Auftragsverarbeitungsvertrag (AVV): Pflicht-Vertrag bei Beauftragung externer Dienstleister mit Datenverarbeitung

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) ist ein Pflicht-Vertrag nach Artikel 28 DSGVO. Ihr müsst ihn mit jedem externen Dienstleister abschließen, der für euch personenbezogene Daten verarbeitet.

Beispiele für Dienstleister, die einen AVV benötigen:

Cloud-Anbieter (Google Workspace, Microsoft 365, Dropbox)
Buchhaltungs-Software (DATEV, Lexoffice)
CRM-Systeme (HubSpot, Salesforce)
E-Mail-Marketing-Tools (Mailchimp, Sendinblue)
Website-Hosting-Provider

Warum ist der AVV wichtig?

Der AVV ist gesetzliche Pflicht nach DSGVO. Ohne AVV:

Verstoß gegen DSGVO: Ihr haftet für Datenschutz-Verstöße des Dienstleisters
Bußgeld-Risiko: Behörden können Strafen verhängen
Rechtsunsicherheit: Ihr könnt nicht nachweisen, dass der Dienstleister DSGVO-konform arbeitet
Haftung: Bei Datenpanne haftet ihr gegenüber Betroffenen

Der AVV regelt klar, was der Dienstleister darf und was nicht. Er verpflichtet ihn auf DSGVO-Konformität.

Beispiel: Müller GmbH

Die Müller GmbH (25 Mitarbeiter, Maschinenbau) nutzt folgende Dienstleister und schließt AVVs ab:

1. Google Workspace (E-Mail, Drive)

Verarbeitung: E-Mail-Kommunikation, Dateiablage
AVV: Google bietet Standard-AVV an (Data Processing Amendment)
TOMs: Verschlüsselung, ISO 27001-Zertifizierung

2. Lexoffice (Buchhaltung)

Verarbeitung: Rechnungen, Kundendaten, Mitarbeiter-Abrechnungen
AVV: Lexoffice bietet AVV im Account an
TOMs: Verschlüsselung, Zugangskontrollen, Backups

3. Hetzner (Website-Hosting)

Verarbeitung: Website-Besucher-Daten (IP-Adressen, Logs)
AVV: Hetzner bietet Standard-AVV
TOMs: ISO 27001, physische Sicherheit im Rechenzentrum

Mit easy DP verwaltet die Müller GmbH alle AVVs zentral und wird erinnert, wenn ein AVV fehlt.

Auftragsverarbeitungsvertrag (AVV)