Zum Inhalt springen
Resilience Platform Resilience Platform

Trust Center

Auftragsverarbeitungsvertrag (AVV)

Der Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter im Namen des Verantwortlichen gemäß DSGVO Art. 28 und BDSG.

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Management-Zusammenfassung

  • Der AVV ist die zentrale rechtsverbindliche Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter nach DSGVO Art. 28 Abs. 3.
  • Er legt Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Kategorien personenbezogener Daten und betroffener Personen fest.
  • Technisch-organisatorische Maßnahmen (TOM) werden im AVV verbindlich vereinbart und regelmäßig auf Wirksamkeit geprüft.
  • Unterauftragsverhältnisse bedürfen der vorherigen Zustimmung des Verantwortlichen und werden in einem aktuellen Verzeichnis geführt.
  • Der Auftragsverarbeiter unterliegt den Weisungen des Verantwortlichen und hat diese unverzüglich umzusetzen.
  • Nach Beendigung des Vertrags werden alle Daten gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Was ist ein AVV?

  • Ein AVV (Auftragsverarbeitungsvertrag) ist ein rechtsverbindlicher Vertrag gemäß DSGVO Art. 28 Abs. 3, der die Datenverarbeitung durch einen Dienstleister (Auftragsverarbeiter) im Namen des Verantwortlichen regelt.
  • Rechtliche Grundlage: DSGVO Art. 28 i. V. m. BDSG § 62–64 sowie ggf. nationalen Vorschriften der EU-Mitgliedstaaten.
  • Ohne wirksamen AVV ist die Datenverarbeitung durch den Auftragsverarbeiter rechtswidrig und kann mit erheblichen Bußgeldern geahndet werden (Art. 83 Abs. 4 DSGVO).
  • Der AVV muss vor Aufnahme der Verarbeitungstätigkeit schriftlich oder elektronisch abgeschlossen werden — eine nachträgliche Vereinbarung genügt nicht.

Kernbestandteile des AVV

  • Gegenstand & Dauer: Präzise Beschreibung des Verarbeitungszwecks, der Dauer der Auftragsverarbeitung und der konkreten Tätigkeiten des Auftragsverarbeiters.
  • Art & Umfang der Daten: Festlegung der Kategorien personenbezogener Daten (z. B. Stammdaten, Vertragsdaten, Kommunikationsdaten) und der betroffenen Personen (z. B. Kunden, Mitarbeiter, Interessenten).
  • Technisch-organisatorische Maßnahmen (TOM): Verbindliche Festlegung der Sicherheitsmaßnahmen nach Art. 32 DSGVO, gegliedert nach Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
  • Unterauftragsverhältnisse: Regelung der Einholung von Zustimmungen, Führung eines aktuellen Unterauftragsverzeichnisses und Sicherstellung der vertraglichen Anbindung aller Subunternehmer.
  • Weisungsbefugnisse: Konkrete Festlegung des Weisungsrechts des Verantwortlichen, Form der Weisungserteilung und Verfahren bei Streitigkeiten.
  • Kontrollrechte: Vereinbarung von Informations-, Prüfungs- und Auditrechten des Verantwortlichen beim Auftragsverarbeiter.
  • Benachrichtigungspflichten: Verpflichtung des Auftragsverarbeiters zur unverzüglichen Meldung von Verletzungen des Datenschutzes an den Verantwortlichen.
  • Datenlöschung & Rückgabe: Regelungen zur Rückgabe oder Löschung personenbezogener Daten nach Vertragsende sowie zu Aufbewahrungsfristen.

AVV-Checkliste

  • Vertragsgegenstand und Verarbeitungszweck klar definiert 🟢
  • Dauer der Auftragsverarbeitung festgelegt 🟢
  • Kategorien personenbezogener Daten vollständig aufgeführt 🟢
  • Kategorien betroffener Personen benannt 🟢
  • Technisch-organisatorische Maßnahmen (TOM) dokumentiert 🟢
  • Unterauftragsverzeichnis aktuell und vollständig 🟢
  • Weisungsrechte und -verfahren geregelt 🟢
  • Kontroll- und Auditrechte vereinbart 🟢
  • Benachrichtigungspflichten bei Datenschutzverletzungen geregelt 🟢
  • Datenlöschung und Rückgabepflichten nach Vertragsende geregelt 🟢
  • Haftungsregelung und Schadensersatzklauseln enthalten 🟡
  • Vertragsstrafe bei Verstoß gegen Weisungspflichten vereinbart 🟡
  • Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) geprüft 🟡
  • Internationale Datentransfers (Drittlandübermittlung) adressiert 🟡
  • Standardvertragsklauseln (SCC) bei Drittlandtransfer einbezogen 🟡

Standardvertragsklauseln (SCC)

  • Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der EU-Kommission bereitgestellte Musterklauseln für die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau.
  • Aktuelle Fassung: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 mit vier Modulen (Verantwortlicher–Auftragsverarbeiter, Verantwortlicher–Verantwortlicher, Auftragsverarbeiter–Auftragsverarbeiter, Auftragsverarbeiter–Verantwortlicher).
  • Die SCC sind modular aufgebaut und werden bei Bedarf als Anhang in den AVV integriert, wenn eine Datenübermittlung in ein Drittland stattfindet.
  • Ein Transfer Impact Assessment (TIA) ist vor Abschluss der SCC durchzuführen, um das Schutzniveau im Zielland zu bewerten und ggf. zusätzliche Maßnahmen zu ergreifen.
  • Die SCC ersetzen nicht den AVV, sondern ergänzen ihn für den spezifischen Fall der Drittlandübermittlung.

ISO 27001 Verbindung

Die AVV-Anforderungen leiten sich direkt aus der DSGVO und dem BDSG ab.

  • DSGVO Art. 28 – Auftragsverarbeiter
  • DSGVO Art. 29 – Verarbeitung unter Aufsicht des Verantwortlichen
  • DSGVO Art. 32 – Sicherheit der Verarbeitung (TOM)
  • DSGVO Art. 33 – Meldung von Datenschutzverletzungen
  • BDSG § 62 – Auftragsverarbeitung
  • BDSG § 63 – Verarbeitung im Auftrag für nicht-öffentliche Stellen
  • BDSG § 64 – Verarbeitung im Auftrag für öffentliche Stellen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung

ISO 27001 Verbindung

Die AVV-Regelungen adressieren Anforderungen aus EU AI Act, DSGVO und DORA.

  • EU AI Act Art. 12 – Datenqualität und Governance
  • DSGVO Art. 28 – Auftragsverarbeitung (vollständig)
  • DSGVO Art. 46 – Übermittlung mit geeigneten Garantien
  • DORA Art. 8 – IKT-Risikomanagement und Schutzmaßnahmen
  • DORA Art. 28 – Vertragliche Vereinbarungen über IKT-Dienstleistungen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.