AVV prüfen & erstellen: Auftragsverarbeitung nach Art. 28
Auftragsverarbeitungsvertrag (AVV) prüfen & erstellen: Pflichtinhalte nach Art. 28 Abs. 3 DSGVO, Prüf-Checkliste und wann ein AVV nötig ist — für Hamburger KMU.
Inhalt in Kürze
- Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 Abs. 3 DSGVO Pflicht, sobald ein Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet — Cloud, Newsletter, CRM, Lohnbüro, IT-Wartung.
- Acht Pflichtinhalte (lit. a bis h) muss jeder AVV regeln: Weisungsbindung, Vertraulichkeit, TOMs, Subunternehmer, Unterstützung bei Betroffenenrechten und Meldepflichten, Löschung nach Auftragsende und Audit-Rechte.
- Kein AVV nötig ist bei eigenverantwortlichen Berufsgeheimnisträgern (Steuerberater, Anwalt) — die sind keine Auftragsverarbeiter, sondern eigene Verantwortliche.
- Ein fehlender AVV ist ein eigenständiger Verstoß und kann nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes geahndet werden.
Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten
Ihr Newsletter läuft über Brevo, das CRM in der Cloud, die Lohnabrechnung macht ein externes Büro, die IT wartet ein Systemhaus aus der Nachbarschaft. Bei jedem dieser Dienstleister fließen personenbezogene Daten — und für jeden brauchen Sie einen Vertrag, den die meisten Hamburger KMU nie aktiv abgeschlossen, sondern bestenfalls irgendwann digital weggeklickt haben: den Auftragsverarbeitungsvertrag (AVV). Dieser Artikel zeigt Ihnen, wann genau ein AVV Pflicht ist und wann nicht, welche acht Inhalte nach Art. 28 Abs. 3 DSGVO drinstehen müssen, und wie Sie einen vorgelegten AVV in 15 Minuten auf die typischen Lücken prüfen.
Wenn der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) eine Datenpanne bei einem Ihrer Dienstleister untersucht, ist die erste Frage fast immer: „Lag ein AVV vor — und was stand drin?" Fehlt der Vertrag, haben Sie als Verantwortlicher Daten ohne Rechtsgrundlage weitergegeben. Das sehen wir bei Hamburger Mandanten regelmäßig: Die Plattform ist DSGVO-fähig, aber der AVV wurde nie aktiv abgeschlossen oder liegt in einer veralteten Version vor.
Was ist Auftragsverarbeitung — und was nicht?
Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten weisungsgebunden in Ihrem Auftrag verarbeitet, ohne über Zweck und Mittel selbst zu entscheiden. Der Begriff ist in Art. 4 Nr. 8 DSGVO definiert, die Pflichten in Art. 28 DSGVO. Sie bleiben der „Verantwortliche”, der Dienstleister ist Ihr verlängerter Arm — er darf mit den Daten nur das tun, was Sie ihm sagen.
Entscheidend ist die Abgrenzung zu zwei anderen Rollen, weil davon abhängt, ob Sie überhaupt einen AVV brauchen:
- Auftragsverarbeitung (Art. 28). Der Dienstleister verarbeitet weisungsgebunden für Sie und hat kein eigenes Interesse an den Daten. Beispiel: Ihr Cloud-Hoster speichert Ihre Kundendaten — er „nutzt" sie nicht, er hostet sie nur. → AVV nötig.
- Gemeinsame Verantwortlichkeit (Art. 26). Zwei Parteien legen Zwecke und Mittel gemeinsam fest. Beispiel: Sie betreiben eine Facebook-Fanpage — Sie und Meta entscheiden zusammen über Insights-Daten. → Kein AVV, sondern eine Joint-Controller-Vereinbarung nach Art. 26.
- Eigene Verantwortlichkeit des Dienstleisters. Der Dienstleister entscheidet kraft eigener Berufspflichten selbst über die Verarbeitung. Beispiel: Steuerberater, Rechtsanwalt, Wirtschaftsprüfer. → Kein AVV.
Die Faustregel: Wer eigenständig über die Daten entscheidet, ist kein Auftragsverarbeiter. Wer nur ausführt, was Sie anweisen, schon.
Wann brauchen Sie einen AVV — und wann nicht?
Die häufigste Frage, die uns Geschäftsführer stellen, lautet: „Brauche ich mit jedem Dienstleister so einen Vertrag?” Nein. Aber mit überraschend vielen. Diese Tabelle deckt die typischen Fälle ab, die in einem Hamburger Mittelständler vorkommen:
| Dienstleister / Tool | AVV nötig? | Begründung |
|---|---|---|
| Cloud-Hosting (AWS, Azure, Hetzner) | Ja | Speichert Ihre personenbezogenen Daten weisungsgebunden |
| Webhosting / Website-Provider | Ja | Server-Logs, Formulardaten, ggf. Kundendaten |
| Newsletter-Tool (Brevo, Mailchimp) | Ja | Verarbeitet Ihre Empfänger-Adressen |
| CRM in der Cloud (HubSpot, Salesforce) | Ja | Verarbeitet Ihre Kunden- und Kontaktdaten |
| Lohnabrechnung durch externes Büro | Ja | Verarbeitet Gehalts- und Personaldaten weisungsgebunden |
| IT-Wartung / Systemhaus mit Datenzugriff | Ja | Kann beim Support auf personenbezogene Daten zugreifen |
| Aktenvernichtung / Entsorger | Ja | Verarbeitet (vernichtet) Datenträger mit Personendaten |
| Steuerberater | Nein | Eigener Verantwortlicher kraft Berufsrecht |
| Rechtsanwalt | Nein | Eigener Verantwortlicher (Berufsgeheimnisträger) |
| Bank / Zahlungsdienstleister | Nein | Eigener Verantwortlicher (gesetzliche Pflichten) |
| Reine Wartung ohne Datenzugriff | Nein | Keine Verarbeitung personenbezogener Daten |
Der Steuerberater ist als eigener Verantwortlicher tätig — für die klassische Buchführung und Steuererklärung brauchen Sie keinen AVV. Übernimmt dasselbe Büro aber zusätzlich rein technische Aufgaben wie die reine Lohnsachbearbeitung nach Ihren Vorgaben, kann für diesen Teilbereich Auftragsverarbeitung vorliegen. Im Zweifel klären, nicht raten.
Die Pflichtinhalte nach Art. 28 Abs. 3 DSGVO (lit. a–h)
Ein AVV ist kein Freitext. Art. 28 Abs. 3 DSGVO schreibt einen Rahmen und acht konkrete Regelungspunkte vor. Fehlt einer, ist der Vertrag formal unvollständig. Diese Tabelle ist Ihre Prüf-Checkliste — gehen Sie jeden vorgelegten AVV Zeile für Zeile durch:
| Buchstabe | Pflichtinhalt | Worauf Sie achten |
|---|---|---|
| Rahmen | Gegenstand, Dauer, Art, Zweck, Datenkategorien, Betroffene | Konkret benannt, nicht nur pauschal „alle Daten” |
| lit. a | Verarbeitung nur auf dokumentierte Weisung | Inklusive Drittlandtransfers nur auf Weisung |
| lit. b | Vertraulichkeitsverpflichtung der Mitarbeiter | Schriftliche Verpflichtung der eingesetzten Personen |
| lit. c | Technische und organisatorische Maßnahmen (TOMs) | Verweis auf konkrete Maßnahmen nach Art. 32 |
| lit. d | Subunternehmer (weitere Auftragsverarbeiter) | Genehmigungspflicht und Pflichtenweitergabe geregelt |
| lit. e | Unterstützung bei Betroffenenrechten | Hilfe bei Auskunft, Löschung, Berichtigung (Art. 15–22) |
| lit. f | Unterstützung bei Meldepflichten & DSFA | Mithilfe bei Art. 32–36 (Datenpanne, DSFA) |
| lit. g | Löschung oder Rückgabe nach Auftragsende | Klare Wahlmöglichkeit und Frist |
| lit. h | Nachweis- und Audit-Rechte | Informations- und Kontrollrecht des Verantwortlichen |
Der AVV-Prüf-Check: So lesen Sie einen Vertrag in 15 Minuten
Sie bekommen vom Dienstleister einen fertigen AVV zur Unterschrift — meist als PDF oder im Kundenkonto zum Akzeptieren. Bevor Sie klicken, prüfen Sie diese sieben Punkte. Sie entsprechen exakt der Logik, die auch die Aufsichtsbehörden in ihren Prüf-Checklisten anlegen:
- TOMs-Anlage vorhanden? Es muss eine konkrete Anlage mit technisch-organisatorischen Maßnahmen geben — nicht nur der Satz „angemessene Maßnahmen werden getroffen". Wenn die Anlage fehlt, nachfordern.
- Subunternehmer geregelt? Steht drin, ob und welche Sub-Dienstleister eingesetzt werden, und ob Sie ein Widerspruchsrecht haben? Eine pauschale Generalvollmacht ohne Information ist heikel.
- Drittlandtransfer + Transfergrundlage? Werden Daten außerhalb der EU/des EWR verarbeitet (typisch bei US-Anbietern)? Dann muss eine Transfergrundlage benannt sein — Data Privacy Framework oder SCC.
- Weisungsrecht klar? Verarbeitet der Dienstleister wirklich nur auf Ihre dokumentierte Weisung? Klauseln, die ihm eine eigene Datennutzung erlauben, machen ihn zum Verantwortlichen — und den „AVV" zum falschen Vertrag.
- Löschung nach Auftragsende? Ist geregelt, dass Daten nach Vertragsende gelöscht oder zurückgegeben werden — und gibt es eine Frist? Achten Sie auf Backup- und Log-Ausnahmen.
- Meldekette bei Datenpannen? Verpflichtet sich der Dienstleister, Sie unverzüglich über Sicherheitsvorfälle zu informieren? Sie haben nur 72 Stunden, um eine meldepflichtige Panne beim HmbBfDI zu melden.
- Audit-/Kontrollrecht? Dürfen Sie Nachweise anfordern und prüfen — vor Ort oder per Zertifikat (z. B. ISO 27001, SOC 2)? Ohne dieses Recht fehlt lit. h.
Sie müssen keinen AVV von null schreiben. Aufsichtsbehörden und Verbände stellen geprüfte Vorlagen bereit: die Mustervereinbarung des BfDI und das AVV-Muster des Landesdatenschutzbeauftragten Baden-Württemberg. Nehmen Sie die Vorlage aber nicht blind — gleichen Sie sie immer mit Ihrer konkreten Verarbeitung und der TOMs-Anlage des Dienstleisters ab. Eine zentrale AVV-Bibliothek in Ihrer Datenschutz-Software erspart Ihnen das Sammeln einzelner PDFs.
Sonderfall Drittland: US-Cloud, SCC und Data Privacy Framework
Der häufigste Stolperstein ist der Drittlandtransfer. Sobald Ihr Dienstleister Daten außerhalb der EU/des EWR verarbeitet — und das tun fast alle großen US-Cloud-Anbieter, oft auch über Subunternehmer im Support —, reicht der AVV allein nicht aus. Der AVV regelt das Wie der Verarbeitung. Die Übermittlung in ein Drittland braucht zusätzlich eine eigene Rechtsgrundlage nach Kapitel V DSGVO.
In der Praxis gibt es zwei gangbare Wege:
- EU-US Data Privacy Framework. Ist der US-Anbieter unter dem DPF zertifiziert, gilt für Transfers in die USA ein Angemessenheitsbeschluss — die Übermittlung ist dann grundsätzlich zulässig. Prüfen Sie die aktuelle Zertifizierung des Anbieters auf der offiziellen DPF-Liste.
- EU-Standardvertragsklauseln (SCC). Für Drittländer ohne Angemessenheitsbeschluss oder als Absicherung brauchen Sie die SCC plus ein Transfer Impact Assessment — eine Risikobewertung, ob im Zielland trotz SCC ein gleichwertiges Schutzniveau erreicht wird.
Das Thema ist komplex genug für einen eigenen Artikel — die Details, inklusive der Frage, was nach den Schrems-Urteilen heute noch gilt, lesen Sie in unserem Beitrag zu US-Cloud, Drittlandtransfer und Data Privacy Framework.
Was kostet ein fehlender AVV?
Ein fehlender oder lückenhafter AVV ist kein Kavaliersdelikt. Er ist ein eigenständiger Verstoß gegen Art. 28 DSGVO — unabhängig davon, ob überhaupt etwas passiert ist. Geahndet wird er nach Art. 83 Abs. 4 DSGVO, dem unteren Bußgeldrahmen:
Der Rahmen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes ist die theoretische Obergrenze. In der KMU-Realität bewegen sich Bußgelder deutlich darunter — eine deutsche Aufsichtsbehörde verhängte etwa 5.000 Euro, weil Kundendaten ohne Vertrag zur Auftragsverarbeitung an einen Dienstleister übermittelt wurden (Quelle: BDSF). Der eigentliche Hebel ist aber selten das Bußgeld selbst, sondern die zivilrechtliche Haftung: Passiert beim Dienstleister eine Datenpanne, stehen Sie als Verantwortlicher gegenüber Betroffenen und Behörde in der ersten Reihe. Ohne sauberen AVV haben Sie keine Pflichtenkette, auf die Sie sich berufen können.
So prüfen oder erstellen Sie einen AVV: Schritt für Schritt
- Schritt 1 — Dienstleister-Inventur: Listen Sie alle externen Dienstleister auf, die Zugriff auf personenbezogene Daten haben. Das deckt sich mit Ihrem Verzeichnis von Verarbeitungstätigkeiten — dort stehen die Empfänger ohnehin schon drin.
- Schritt 2 — Rolle bestimmen: Klären Sie pro Dienstleister: Auftragsverarbeiter (AVV nötig), gemeinsam Verantwortlicher (Art. 26) oder eigener Verantwortlicher (kein AVV)? Im Zweifel die Faustregel von oben anwenden.
- Schritt 3 — AVV anfordern oder vorlegen: Bei den meisten Tools liegt der AVV bereits im Kundenkonto zum Abschluss bereit. Wo nicht, fordern Sie ihn aktiv an — oder legen Sie dem Dienstleister Ihren eigenen vor.
- Schritt 4 — Gegen die acht Pflichtinhalte prüfen: Gehen Sie die Art.-28-Abs.-3-Tabelle (lit. a–h) durch. Fehlt ein Punkt, nachfordern. Besonders TOMs-Anlage und Subunternehmer-Regelung kontrollieren.
- Schritt 5 — Drittland absichern: Verarbeitet der Dienstleister außerhalb der EU? Dann Transfergrundlage prüfen (DPF oder SCC) und dokumentieren.
- Schritt 6 — Abschließen und ablegen: Unterschreiben oder im Konto bestätigen — und den AVV revisionssicher ablegen. Bei einer Prüfung müssen Sie ihn auf Anforderung sofort vorlegen können.
Aus der Praxis
Ein Hamburger Mandant wollte kurzfristig eine Kundenumfrage über ein Online-Tool verschicken und war unsicher, ob das ohne Vertrag zulässig ist. Wir haben den AVV des Anbieters geprüft, die TOMs und die Drittland-Frage geklärt — innerhalb von 24 Stunden war der Fall geklärt. Der Mandant konnte datenschutzkonform eine Umfrage an seine Kunden schicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Genau dieser Fall ist typisch: Es scheitert selten am guten Willen, sondern an der Unsicherheit, ob ein vorgelegter Vertrag wirklich ausreicht. Mit einer klaren AVV-Bibliothek und einem festen Prüfraster ist das eine Sache von Minuten — gerade für IT- und SaaS-Unternehmen und E-Commerce-Betriebe, die mit besonders vielen Dienstleistern arbeiten.
Fazit / Ihr nächster Schritt
Ein AVV ist kein Papierkram, den man einmal wegklickt. Er ist die Rechtsgrundlage dafür, dass Sie Daten überhaupt an Dienstleister geben dürfen — und Ihr Haftungsschutz, wenn dort etwas schiefgeht. Prüfen Sie jeden AVV gegen die acht Pflichtinhalte aus Art. 28 Abs. 3, achten Sie auf TOMs-Anlage, Subunternehmer und Drittland, und legen Sie die Verträge revisionssicher ab. Wer das einmal sauber aufsetzt, hat bei der nächsten Prüfung des HmbBfDI eine ruhige Hand. Mehr Hintergrund finden Sie auf unserer Datenschutz-Übersichtsseite und zur passenden Sicherheitsdokumentation im Beitrag zu technisch-organisatorischen Maßnahmen (TOMs).
AVV-Wirrwarr in Ordnung bringen — mit System statt PDF-Sammlung.
Wir prüfen Ihre bestehenden Auftragsverarbeitungsverträge, schließen Lücken bei TOMs, Subunternehmern und Drittland und legen sie in der Hugo-DSB-AVV-Bibliothek revisionssicher ab. Festpreis-Tarife ab 79 € netto/Monat, in 7 Werktagen startklar.
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist der nach Art. 28 Abs. 3 DSGVO vorgeschriebene Vertrag zwischen Ihnen als Verantwortlichem und einem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet — etwa ein Cloud-Anbieter, ein Newsletter-Tool oder ein Lohnbüro. Er legt fest, dass der Dienstleister die Daten nur auf Ihre Weisung verarbeitet, regelt Sicherheitsmaßnahmen, Subunternehmer, Löschung und Kontrollrechte.
Wann brauche ich einen AVV und wann nicht?
Sie brauchen einen AVV, wenn ein Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet: Cloud-Hosting, Webhosting, Newsletter-Tools, CRM, Lohnabrechnung, IT-Wartung mit Datenzugriff. Sie brauchen KEINEN AVV bei Berufsgeheimnisträgern, die als eigene Verantwortliche handeln — Steuerberater, Rechtsanwalt, Wirtschaftsprüfer — und bei reinen Funktionsübertragungen ohne weisungsgebundene Datenverarbeitung.
Welche Pflichtinhalte muss ein AVV nach Art. 28 Abs. 3 DSGVO haben?
Der AVV muss Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Datenkategorien festlegen und die acht Punkte aus Art. 28 Abs. 3 lit. a bis h regeln: Weisungsbindung, Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Subunternehmer-Regelung, Unterstützung bei Betroffenenrechten, Unterstützung bei Meldepflichten und DSFA, Löschung oder Rückgabe nach Auftragsende sowie Nachweis- und Audit-Rechte für den Verantwortlichen.
Was passiert, wenn kein AVV vorliegt?
Ein fehlender AVV ist ein eigenständiger Verstoß gegen Art. 28 DSGVO. Er kann nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis bewegen sich Bußgelder für KMU deutlich darunter — dokumentiert sind etwa 5.000 Euro für einen fehlenden Vertrag zur Auftragsverarbeitung — aber Sie haften auch zivilrechtlich für Datenpannen beim Dienstleister.
Brauche ich einen AVV mit US-Cloud-Anbietern wie Microsoft oder Google?
Ja, und zusätzlich müssen Sie den Drittlandtransfer absichern. Der AVV allein reicht nicht: Bei Datenverarbeitung in den USA brauchen Sie eine Transfergrundlage nach Kapitel V DSGVO — die Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework oder EU-Standardvertragsklauseln (SCC) plus eine Risikobewertung (Transfer Impact Assessment).
Wer haftet bei einer Datenpanne beim Auftragsverarbeiter?
Grundsätzlich bleiben Sie als Verantwortlicher gegenüber den Betroffenen und der Aufsichtsbehörde in der Verantwortung — auch für Fehler Ihres Dienstleisters. Der Auftragsverarbeiter haftet nach Art. 82 DSGVO mit, wenn er gegen speziell ihm auferlegte Pflichten verstößt oder gegen Ihre Weisung gehandelt hat. Ein sauberer AVV mit klarer Pflichten- und Meldekette ist deshalb auch Ihr Haftungsschutz.
Recherche-Stand: verifiziert am 6. Juni 2026 über dsgvo-gesetz.de (Art. 4, 28, 83 DSGVO), bfdi.bund.de (AVV-Mustervereinbarung), die Prüf-Checklisten der Aufsichtsbehörden Berlin und Sachsen sowie einen dokumentierten Bußgeldfall (BDSF).
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.