Datenschutz / DSGVO

AVV-Muster & Checkliste (Auftragsverarbeitung nach Art. 28 DSGVO)

Strukturierte Checkliste aller Pflichtbestandteile eines AVV nach Art. 28 Abs. 3 DSGVO — zum Prüfen eigener oder fremder Verträge.

Sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — Cloud-Hosting, Newsletter-Tool, Lohnbuchhaltung, CRM, Agentur — brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Fehlt er oder ist er lückenhaft, haften Sie als Verantwortlicher.

Diese Checkliste führt die Pflichtbestandteile auf, die ein AVV nach Art. 28 Abs. 3 DSGVO zwingend enthalten muss. Sie eignet sich, um einen vorgelegten AVV (z. B. eines US-Anbieters) zu prüfen oder einen eigenen aufzusetzen.

1. Vertragsparteien & Gegenstand

  • Eindeutige Bezeichnung von Verantwortlichem und Auftragsverarbeiter (Firma, Rechtsform, Anschrift).
  • Gegenstand und Dauer der Verarbeitung.
  • Art und Zweck der Verarbeitung (z. B. Hosting, Versand, Support).
  • Art der personenbezogenen Daten (z. B. Kontaktdaten, Nutzungsdaten, ggf. besondere Kategorien nach Art. 9).
  • Kategorien betroffener Personen (Kunden, Beschäftigte, Interessenten).

2. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3)

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
  • Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen.
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32.
  • Bedingungen für den Einsatz von Subunternehmern (Sub-Auftragsverarbeiter).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–23).
  • Unterstützung bei Meldepflichten (Art. 33/34) und Datenschutz-Folgenabschätzung (Art. 35).
  • Löschung oder Rückgabe der Daten nach Auftragsende.
  • Nachweis-/Auditrechte des Verantwortlichen.

3. Sub-Auftragsverarbeiter

  • Liste der eingesetzten Sub-Dienstleister oder allgemeine Genehmigung mit Informationspflicht.
  • Pflicht, Sub-Auftragsverarbeitern dieselben Datenschutzpflichten aufzuerlegen.
  • Widerspruchsrecht des Verantwortlichen bei neuen Sub-Dienstleistern.

4. Drittlandtransfer (oft übersehen)

Besonders kritisch bei US-Tools (Hosting, Analytics, Mail).

  • Werden Daten in Drittländer (z. B. USA) übermittelt?
  • Geeignete Garantien: EU-Standardvertragsklauseln (SCC) oder EU-US Data Privacy Framework.
  • Ggf. Transfer Impact Assessment (TIA) und ergänzende Maßnahmen.

5. Schlussbestimmungen

  • Haftung und Schadensersatz im Innenverhältnis.
  • Laufzeit/Kündigung im Gleichlauf mit dem Hauptvertrag.
  • Schriftform/Textform und Vorrangregelung gegenüber dem Hauptvertrag.

Tipp: Diese Checkliste lässt sich mit Strg/Cmd + P als PDF speichern oder ausdrucken.

Wann Sie einen Anwalt einschalten sollten

  • Der Anbieter legt einen eigenen AVV vor und Sie wollen ihn vor Unterschrift prüfen lassen.
  • Es findet ein Drittlandtransfer statt (US-Cloud) und Sie sind sich bei den Garantien unsicher.
  • Sie verarbeiten besondere Datenkategorien (Gesundheit, Beschäftigtendaten in großem Umfang).
  • Eine Aufsichtsbehörde hat angefragt oder es gab eine Datenpanne.

Häufige Fragen

Brauche ich für jeden Dienstleister einen eigenen AVV?

Für jeden Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, ja. Reine Berufsgeheimnisträger (z. B. Steuerberater, Rechtsanwälte) gelten meist als eigene Verantwortliche und brauchen keinen AVV.

Reicht der AVV des Anbieters oder muss ich einen eigenen stellen?

In der Praxis stellt meist der Auftragsverarbeiter (Anbieter) den AVV. Wichtig ist, dass er alle Pflichtangaben nach Art. 28 Abs. 3 DSGVO enthält — genau das prüft diese Checkliste.

Was droht ohne gültigen AVV?

Ein fehlender oder unzureichender AVV ist ein eigenständiger DSGVO-Verstoß und kann mit Bußgeld geahndet werden — unabhängig davon, ob ein Datenleck vorliegt.

Diese Checkliste ist eine allgemeine Orientierung und ersetzt keine Rechtsberatung im Einzelfall. Ob und wie die Punkte für Ihren konkreten Vertrag gelten, hängt von den Umständen ab.

Unterlagen verbindlich prüfen lassen

Unsere spezialisierten Anwälte prüfen Ihren konkreten Fall — transparent und zum Festpreis.

Kostenlose ErsteinschätzungDSGVO & Datenschutz für UnternehmenGlossar: Auftragsverarbeitung (AVV)

Updates für Unternehmer erhalten

Neue Vorlagen, Checklisten und Praxis-Updates aus dem Wirtschaftsrecht — unverbindlich und jederzeit abbestellbar.

Rechtlicher Hinweis: Die Inhalte dieser Webseite stellen keine Rechtsberatung dar und ersetzen keine individuelle anwaltliche Beratung. Alle Informationen, Beiträge, Urteile und Hinweise wurden nach bestem Wissen sorgfältig zum Zeitpunkt ihrer Erstellung zusammengestellt. Es wird jedoch keine Gewähr für Richtigkeit, Vollständigkeit oder Aktualität übernommen. Jeder Fall ist einzigartig und erfordert eine individuelle rechtliche Prüfung. Die dargestellten Urteile und Ansichten sind unverbindlich, und es besteht keine Garantie, dass diesen im Streitfall gefolgt wird.