# Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Source: https://contracko.com/de/blog/was-ist-ein-auftragsverarbeitungsvertrag-avv

[Blog](https://contracko.com/de/blog)

[Was ist ein Auftragsverarbeitungsvertrag (AVV)?](https://contracko.com/de/blog/was-ist-ein-auftragsverarbeitungsvertrag-avv)

# Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Budi Voogt 19. Mai 2026

Für LLM kopieren

Sie kennen das: Ein neues Tool kommt hinzu, das Team ist begeistert, und irgendwo im Registrierungsablauf gibt es ein Kontrollkästchen, mit dem Sie den Bedingungen zur Datenverarbeitung zustimmen. Sie setzen das Häkchen, weil Sie es natürlich tun, und machen weiter. Monate später fragt jemand aus der Rechtsabteilung nach "dem AVV mit diesem Anbieter", und niemand weiß so recht, was vereinbart wurde oder wo er liegt. Ich habe das in Unternehmen jeder Größe beobachtet, und es ist fast nie Nachlässigkeit. Es liegt daran, dass AVVs zu den am häufigsten unterzeichneten und am seltensten gelesenen Dokumenten in jedem Unternehmen gehören.

Dieser Leitfaden soll das für Sie ändern. Ich erkläre Ihnen, was ein Auftragsverarbeitungsvertrag tatsächlich ist, wann die DSGVO einen verlangt und welche Klauseln das eigentliche Gewicht tragen, damit Sie beim nächsten Mal, wenn Sie nach einem AVV gefragt werden, mit Zuversicht antworten können statt mit einem flauen Gefühl.

> Dies ist praktische Orientierungshilfe, keine Rechtsberatung. Wenden Sie sich für Ihre konkrete Situation bitte an eine qualifizierte Fachkraft für Datenschutz.

Am Ende dieses Leitfadens werden Sie:

- Verstehen, was ein AVV ist und welche Rollen des Verantwortlichen und des Auftragsverarbeiters er formalisiert
- Wissen, wann die DSGVO Sie verpflichtet, einen abzuschließen
- Die Klauseln erkennen, die am wichtigsten sind, wenn Sie einen AVV lesen oder verhandeln
- Die zwei Fehler erkennen, die ich Unternehmen immer wieder machen sehe
- Einen einfachen ersten Schritt für jeden AVV haben, der gerade auf Ihrem Schreibtisch liegt

## Was ein AVV tatsächlich ist

Ein Auftragsverarbeitungsvertrag (AVV), manchmal auch als Datenverarbeitungszusatz bezeichnet, ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Der Verantwortliche sind Sie, das Unternehmen, das entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter ist der Anbieter, der diese Daten auf Ihre Weisung hin verarbeitet. Der AVV legt die Regeln zwischen Ihnen fest: was der Anbieter mit den Daten tun darf, wie er sie schützen muss und was passiert, wenn etwas schiefgeht oder die Beziehung endet.

Am einfachsten lässt sich das meiner Erfahrung nach als eine Reihe von Leitplanken vorstellen. Sie übergeben personenbezogene Daten (die Ihrer Kunden, Ihrer Mitarbeiter, Ihrer Lieferanten) an jemand anderen, damit dieser eine Aufgabe für Sie erledigt. Der AVV ist das schriftliche Versprechen, dass er nur diese Aufgabe erledigt, nur auf die Weise, die Sie vereinbart haben, und dass er die Daten zurückgibt oder vernichtet, wenn die Arbeit erledigt ist.

Nach der DSGVO ist das kein Nice-to-have. Artikel 28 verlangt einen schriftlichen Vertrag, sobald ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Ohne einen solchen sind beide Seiten ungeschützt: der Verantwortliche, weil er seinen Auftragsverarbeiter nicht ordnungsgemäß bindet, und der Auftragsverarbeiter, weil er Daten ohne rechtmäßige Weisung verarbeitet. Der AVV schützt also alle, was mit ein Grund dafür ist, warum Aufsichtsbehörden sein Fehlen so ernst nehmen.

### Verantwortlicher oder Auftragsverarbeiter: warum die Rollen wichtig sind

Der gesamte Vertrag hängt davon ab, wer entscheidet, was mit den Daten geschieht. Wenn Ihr Anbieter nur auf Ihre Weisung hin handelt, ist er ein Auftragsverarbeiter und Sie benötigen einen AVV. Wenn der Anbieter für seine eigenen Zwecke entscheidet, was mit den Daten geschieht, dann ist er ein eigenständiger Verantwortlicher und die Beziehung wird anders geregelt. Diese Unterscheidung früh richtig zu treffen, erspart später viel Verwirrung, denn sie bestimmt, welche Verpflichtungen bei wem liegen.

In der Praxis sind die meisten Konstellationen, in denen "ein Anbieter etwas mit unseren Daten tut, damit wir unser Geschäft führen können", Beziehungen von Verantwortlichem zu Auftragsverarbeiter, und genau dort entfaltet der AVV seine Wirkung. Wenn Sie die Compliance über einen ganzen Anbieter-Stack hinweg verwalten, zeigen unsere Hinweise zum [Anwendungsfall Compliance-Beauftragter](https://contracko.com/usecases/compliance-officer), wie diese Rollen im Tagesgeschäft zum Tragen kommen.

## Wann Sie einen benötigen

Sie benötigen einen AVV immer dann, wenn eine andere Organisation personenbezogene Daten für Sie verarbeitet. Die häufigen Auslöser lassen sich leichter erkennen als die rechtlichen Definitionen, daher hier, wo sie üblicherweise auftauchen:

- SaaS-Tools, die Kunden- oder Mitarbeiterdaten speichern, etwa Ihr CRM, Ihr Support-Desk, Ihr HR-System oder Ihre Analyseplattform
- Cloud-Infrastruktur- und Hosting-Anbieter
- Zahlungs-, Lohnabrechnungs- und Buchhaltungsdienste
- Marketingplattformen und E-Mail-Versanddienste
- Jeder Auftragnehmer oder jede Agentur, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter verarbeitet

Das Muster ist einfach, sobald man es erkennt. Wenn ein Anbieter in Ihrem Auftrag personenbezogene Daten berührt, benötigen Sie mit ihm mit ziemlicher Sicherheit einen AVV. Angesichts der Vielzahl an Tools, auf die sich ein modernes Team stützt, summiert sich das schnell, was ein Grund dafür ist, dass sich AVV-Verpflichtungen über ein Unternehmen ausbreiten, bevor es jemand bemerkt. Wenn Sie speziell Softwareanbieter verwalten, passt der Ansatz des [SaaS-Vertragsmanagements](https://contracko.com/usecases/saas-contract-management) ganz natürlich dazu, Ihre AVVs in Ordnung zu halten.

## Die Klauseln, die zählen

Ein AVV kann sich über viele Seiten erstrecken, und die meisten dieser Seiten sind Standardtext, der sich selten ändert. Eine Handvoll Bestimmungen trägt jedoch den Großteil des Gewichts, und das sind diejenigen, die ich zuerst lese, sobald ein AVV vor mir liegt.

| Klausel | Was sie regelt | Warum sie wichtig ist |
| --- | --- | --- |
| Gegenstand und Dauer | Was verarbeitet wird, warum, wie lange und welche Kategorien von Daten und betroffenen Personen betroffen sind | Definiert den Umfang von allem Weiteren; ist dies vage, lässt sich der Rest schwer durchsetzen |
| Verarbeitung nach dokumentierten Weisungen | Der Auftragsverarbeiter handelt nach Ihren Weisungen, nicht aus eigener Initiative | Hält den Anbieter innerhalb der von Ihnen gesetzten Leitplanken |
| Sicherheitsmaßnahmen | Geeignete technische und organisatorische Maßnahmen, etwa Verschlüsselung und Zugriffskontrolle | Hier werden Datenpannen verhindert oder geradezu eingeladen |
| Vertraulichkeit | Alle Personen mit Zugriff sind verpflichtet, die Daten vertraulich zu behandeln | Erstreckt Ihren Schutz bis auf einzelne Mitarbeiter |
| Unterauftragsverarbeiter | Ob und wie der Anbieter eigene Unterauftragsverarbeiter hinzuzieht, und Ihr Recht, informiert zu werden und Widerspruch zu erheben | Neue Parteien können unbemerkt der Kette beitreten, die Ihre Daten verarbeitet |
| Unterstützung | Der Auftragsverarbeiter hilft Ihnen, auf Anfragen betroffener Personen zu reagieren und Ihre Pflichten zu erfüllen | Sie bleiben in der Lage, Betroffenenrechte fristgerecht zu erfüllen |
| Meldung von Datenpannen | Der Auftragsverarbeiter informiert Sie unverzüglich, wenn eine Datenpanne auftritt | Ihre eigene Meldefrist hängt oft von der seinen ab |
| Löschung oder Rückgabe | Am Ende des Vertrags werden die Daten auf Ihre Weisung gelöscht oder zurückgegeben | Verhindert, dass Daten irgendwo verbleiben, das Sie nicht mehr kontrollieren |
| Audits | Sie können die Einhaltung durch Audits, Inspektionen oder Nachweise überprüfen | Macht die obigen Versprechen zu etwas Überprüfbarem |
| Internationale Datenübermittlungen | Wenn Daten den EWR verlassen, ist ein gültiger Übermittlungsmechanismus vorhanden | Ein fehlender oder veralteter Mechanismus macht die Übermittlung unrechtmäßig |

Wenn Sie sonst nichts lesen, lesen Sie die Klauseln zu Sicherheit, Unterauftragsverarbeitern, Meldung von Datenpannen und internationalen Datenübermittlungen genau. Meiner Erfahrung nach unterscheiden sich Anbietervorlagen bei diesen vier am stärksten, und hier kann Sie eine stille Schwäche später teuer zu stehen kommen. Wenn Sie einen AVV in ein Tool wie die [KI-Vertragsanalyse](https://contracko.com/features/ai-contract-analysis) einspeisen, sind genau dies die Bestimmungen, die zuerst sichtbar gemacht werden sollten.

### Eine Anmerkung zu internationalen Datenübermittlungen

Von allen Klauseln fühlt sich diese am wenigsten gefestigt an. Die Rechtsgrundlage für die grenzüberschreitende Übermittlung personenbezogener Daten hat sich in den letzten Jahren mehr als einmal verschoben, und ein AVV, der die Einhaltung an einen bestimmten Mechanismus geknüpft hat, kann veralten, ohne dass jemand ein Wort daran ändert. Wenn Ihr Anbieter Daten außerhalb des EWR verarbeitet, prüfen Sie, ob der Übermittlungsmechanismus, auf den er sich stützt (oft die Standardvertragsklauseln), Ihre tatsächlichen Datenflüsse noch abdeckt. Dies unter Beobachtung zu halten, ist Teil der umfassenderen Hygiene einer [DSGVO-Compliance-Software](https://contracko.com/solutions/gdpr-compliance-software) und keine einmalige Prüfung.

## Häufige Fehler

Zwei Versäumnisse kommen weitaus häufiger vor als alle anderen, und beide wirken im Moment völlig nachvollziehbar.

Das erste ist, den AVV des Anbieters zu unterzeichnen, ohne ihn zu lesen. Die Vorlage trifft ein, sie sieht standardmäßig aus, und unter Termindruck wird sie genehmigt. Das Problem ist, dass "Standard"-Vorlagen stillschweigend die Partei begünstigen, die sie verfasst hat, sodass Sie am Ende schwache Sicherheitsbedingungen, weitreichende Rechte für Unterauftragsverarbeiter oder ein in Wochen statt in Tagen bemessenes Zeitfenster für die Meldung von Datenpannen akzeptieren. Ein paar Minuten Lektüre ersparen viel Reue.

Das zweite ist, einmal zu unterzeichnen und es dann zu vergessen. Ein AVV ist eine fortlaufende Verpflichtung, keine einmalige Unterschrift. Unterauftragsverarbeiter wechseln, Übermittlungsregeln verschieben sich, jährliche Überprüfungen werden fällig, und nichts davon schickt Ihnen eine Erinnerung. Der Vertrag verfällt still vor sich hin, während alle annehmen, es sei alles in Ordnung. Dies hängt eng mit den umfassenderen [Risiken im Vertragsmanagement](https://contracko.com/blog/risks-in-contract-management) zusammen, die immer dann auftauchen, wenn Verpflichtungen die ihnen gewidmete Aufmerksamkeit überdauern.

Jeden AVV zusammen mit dem Anbietervertrag aufzubewahren, zu dem er gehört, und dabei seine Überprüfungstermine und die Bedingungen für Unterauftragsverarbeiter nachzuverfolgen, ist das, was aus einer abgelegten PDF tatsächliche Compliance macht. Genau dafür ist das [Management von Auftragsverarbeitungsverträgen](https://contracko.com/solutions/data-processing-agreement-management) in Contracko gemacht, und es setzt auf einem [Vertragsarchiv](https://contracko.com/features/contract-repository) auf, sodass der AVV und der von ihm geregelte Vertrag nie auseinanderdriften.

## Ein schneller erster Schritt

Wenn Sie gerade einen AVV vor sich liegen haben, ist der schnellste Weg, ihn zu verstehen, ihn durch einen [Analysetool für Datenweitergabevereinbarungen](https://contracko.com/tools/data-sharing-agreement-review) laufen zu lassen. Es macht die Bedingungen zur zulässigen Nutzung, die Sicherheitspflichten, die Aufbewahrungsfristen, die Zeitfenster für die Meldung von Datenpannen und die DSGVO-relevanten Bestimmungen in Sekunden sichtbar, sodass Sie wissen, was Sie unterzeichnen, bevor Sie unterzeichnen. Es ist kostenlos zum Ausprobieren und gibt Ihnen einen klaren Überblick über die Klauseln, die ich oben hervorgehoben habe, ohne dass Sie sich selbst durch jede Seite kämpfen müssen.

Von dort aus ist der natürliche nächste Schritt, dieses Verständnis aktuell zu halten, statt es verblassen zu lassen. Der ruhigste Weg dazu ist meiner Erfahrung nach, jedem AVV ein Zuhause zu geben, seine wichtigsten Termine zu extrahieren und das System Sie erinnern zu lassen, wenn etwas Aufmerksamkeit braucht. Das ist der Unterschied zwischen einem AVV, der Sie schützt, und einem, der bloß in einem Ordner liegt.

Contracko ist eine in der EU gehostete Plattform, Ihre Daten bleiben mit rollenbasiertem Zugriff verschlüsselt, und die von uns eingesetzten KI-Anbieter trainieren nicht mit Ihren Verträgen, sodass das Lesen und Speichern sensibler Vereinbarungen kein neues eigenes Risiko schafft. Wenn Sie sehen möchten, wie es zu Ihrem Stack passt, ist die vollständige [Lösungsübersicht](https://contracko.com/solutions) ein guter Ausgangspunkt, und eine kostenlose Testversion steht bereit, wann immer Sie soweit sind.

Melden Sie sich gerne, wenn Sie Fragen haben. Ich lese jede E-Mail selbst und helfe Ihnen jederzeit gerne, einen kniffligen AVV zu verstehen.

## Legen Sie mit Contracko los

Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.

[7 Tage kostenlos testen](https://app.contracko.com/register)

Demo buchen