_persons TEXT COMMENT 'Kunden, Mitarbeiter, Website-Besucher',
  security_measures TEXT COMMENT 'Verschlüsselung, 2FA, Backups',
  subprocessors_allowed BOOLEAN DEFAULT FALSE,
  subprocessors_list JSON,
  deletion_method ENUM('hard_delete', 'anonymization', 'both'),
  deletion_timeframe_days INT DEFAULT 30,
  audit_rights BOOLEAN DEFAULT TRUE,
  signed_date DATETIME NOT NULL,
  signed_by_controller VARCHAR(255),
  signed_by_processor VARCHAR(255),
  document_path VARCHAR(500) COMMENT 'Link zur PDF/Datei',
  status ENUM('active', 'expired', 'terminated') DEFAULT 'active',
  notes TEXT,
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
);

-- Index für schnelle Abfragen
CREATE INDEX idx_processor_name ON avv_agreements(processor_name);
CREATE INDEX idx_status ON avv_agreements(status);
CREATE INDEX idx_contract_end_date ON avv_agreements(contract_end_date);

-- Beispiel-INSERT
INSERT INTO avv_agreements (
  processor_name, processor_email, contract_start_date,
  contract_end_date, data_categories, affected_persons,
  security_measures, deletion_timeframe_days, signed_date,
  signed_by_controller, document_path, status
) VALUES (
  'Cloud-Hosting GmbH',
  'kontakt@cloud-hosting.de',
  '2026-01-01',
  '2027-12-31',
  '["Name", "E-Mail", "IP-Adresse", "Server-Logs"]',
  'Website-Besucher, Kunden',
  'AES-256 Verschlüsselung, tägliche Backups, TLS 1.3, 2FA für Admin-Zugang',
  30,
  '2026-01-15 10:00:00',
  'Max Mustermann (Geschäftsführer)',
  '/dokumentation/avv/cloud-hosting-gmbh-2026.pdf',
  'active'
);

-- Abfrage: Alle aktiven AVVs
SELECT processor_name, contract_start_date, contract_end_date, status
FROM avv_agreements
WHERE status = 'active'
ORDER BY contract_end_date ASC;

-- Abfrage: Verträge die bald auslaufen (in 90 Tagen)
SELECT processor_name, contract_end_date,
  DATEDIFF(contract_end_date, CURDATE()) as days_remaining
FROM avv_agreements
WHERE status = 'active'
  AND contract_end_date <= DATE_ADD(CURDATE(), INTERVAL 90 DAY)
ORDER BY contract_end_date ASC;

Häufige Fehler beim AVV

Fehler Folge Lösungsansatz
Kein schriftlicher AVV Hohe Bußgelder, keine rechtsichere Grundlage Sofort formellen AVV erstellen und unterzeichnen
Unklare Verantwortlichkeiten Keine Klärung, wer für Datenschutzverstöße haftet Alle Pflichten konkret zuweisen
Ungenügende Sicherheitsanforderungen Datenschutzverletzungen möglich, Bußgeld droht Konkrete Sicherheitsmaßnahmen nach Art. 32 DSGVO aufnehmen
Unterauftragsverarbeiter nicht genannt Rechtswidrigkeit, wenn weitere Dienstleister eingebunden werden Alle Unterauftragsverarbeiter auflisten oder dynamische Klausel verwenden
Keine Lösch-/Rückgabeklausel Daten werden nicht gelöscht, Datenschutzverletzung Konkrete Frist für Löschung festlegen (30-90 Tage)

Checkliste: AVV-Erstellung

Aufgabe Status
Verantwortlicher und Auftragsverarbeiter identifizieren
Gegenstand der Auftragsverarbeitung konkret beschreiben
Dauer und Ende der Auftragsverarbeitung festlegen
Alle Datentypen (Name, E-Mail, IP, etc.) auflisten
Kategorien betroffener Personen angeben
Sicherheitsmaßnahmen konkretisieren (Verschlüsselung, Backups, MFA, etc.)
Unterauftragsverarbeiter auflisten oder dynamische Klausel einfügen
Lösch-/Rückgabeklausel mit konkreter Frist einfügen
Audit- und Kontrollrechte des Verantwortlichen festlegen
Meldepflicht bei Datenschutzverletzungen regelnd
AVV durch beide Parteien unterzeichnet oder bestätigt
AVV-Kopie archiviert und zugänglich aufbewahrt

Bußgelder bei fehlendem oder mangelhaftem AVV

⚠️ Wichtig: Nach Art. 83 Abs. 4 DSGVO drohen hohe Bußgelder für die fehlende oder mangelhafte Auftragsverarbeitung.

Bußgeldkatalog:

  • Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (was höher ist) für:
    • Fehlendes Vorliegen eines schriftlichen AVV
    • Auftragsverarbeitung ohne entsprechenden schriftlichen Auftrag
  • Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (was höher ist) für zusätzliche Verstöße gegen die DSGVO

Deutsche Behörden und Beispiele: Das Bundesdatenschutzgesetz (BDSG) und die Datenschutzkonferenzen (DSK) haben mehrfach hohe Bußgelder verhängt. Beispiel: Ein Unternehmen ohne AVV mit Hosting-Provider zahlte 50.000 Euro Bußgeld für Verstöße nach Art. 28 DSGVO.

Best Practices für AVV-Verwaltung

💡 Tipp: Führen Sie ein AVV-Register, in dem Sie alle Auftragsverarbeiter mit Unterzeichnungsdatum, Geltungsbereich und Erneuerungsfrist dokumentieren.
  • Zentrale Verwaltung: Alle AVVs in einem Dateimanagement-System sammeln (z. B. Shared-Folder mit Zugriffskontrolle)
  • Regelmäßige Überprüfung: Jährlich prüfen, ob AVVs noch aktuell sind (besonders bei Änderung von Dienstleistern)
  • Digitale Unterschriften: Für Schnelligkeit die Unterzeichnung per DocuSign oder ähnliche Dienste nutzen
  • Unterauftragsverarbeiter-Klausel: Dynamische Klausel verwenden: „Auftragsverarbeiter darf Unterauftragsverarbeiter einbinden, wenn Verantwortlicher nicht widerspricht (Opt-out)"
  • Datenschutz-Folgenabschätzung (DPIA): Vor Abschluss eines AVV prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist (besonders bei hohen Risiken)

Praktische Szenarien

Szenario 1: E-Mail-Marketing-Dienstleister

Sie nutzen einen Newsletter-Service (z. B. Brevo, MailChimp) zur Verwaltung Ihrer Kundenliste. Der Service speichert E-Mail-Adressen, Namen und Öffnungsraten.

Notwendig: Ja, ein AVV ist erforderlich. Der Newsletter-Dienstleister ist ein Auftragsverarbeiter, da er personenbezogene Daten nach Ihrer Weisung verarbeitet.

Szenario 2: Website-Hosting mit Europäischem Anbieter

Sie hosten Ihre Website bei einem deutschen Hosting-Provider. Der Provider speichert Kundendaten in einer Datenbank.

Notwendig: Ja, ein AVV ist erforderlich. Der Hosting-Provider ist ein Auftragsverarbeiter, auch wenn der Datenschutz hoch ist.

Szenario 3: Druckerei für Geschäftsbriefe

Sie beauftragen eine lokale Druckerei, Geschäftsbriefe mit Kundennamen zu drucken (Serienbrief-Funktion).

Notwendig: Die Frage hängt davon ab: Wenn die Druckerei die Kundendaten elektronisch verarbeitet und speichert, ist ein AVV erforderlich. Wenn die Druckerei die Daten nur auf Papier erhält, ist kein AVV erforderlich (es sei denn, es gibt eine große Menge an Daten).

Weitere Ressourcen

Enjix Beta

Enjyn AI Agent

Hallo 👋 Ich bin Enjix — wie kann ich dir helfen?
120