Zurück

Vereinbarung zur Auftragsverarbeitung (AVV)

DSGVO Basiswissen

Auftragsverarbeitung nach DSGVO: Warum eine AVV mehr sein muss als ein PDF und wo typische Fallstricke für Unternehmen lauern.

Inhaltsverzeichnis
Inhaltsverzeichnis

Zurück

Die Vereinbarung zur Auftragsverarbeitung (AVV/DPA) – Standard mit Fallstricken

Stellen Sie sich vor: Das Marketing möchte „nur schnell“ ein Newsletter-Tool einführen. Die IT nickt, weil es „Cloud, aber seriös“ ist. Der Einkauf freut sich über den Rabatt bei jährlicher Zahlung. Und dann kommt irgendwann – meist zu spät – die Frage aus dem Datenschutz: „Haben wir eigentlich eine AVV?“
Kurze Stille. Dann: „Klar, irgendwo in den AGB. Oder im Admin-Portal. Oder… Moment.“

Die Auftragsverarbeitungsvereinbarung (AVV, international oft DPA) ist in vielen Unternehmen das Datenschutz-Äquivalent zum Feuerlöscher: Man ist froh, dass er da ist – aber niemand will genau prüfen, ob er funktioniert, bis es brennt. Das Problem: Bei der AVV reicht „ist vorhanden“ nicht. Die einzelnen Anforderungen müssen tatsächlich erfüllt sein. Sonst ist die AVV eher Deko als Schutzschild – mit ganz realen Konsequenzen.

Warum die AVV mehr ist als ein PDF zum Abheften

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (Hosting, HR-Tools, CRM, Support-Tickets, Lohnverrechnung, Analytics, praktisch alles, was „SaaS“ im Namen trägt), dann bleibt Ihr Unternehmen in der Verantwortung. Der Dienstleister ist nicht „der, der’s macht“, sondern „der, der’s für Sie macht“. Und genau dafür ist die AVV da: Sie soll sicherstellen, dass der Dienstleister nur nach Ihren Vorgaben arbeitet, angemessen schützt und transparent bleibt.

Die AVV ist damit weniger ein Formalismus und mehr eine Art „Bedienungsanleitung mit Sicherheitsgurt“. Sie definiert, wer was wie darf, welche Schutzmaßnahmen gelten, wie kontrolliert wird – und was passiert, wenn etwas schiefgeht. Wenn diese Punkte fehlen oder nur hübsch klingen, aber nicht belastbar sind, haben Sie am Ende eine Lücke dort, wo es wehtut: bei Verantwortung, Kontrolle und Sicherheit.

Typische Missverständnisse: „Wir haben doch eine AVV – passt schon“

Die häufigsten Denkfehler sind erstaunlich konstant:

1) „AVV unterschrieben = Datenschutz erledigt.“
Leider nein. Eine AVV ist kein magischer Schutzzauber. Sie ist eine Voraussetzung, aber nur dann wirksam, wenn Inhalt und Realität zusammenpassen.

2) „Der Anbieter ist groß, der wird’s schon können.“
Größe hilft – manchmal. Aber auch große Anbieter haben Standardtexte, die vieles abdecken, aber nicht zwingend zu Ihrem Einsatz passen. Und: Selbst ein sehr gutes Sicherheitsniveau nützt wenig, wenn Sie das falsche Produkt falsch konfigurieren.

3) „TOM stehen im Anhang – irgendwas mit ISO – das reicht.“
Das ist der Klassiker. TOM (technische und organisatorische Maßnahmen) sind nicht dafür da, einen Anhang zu füllen. Sie sollen Risiken für Menschen reduzieren. Und ja: Das muss man prüfen – zumindest angemessen.

4) „Wir sind nur ein KMU, uns kontrolliert keiner.“
Datenschutz ist kein Fitnessstudio, in dem man nur trainiert, wenn jemand zuschaut. Außerdem kommen Probleme oft nicht durch Behörden, sondern durch Vorfälle: Datenpannen, Kundenbeschwerden, Ex-Mitarbeitende, Security Incidents – und plötzlich ist man sehr sichtbar.

Was inhaltlich sitzen muss – und warum „halb“ nicht reicht

Eine AVV muss bestimmte Kernelemente enthalten. Nicht als Selbstzweck, sondern damit klar ist, dass die Verarbeitung kontrollierbar und sicher ist. Entscheidend ist: Jede dieser Anforderungen erfüllt einen Zweck. Fehlt etwas, fehlt Ihnen ein Sicherheitsnetz.

Klare Beschreibung von Verarbeitung und Zweck

Worum geht’s konkret? Welche Daten? Welche Personengruppen? Welche Tätigkeiten? Wie lange? Das klingt nach Bürokratie, ist aber Ihre Grundlage, um Risiken bewerten und Pflichten erfüllen zu können (z. B. Information der Betroffenen, Löschkonzept, Zugriffsregeln). Wenn die AVV hier nebulös bleibt („Datenverarbeitung zur Leistungserbringung“), sind später Diskussionen vorprogrammiert: Was genau durfte der Dienstleister eigentlich?

Verarbeitung nur auf dokumentierte Weisung

Der Dienstleister darf nicht „nach eigenem Geschmack“ arbeiten. In der Praxis wird das oft verwässert: Standardklauseln erlauben weite Spielräume, etwa für „Produktverbesserung“, „Analytics“ oder „Sicherheitszwecke“. Das kann berechtigt sein – muss aber sauber eingeordnet werden. Sonst passiert etwas, das Betroffene zurecht irritiert: Daten wandern in Auswertungen, Trainingsdaten oder Nebenzwecke, ohne dass das für sie nachvollziehbar ist.

Vertraulichkeit und Personalzugang

Klingt banal, ist aber zentral: Wer beim Dienstleister kommt überhaupt an die Daten? Wie wird das gesteuert? Gibt es Rollen, Schulungen, Verpflichtungen, Need-to-know? Wer diese Punkte nicht absichert, lädt unbeabsichtigte Neugier ein – und Neugier ist im Datenschutz selten ein Qualitätsmerkmal.

Unterauftragsverarbeiter (Subdienstleister)

Cloud-Anbieter arbeiten fast immer mit Subdienstleistern. Entscheidend ist Transparenz und Steuerbarkeit: Wer ist das, wo sitzen die, wofür werden sie eingesetzt, wie werden Änderungen kommuniziert? Ein „wir informieren irgendwann irgendwo“ reicht nicht. Wenn der Dienstleister heute ein Rechenzentrum in der EU nutzt und morgen ein Support-Team in einem Drittland, ist das kein Detail – das kann rechtlich und praktisch entscheidend sein.

Unterstützung bei Betroffenenrechten

Wenn eine Person Auskunft verlangt oder Löschung, müssen Sie reagieren – fristgerecht. Dafür brauchen Sie Unterstützung vom Dienstleister: Daten finden, exportieren, löschen, Nachweise liefern. Fehlt diese Verpflichtung oder ist sie unrealistisch („nur gegen hohen Aufwand, nach eigenem Zeitplan“), stehen Sie später da wie jemand, der versprochen hat, einen Umzug zu organisieren – ohne Schlüssel zur Wohnung.

Meldung von Sicherheitsvorfällen

Wenn es zu einer Datenpanne kommt, zählen Stunden. Eine AVV muss klare Meldewege und Fristen definieren. „Unverzüglich“ ist gut – aber ohne definierte Ansprechpartner, Inhaltserwartungen und Eskalation ist „unverzüglich“ manchmal erstaunlich dehnbar.

Löschung/Rückgabe nach Ende der Leistung

Das ist der Teil, der gerne vergessen wird – bis zum Anbieterwechsel. Was passiert mit Backups, Archiven, Support-Tickets, Protokollen? Gibt es Löschfristen, Bestätigungen, technische Möglichkeiten? Wenn hier nur „wird gelöscht“ steht, ist das ungefähr so beruhigend wie „die Diät beginnt morgen“.

Kontrollrechte / Audit

Sie müssen in angemessenem Umfang prüfen können, ob der Dienstleister seine Pflichten einhält. Das heißt nicht, dass Sie mit Helm und Klemmbrett ins Rechenzentrum marschieren. Aber es muss ein Mechanismus existieren: Berichte, Zertifikate, Fragebögen, Auditrechte, nachvollziehbare Nachweise. Reine Marketing-Folien zählen selten als Prüfgrundlage.

Was passiert, wenn die AVV nicht passt?

Wenn die AVV fehlt oder wesentliche Anforderungen nicht erfüllt sind, ist die Verarbeitung in der Regel nicht sauber abgesichert. Das kann mehrere Konsequenzen haben – und die sind nicht nur theoretisch:

Aufsichtsbehördliche Maßnahmen und Geldbußen

Fehlende oder mangelhafte AVV gehört zu den klassischen Beanstandungen. Behörden können Anordnungen erlassen (z. B. Verarbeitung stoppen lassen), Nachbesserungen verlangen und – je nach Schwere – Bußgelder verhängen. Oft ist nicht die fehlende AVV allein das Problem, sondern das Gesamtbild: keine Kontrolle, keine TOM-Prüfung, keine Reaktionsfähigkeit bei Vorfällen.

Haftung und Schadenersatz

Wenn Menschen durch unsichere oder unzulässige Verarbeitung Nachteile erleiden (Identitätsdiebstahl, Bloßstellung, finanzielle Schäden oder auch „nur“ Kontrollverlust über Daten), kann Schadenersatz im Raum stehen. Und ja, auch „immaterielle“ Schäden sind ein Thema – und praktisch relevant.

Vertrags- und Projektfolgen

In B2B-Geschäften ist Datenschutz längst Teil von Vendor-Assessments. Eine wackelige AVV kann Ausschreibungen gefährden, Audits verhageln oder Deals verzögern. Im Worst Case muss ein Tool kurzfristig ersetzt werden – was meistens teurer ist als saubere Vorarbeit.

Reputationsschaden und Vertrauensverlust

Menschen verzeihen viel. Aber „wir hatten Ihre Daten nicht im Griff“ ist selten ein Sympathie-Booster. Besonders bitter: Der eigentliche Vorfall mag klein sein – die Kommunikation darüber wird groß.

Der Knackpunkt: TOM prüfen – aber bitte realistisch

Jetzt zur Königsdisziplin: Prüfung der TOM des Lieferanten. Das ist der Bereich, in dem viele Unternehmen entweder gar nichts tun („zu kompliziert“) oder so tun, als hätten sie alles geprüft („hier ist ein 30-seitiger Fragebogen, den niemand liest“).

Die Wahrheit liegt dazwischen: TOM-Prüfung ist risikobasiertes Handwerk. Je sensibler die Daten und je kritischer der Dienst, desto tiefer muss man schauen. Ein Termin-Tool für interne Meetingplanung ist anders zu bewerten als ein Gesundheitsportal oder eine HR-Plattform mit Gehaltsdaten.

Was heißt „prüfen“ in der Praxis? Nicht: Sie müssen die Firewalls persönlich inspizieren. Sondern: Sie müssen nachvollziehbar entscheiden können, ob die Maßnahmen angemessen sind – und das dokumentieren.

Worauf es bei TOM wirklich ankommt

Ein brauchbarer Blick auf TOM beantwortet im Kern Fragen wie:

  • Zugriffsschutz: Wer kann auf Daten zugreifen, wie wird das verhindert/limitiert, wie wird Zugriff protokolliert? (Rollen, MFA, Berechtigungen, Logging)
  • Verschlüsselung: Werden Daten bei Übertragung und Speicherung geschützt? Wer verwaltet Schlüssel? Was passiert bei Backups?
  • Trennung: Werden Kundendaten sauber voneinander getrennt? Gerade bei Multi-Tenant-Systemen relevant.
  • Verfügbarkeit und Resilienz: Gibt es Backups, Wiederherstellungstests, Notfallpläne? Wie schnell kann der Dienst wieder laufen?
  • Sicherheitsmanagement: Patch-Management, Schwachstellenmanagement, Penetrationstests, Incident Response.
  • Mitarbeitenden- und Lieferantenmanagement: Onboarding/Offboarding, Schulungen, Subdienstleister-Kontrolle.
  • Physische Sicherheit: Rechenzentrumsstandards (oft über Zertifizierungen abgedeckt).

Welche Nachweise sinnvoll sind

Je nach Anbieter sind verschiedene Belege üblich: ISO-27001-Zertifikate, SOC-2-Berichte, unabhängige Auditberichte, Security Whitepaper, Ergebnisse von Pen-Tests (zumindest zusammenfassend), Dokumentation zu Incident-Prozessen und Verfügbarkeitskennzahlen. Wichtig: Ein Zertifikat ist kein Freifahrtschein, aber ein guter Startpunkt. Und: Wenn der Anbieter gar nichts hergibt („ist geheim“), ist das auch eine Information – nur keine beruhigende.

Konfiguration ist Teil der Wahrheit

Selbst wenn der Anbieter top ist: Viele Sicherheitslücken entstehen beim Kunden. Beispiel: Ein Filesharing-Tool mit exzellenter Security nützt wenig, wenn jeder Link ohne Ablaufdatum öffentlich ist. Oder wenn Admin-Accounts ohne MFA laufen. Deshalb gehört zur TOM-Prüfung auch die Frage: Welche Einstellungen sind erforderlich, damit das System sicher betrieben wird – und wer übernimmt das?

Die Betroffenenperspektive als Kompass

TOM sind nicht „IT-Sache“, sie sind „Menschen-Schutz“. Stellen Sie sich nicht die Frage: „Erfüllt der Anbieter irgendeinen Standard?“ Sondern: „Was passiert für die betroffene Person, wenn etwas schiefgeht?“
Bei Bewerbungsdaten kann ein Leak Karrieren beschädigen. Bei Support-Tickets können intime Details auftauchen. Bei Standortdaten entsteht ein Bewegungsprofil. Das sind keine abstrakten Datenpunkte – das sind Lebensrealitäten.

Wo Unternehmen in der Praxis scheitern

Die häufigsten Bruchstellen sind erstaunlich banal:

  • AVV wird nachträglich „irgendwie“ abgeschlossen, aber nie inhaltlich geprüft.
  • TOM-Anhänge werden abgeheftet, ohne zu prüfen, ob sie zum Risiko passen.
  • Subdienstleister-Liste wird nie aktualisiert oder nicht überwacht.
  • Incident-Prozesse sind unklar: Wer ruft wen an, wenn es knallt?
  • Löschung/Exit wird nicht geregelt – und beim Anbieterwechsel tauchen Datenreste auf.
  • Verantwortlichkeiten intern sind diffus: Datenschutz, IT, Einkauf und Fachbereich arbeiten nebeneinander statt miteinander.

Das Ergebnis ist selten „totales Chaos“, sondern eher „schleichende Erosion“: Man merkt es nicht sofort. Bis man es merkt.

Wie man das pragmatisch richtig macht – ohne Datenschutz-Theater

Datenschutz ist kein Wettbewerb im Formulare-Ausfüllen. Es geht um Steuerung. Ein pragmatischer Ansatz sieht oft so aus:

Man klassifiziert Dienstleister nach Risiko (Art der Daten, Umfang, Kritikalität), legt fest, welche TOM-Nachweise pro Klasse erforderlich sind, und baut einen schlanken Prozess: AVV-Check, TOM-Review, Konfigurationsvorgaben, regelmäßige Re-Evaluation. Nicht jede SaaS braucht die Vollprüfung – aber jede braucht eine begründete Entscheidung.

Und ja: Bei komplexen Konstellationen (internationale Transfers, besonders sensible Daten, kritische Infrastruktur, viele Subdienstleister) lohnt sich Unterstützung durch erfahrene Datenschutzberater:innen oder Datenschutzbeauftragte. Nicht, weil man selbst unfähig wäre, sondern weil Routine in diesen Themen den Unterschied macht zwischen „wir hoffen“ und „wir wissen“.

Fazit: AVV ist Standard – aber kein Selbstläufer

Die AVV ist ein Standarddokument – aber sie wirkt nur, wenn sie mehr ist als ein Standardritual. Jede Anforderung hat einen Zweck: Kontrolle, Sicherheit, Reaktionsfähigkeit, Schutz für Betroffene. Wenn einzelne Punkte fehlen oder nur auf dem Papier existieren, bleibt am Ende ein Risiko, das nicht nur Ihr Unternehmen trifft, sondern echte Menschen.

Denken Sie an die AVV wie an einen Sicherheitsgurt: Niemand plant den Unfall. Aber wenn er passiert, möchte man nicht feststellen, dass der Gurt zwar hübsch aussieht – aber nie richtig eingerastet ist.

Sie benötigen Unterstützung?

Wir von legalweb.io unterstützen Unternehmen bei der Einhaltung datenschutzrechtlicher Vorgaben und der Umsetzung rechtskonformer Lösungen. Darüber hinaus bieten wir Expertise zu aktuellen Themen wie NIS2IT-Sicherheitsanforderungen und organisatorischen Datenschutzmaßnahmen.

In einem kostenlosen Erstgespräch klären wir Ihre konkrete Situation und zeigen die nächsten Schritte auf.

Kostenloses Erstgespräch vereinbaren

Ähnliche Beiträge

Datenlöschung

Datenlöschung Warum es kein Nice-to-have ist: DSGVO-Pflicht, typische Ausreden, echte Risiken – wie Unternehmen Löschung richtig umsetzen.

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen sind kein Zustand: Warum TOM laufend geprüft werden müssen – und wann sie wirklich ausreichen.

Datenschutzfolgenabschätzung (DSFA)

Datenschutzfolgeabschätzung nach DSGVO: Warum die DSFA kein Bürokratiemonster ist, sondern ein notwendiger Realitätscheck.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

VVT in der Praxis: Wie das Verzeichnis der Verarbeitungstätigkeiten Transparenz schafft und bei Auskünften, Löschung und Vorfällen hilft.

legalweb

.io

Themen
Consent Manager
DSGVO-konforme Website
Externe Datenschutzbeauftragte für Unternehmen
AGB Generator
Microlearning/ Mitarbeiterschulung
Google Consent Mode
IAB TCF Framework
legal web

Support

Impressum

AGB

Datenschutz

Bayerhamerstraße 14, 5020 Salzburg - Österreich | [email protected]