AVV Datenschutz — Auftragsverarbeitungsvertrag nach DSGVO
Veröffentlicht: 16. März 2026
Inhaltsverzeichnis
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein Auftragsverarbeitungsvertrag — kurz AVV — ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter gemäß Art. 28 DSGVO. Er regelt, wie der Dienstleister mit den personenbezogenen Daten umgehen darf, die er im Auftrag des Verantwortlichen verarbeitet.
Für Website-Betreiber ist der AVV ein zentrales Dokument: Wer einen Hosting-Anbieter, ein E-Mail-Marketing-Tool oder einen Webanalyse-Dienst nutzt, lässt in der Regel personenbezogene Daten durch Dritte verarbeiten — und benötigt dafür einen AVV.
Verantwortlicher vs. Auftragsverarbeiter
Die DSGVO unterscheidet zwei Rollen:
- Verantwortlicher (Art. 4 Nr. 7): Bestimmt Zweck und Mittel der Datenverarbeitung — in der Regel der Website-Betreiber
- Auftragsverarbeiter (Art. 4 Nr. 8): Verarbeitet Daten im Auftrag des Verantwortlichen — z. B. der Hosting-Anbieter, der E-Mail-Dienstleister oder der Cloud-Speicher
Der AVV stellt sicher, dass der Auftragsverarbeiter die Daten nur nach Weisung des Verantwortlichen verarbeitet und angemessene Schutzmaßnahmen ergreift.
Wann ist ein AVV erforderlich?
Typische Fälle für Website-Betreiber
| Dienstleister | Warum AVV nötig | Daten |
|---|---|---|
| Hosting-Anbieter (Contabo, Hetzner, AWS) | Speichert Website-Daten einschließlich Server-Logs mit IP-Adressen | IP-Adressen, ggf. Formular-Daten |
| E-Mail-Marketing (Brevo, Mailchimp, ActiveCampaign) | Speichert und verarbeitet E-Mail-Adressen der Abonnenten | E-Mail, Name, Öffnungsverhalten |
| Webanalyse (Google Analytics, Matomo Cloud) | Erfasst Nutzungsverhalten der Website-Besucher | IP-Adresse, Nutzungsdaten |
| CDN / DDoS-Schutz (Cloudflare, Fastly) | Leitet Traffic und verarbeitet dabei IP-Adressen | IP-Adressen, Request-Daten |
| CRM-System (HubSpot, Pipedrive) | Speichert Kundenkontaktdaten | Name, E-Mail, Telefon, Interaktionen |
| Cloud-Speicher (Google Drive, Dropbox Business) | Speichert Dokumente mit personenbezogenen Daten | Abhängig vom Inhalt |
| Zahlungsanbieter (Stripe, PayPal) | Verarbeitet Zahlungsdaten | Name, Zahlungsdaten, Adresse |
| KI-Dienste (ChatGPT, Claude) | Verarbeitet Eingabedaten | Abhängig von Eingaben |
Wann kein AVV nötig ist
Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Kein AVV ist in der Regel erforderlich bei:
- Eigenständig Verantwortlichen: Der Dienstleister verarbeitet Daten für eigene Zwecke (z. B. Steuerberater, Rechtsanwalt)
- Rein technischen Leistungen ohne Datenzugriff: Z. B. Stromversorgung, Gebäudereinigung
- Behörden und öffentlichen Stellen: Die in eigener Verantwortung handeln
Die Abgrenzung kann im Einzelfall schwierig sein. Im Zweifel empfehlen wir, einen AVV abzuschließen — das schadet nicht und bietet zusätzliche Sicherheit.
Pflichtinhalte eines AVV nach Art. 28 DSGVO
Art. 28 Abs. 3 DSGVO legt fest, welche Regelungen ein AVV mindestens enthalten muss:
Grundlegende Angaben
| Pflichtinhalt | Erläuterung |
|---|---|
| Gegenstand und Dauer | Was wird verarbeitet und wie lange? |
| Art und Zweck der Verarbeitung | Z. B. “Hosting der Website”, “Versand von Newslettern” |
| Art der personenbezogenen Daten | Z. B. E-Mail-Adressen, IP-Adressen, Namen |
| Kategorien betroffener Personen | Z. B. Website-Besucher, Newsletter-Abonnenten, Kunden |
Pflichten des Auftragsverarbeiters
Der AVV muss festlegen, dass der Auftragsverarbeiter:
- Daten nur auf Weisung des Verantwortlichen verarbeitet
- Vertraulichkeit sicherstellt (Verpflichtung der Mitarbeiter)
- Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ergreift
- Unterauftragsverarbeiter nur mit vorheriger Zustimmung einsetzt
- Den Verantwortlichen bei Betroffenenanfragen unterstützt
- Nach Auftragsende alle Daten löscht oder zurückgibt
- Prüfungen und Audits durch den Verantwortlichen ermöglicht
- Bei Datenschutzverletzungen unverzüglich informiert
Drittlandtransfer
Wenn der Auftragsverarbeiter Daten in ein Drittland (z. B. USA) übermittelt, muss der AVV zusätzliche Garantien enthalten — etwa Standardvertragsklauseln (SCCs) oder eine Zertifizierung unter dem EU-US Data Privacy Framework. Details zum Drittlandtransfer regelt Art. 44 DSGVO.
AVV in der Praxis: So schließen Sie einen ab
Schritt 1: Bestandsaufnahme
Dokumentieren Sie alle Dienstleister, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Ein guter Ausgangspunkt ist die Liste der Dienste in Ihrer Datenschutzerklärung.
Schritt 2: AVV des Anbieters prüfen
Viele Anbieter stellen standardisierte AVVs bereit:
- Online: In den Account-Einstellungen, unter “Datenschutz”, “Legal” oder “DPA”
- Automatisch: Einige Anbieter (Cloudflare, Google) binden den AVV in ihre AGB ein — er wird bei der Kontoerstellung akzeptiert
- Auf Anfrage: Kleinere Anbieter stellen den AVV per E-Mail bereit
Schritt 3: Inhaltliche Prüfung
Prüfen Sie, ob der AVV alle Pflichtinhalte nach Art. 28 Abs. 3 enthält. Besonders wichtig:
- Werden die verarbeiteten Datenarten korrekt beschrieben?
- Sind die technischen und organisatorischen Maßnahmen ausreichend?
- Wie ist die Regelung zu Unterauftragnehmern?
- Wie werden Daten nach Auftragsende behandelt?
Schritt 4: Dokumentation
Bewahren Sie den abgeschlossenen AVV nachweisbar auf — digital ist ausreichend. Der AVV ist Teil Ihrer Datenschutz-Dokumentation und kann bei einer Prüfung durch die Aufsichtsbehörde angefordert werden.
Häufige Fehler beim AVV
1. Kein AVV vorhanden
Der häufigste Fehler: Website-Betreiber wissen nicht, dass sie einen AVV benötigen, oder haben ihn nie abgeschlossen. Besonders oft betroffen: Hosting-Anbieter und Newsletter-Tools.
2. Veralteter AVV
Der AVV wurde einmal abgeschlossen, aber nie aktualisiert. Wenn sich die Verarbeitung ändert (neuer Zweck, neue Datenarten, neue Unterauftragnehmer), sollte der AVV angepasst werden.
3. Standardvorlage ohne Anpassung
Manche Anbieter nutzen generische Vorlagen, die nicht auf den konkreten Verarbeitungszweck zugeschnitten sind. Prüfen Sie, ob Gegenstand und Datenarten korrekt beschrieben sind.
4. Fehlende TOMs
Der AVV verweist auf technische und organisatorische Maßnahmen, ohne diese konkret zu beschreiben. Gemäß Art. 32 DSGVO sollten die Maßnahmen dem Risiko angemessen sein — pauschalierte Angaben reichen möglicherweise nicht aus.
5. Unterauftragnehmer nicht geregelt
Viele Anbieter setzen Unterauftragnehmer ein (z. B. ein Newsletter-Tool nutzt AWS als Hosting). Der AVV sollte regeln, ob und wie Unterauftragnehmer eingesetzt werden dürfen und wie der Verantwortliche darüber informiert wird.
AVV und die Datenschutzerklärung
In der Datenschutzerklärung müssen gemäß Art. 13 DSGVO die Empfänger personenbezogener Daten benannt werden. Die Dienstleister, mit denen ein AVV besteht, sollten dort aufgeführt sein — zumindest als Kategorie (z. B. “Hosting-Anbieter”, “E-Mail-Dienstleister”).
Der AVV selbst muss nicht veröffentlicht werden — er ist ein internes Dokument zwischen Verantwortlichem und Auftragsverarbeiter.
Bußgelder bei fehlendem AVV
Gemäß Art. 83 Abs. 4 lit. a DSGVO können Verstöße gegen die Pflichten aus Art. 28 mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. In der Praxis sind die Bußgelder für kleine und mittlere Unternehmen in der Regel deutlich geringer — die Aufsichtsbehörden berücksichtigen die Umstände des Einzelfalls.
Neben Bußgeldern kann ein fehlender AVV auch bei Datenschutzverletzungen problematisch werden: Ohne AVV fehlt der Nachweis, dass angemessene Schutzmaßnahmen vereinbart wurden.
Checkliste: AVV für Website-Betreiber
- Alle Dienstleister auflisten, die personenbezogene Daten verarbeiten
- Für jeden Dienstleister prüfen: Ist ein AVV erforderlich?
- AVV des Anbieters anfordern oder online finden
- Pflichtinhalte nach Art. 28 Abs. 3 prüfen (Gegenstand, Dauer, Datenarten, TOMs)
- Regelung zu Unterauftragnehmern prüfen
- Bei Drittlandtransfer: SCCs oder DPF-Zertifizierung prüfen
- AVV dokumentiert aufbewahren
- Datenschutzerklärung: Empfänger/Dienstleister aufführen
- Regelmäßig prüfen: Sind alle AVVs noch aktuell?
Häufige Fragen
Wann brauche ich einen AVV?
Ein AVV ist gemäß Art. 28 DSGVO erforderlich, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Für Website-Betreiber betrifft das typischerweise: Hosting-Anbieter, E-Mail-Marketing-Tools, Webanalyse-Dienste, Cloud-Speicher und CRM-Systeme. Der AVV muss schriftlich oder elektronisch vorliegen.
Was muss in einem AVV stehen?
Art. 28 Abs. 3 DSGVO listet die Mindestinhalte: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten des Auftragsverarbeiters (Weisungsbindung, Vertraulichkeit, TOMs), Regelungen zu Unterauftragnehmern und Löschung nach Auftragsende.
Wo finde ich den AVV meines Anbieters?
Viele Anbieter stellen ihren AVV online bereit — in den Datenschutz-Einstellungen des Accounts, auf der Website unter “Legal” oder “Privacy”, oder auf Anfrage beim Support. Bei großen Anbietern wird der AVV häufig bei der Kontoerstellung als DPA (Data Processing Agreement) akzeptiert. Empfehlenswert ist, den AVV herunterzuladen und in der eigenen Dokumentation aufzubewahren.
Was passiert, wenn ich keinen AVV habe?
Das Fehlen eines AVV kann als Verstoß gegen Art. 28 DSGVO gewertet werden. Gemäß Art. 83 Abs. 4 DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängt werden. Empfehlenswert ist, die DSGVO-Checkliste durchzugehen und fehlende AVVs zeitnah nachzuholen.
Häufige Fragen
Wann brauche ich einen AVV?
Was muss in einem AVV stehen?
Wo finde ich den AVV meines Anbieters?
Was passiert, wenn ich keinen AVV habe?
IT-Berater für Website-Compliance
Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.