Kurz erklärt
Ein Auftragsverarbeitungsvertrag regelt, wie ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er ist nach DSGVO Pflicht, sobald externe Dienstleister Daten verarbeiten.
Ein Auftragsverarbeitungsvertrag regelt, wie ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er ist nach DSGVO Pflicht, sobald externe Dienstleister Daten verarbeiten.
Ein Auftragsverarbeitungsvertrag wird immer dann benötigt, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ohne über deren Zweck zu entscheiden. Sie bleiben verantwortlich, der Dienstleister handelt weisungsgebunden.
Typische Fälle sind Cloud-Speicher, E-Mail-Hosting, Newsletter-Versand, Lohnabrechnung oder externe IT-Wartung mit Datenzugriff. Die DSGVO schreibt den Vertrag in diesen Konstellationen ausdrücklich vor. Ohne AVV ist die Datenweitergabe an den Dienstleister rechtlich nicht abgesichert — das Risiko trägt das auftraggebende Unternehmen.
Der Vertrag legt fest, wie der Dienstleister mit den ihm anvertrauten Daten umgeht. Er bindet ihn an Ihre Weisungen und an konkrete Schutzpflichten.
So bleibt nachvollziehbar, wer welche Daten unter welchen Bedingungen verarbeitet.
Beim AVV verarbeitet der Dienstleister Daten ausschließlich nach Ihren Weisungen und entscheidet nicht über die Zwecke. Sie bleiben allein verantwortlich.
Bei einer gemeinsamen Verantwortlichkeit legen zwei Parteien gemeinsam Zwecke und Mittel der Verarbeitung fest — dann braucht es keinen AVV, sondern eine andere Form der Vereinbarung. Die richtige Einordnung entscheidet über die passende vertragliche Grundlage. Verarbeitet ein Dienstleister Daten für eigene Zwecke, liegt ohnehin keine Auftragsverarbeitung mehr vor.
FAQ
Kurz und konkret beantwortet.
AVV steht für Auftragsverarbeitungsvertrag, teils auch Auftragsverarbeitungsvereinbarung genannt. Der Begriff bezeichnet den Vertrag, mit dem ein Verantwortlicher und ein Dienstleister regeln, wie personenbezogene Daten im Auftrag und weisungsgebunden verarbeitet werden.
In der Praxis stellt meist der Dienstleister einen vorbereiteten AVV zur Verfügung, weil er den Verarbeitungsvorgang kennt. Verantwortlich für den Abschluss bleibt jedoch das auftraggebende Unternehmen. Sie sollten den Vertrag prüfen, statt ihn ungelesen zu unterzeichnen.
Ja. Sobald ein Cloud-Dienst personenbezogene Daten in Ihrem Auftrag speichert oder verarbeitet, ist ein AVV erforderlich. Bei Anbietern außerhalb der EU sollten Sie zusätzlich prüfen, ob der Datentransfer durch geeignete Garantien abgesichert ist.
Fehlt ein erforderlicher AVV, ist die Datenweitergabe an den Dienstleister nicht rechtskonform. Das auftraggebende Unternehmen verstößt gegen die DSGVO und riskiert Bußgelder. Außerdem bleibt unklar geregelt, wie der Dienstleister die Daten schützt und nach Auftragsende behandelt.
Verwandte Begriffe
Noch Fragen?
Ob Compliance & Recht oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.