Was ist ein AVV eigentlich?

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Immer dann nötig, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — also nicht als eigenständig Verantwortlicher. Typisch: Hosting, E-Mail, CRM, Buchhaltung, KI-Dienste, Marketing-Tools. Der AVV muss 13 spezifische Pflichtinhalte aus Art. 28(3) enthalten.

Wer zählt als Auftragsverarbeiter — zählt Microsoft 365?

Ja, Microsoft 365, Google Workspace, Dropbox, Slack, DATEV, Retell AI, OpenAI, Anthropic, Telnyx, Mailgun, Cal.com und nahezu jedes SaaS-Tool sind Auftragsverarbeiter, sobald sie personenbezogene Daten Ihrer Kunden, Mitarbeiter oder Leads verarbeiten. Alle großen Anbieter stellen einen AVV auf ihrer Website bereit — aber Sie müssen ihn aktiv abschließen (nicht nur die AGB akzeptieren).

Was passiert, wenn kein AVV existiert?

Art. 28 DSGVO ist eine Pflicht, keine Empfehlung. Bußgelder: bis zu 10 Mio. € oder 2% des globalen Jahresumsatzes (Art. 83(4) DSGVO). In der Praxis ist die fehlende AVV der häufigste Prüfbefund deutscher Datenschutzaufsichtsbehörden. Bei einem Data Breach beim Anbieter haften Sie ohne AVV unbegrenzt mit.

Reicht der Standard-DPA meines Anbieters?

Meistens ja, aber nicht automatisch. Typische Standard-DPAs erfüllen Art. 28(3) inhaltlich — lassen aber oft Unterauftragsverarbeiter-Benachrichtigung und Kontrollrechte vage. Prüfen Sie: (a) werden Sub-Prozessoren namentlich gelistet und Änderungen angekündigt? (b) bekommen Sie Zugang zu TOMs und Zertifikaten? (c) ist bei Vertragsende Rückgabe ODER Löschung mit Nachweis geregelt?

Was, wenn der Anbieter in den USA sitzt?

Dann brauchen Sie zusätzlich zum AVV einen Drittlandtransfer-Mechanismus: EU-US Data Privacy Framework (für zertifizierte US-Anbieter), Standardvertragsklauseln (SCC 2021/914), oder Binding Corporate Rules. Viele große Anbieter (Microsoft, Google, OpenAI) sind DPF-zertifiziert — das ist der einfachste Weg. Prüfen Sie den Status unter dataprivacyframework.gov.

Wie hilft Mandu Studios konkret?

Wir implementieren seit Ende 2024 KI- und Prozess-Tools mit passenden AVVs als Default — wir liefern die AVV-Kette (unser AVV mit Ihnen + AVVs aller Sub-Prozessoren). Auf Wunsch: Verarbeitungsverzeichnis-Eintrag nach Art. 30, TOM-Dokumentation, Sub-Prozessor-Liste mit Benachrichtigung. 30 Minuten Erstberatung genügen für die Einschätzung, welche AVVs Sie konkret brauchen.

AVV Selbst-Check — Art. 28 DSGVO

Erfüllt Ihr Auftragsverarbeitungsvertrag die Pflichtinhalte? 10 Fragen, 3 Minuten, keine Anmeldung.

Jedes Unternehmen, das externe Dienste nutzt (Microsoft 365, Google Workspace, DATEV, Telnyx, Retell, OpenAI, Mailgun), braucht mit jedem dieser Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Fehlt er, oder fehlt eine der 13 Pflichtklauseln aus Art. 28(3), drohen Bußgelder von bis zu 10 Mio. € oder 2% des globalen Jahresumsatzes. Dieser Check geht die wichtigsten AVV-Pflichten durch — inkl. der beiden häufigsten Fallen: Unterauftragsverarbeiter-Regelung und Drittlandtransfer.

01
Nutzen Sie mindestens einen externen Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Hosting, E-Mail, CRM, Buchhaltung, KI, Marketing)?
Fast alle KMU ja. Microsoft 365, Google Workspace, DATEV, Mailchimp, Telnyx, Retell — jeder einzelne ist ein Auftragsverarbeiter.
DSGVO Art. 4(8)
02
Haben Sie mit JEDEM dieser Dienstleister einen schriftlich (oder elektronisch) abgeschlossenen AVV?
AGB akzeptieren reicht nicht. Der AVV muss als separates Dokument aktiv abgeschlossen werden — bei großen Anbietern meist im Admin-Panel.
DSGVO Art. 28(3)
03
Enthält der AVV Gegenstand, Dauer, Art, Zweck der Verarbeitung sowie Datenkategorien und Kategorien betroffener Personen?
Pflichtangaben im Anhang. Kein Standard-Template erfüllt das ohne individualisierte Beschreibung Ihres Anwendungsfalls.
DSGVO Art. 28(3) Satz 1
04
Verpflichtet der AVV den Dienstleister, Daten nur auf Ihre dokumentierten Weisungen zu verarbeiten?
Kernklausel: der Auftragsverarbeiter darf nicht für eigene Zwecke nutzen. Ausnahme: gesetzliche Pflicht zur Mitteilung an Behörden.
DSGVO Art. 28(3)(a)
05
Sind alle Personen beim Dienstleister, die Zugriff auf Ihre Daten haben, einer Vertraulichkeitsverpflichtung unterworfen?
Standard in jedem professionellen DPA. Praxis: einmalige Bestätigung reicht, muss nicht pro Zugriff dokumentiert werden.
DSGVO Art. 28(3)(b)
06
Beschreibt der AVV die technischen und organisatorischen Maßnahmen (TOM) des Dienstleisters nach Art. 32 DSGVO — oder verweist auf ein nachprüfbares TOM-Dokument?
Verschlüsselung, Zugangskontrolle, Backup, Incident Response. Häufig als Anhang A zum DPA oder als separates 'Security Addendum'.
DSGVO Art. 28(3)(c) i.V.m. Art. 32
07
Regelt der AVV, dass Unterauftragsverarbeiter nur mit vorheriger Zustimmung oder nach Benachrichtigung mit Widerspruchsrecht eingesetzt werden dürfen?
Wichtigste Praxis-Fallen: der Anbieter nutzt still AWS/GCP/Azure als Sub-Prozessor. Der AVV muss eine aktuelle Liste oder einen Benachrichtigungsmechanismus enthalten.
DSGVO Art. 28(2) + Art. 28(3)(d)
08
Verpflichtet der AVV den Dienstleister, Sie bei Betroffenenanfragen (Auskunft, Löschung, Datenübertragbarkeit) zu unterstützen?
Art. 15-22 DSGVO — in der Praxis: der Anbieter muss Tools oder ein Kontaktfenster bereitstellen, mit dem Sie eine Löschung binnen 30 Tagen umsetzen können.
DSGVO Art. 28(3)(e)
09
Ist bei Vertragsende eine Rückgabe ODER Löschung aller personenbezogenen Daten inkl. Kopien geregelt — mit Löschnachweis?
Eines von beiden reicht, Ihre Wahl. Wichtig: ein schriftlicher Löschnachweis (auch in Form einer Bestätigungs-Mail) ist Pflicht, nicht optional.
DSGVO Art. 28(3)(g)
10
Für Anbieter außerhalb der EU/EWR: Haben Sie einen gültigen Transfer-Mechanismus (EU-US DPF, Standardvertragsklauseln 2021/914, BCR oder Angemessenheitsbeschluss)?
Ohne einen dieser Mechanismen ist der Datentransfer nach den Schrems-II-Urteilen rechtswidrig. Prüfen Sie den DPF-Status auf dataprivacyframework.gov.
DSGVO Art. 44-49

So funktioniert der Check

01
10 Ja/Nein-Fragen
Jede Frage adressiert eine Pflichtklausel aus Art. 28(3) DSGVO oder eine flankierende Regelung (Art. 32, Art. 44 ff.).
02
Ampelbild
Grün = erfüllt. Gelb = prüfen. Rot = Lücke. Rote Lücken sind DSGVO-Pflichten — priorisiert zu schließen.
03
Keine Datenerfassung
Die Antworten verlassen Ihren Browser nicht. Kein Submit, keine E-Mail, keine Datenbank.

Häufige Fragen

Was ist ein AVV eigentlich?
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Immer dann nötig, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — also nicht als eigenständig Verantwortlicher. Typisch: Hosting, E-Mail, CRM, Buchhaltung, KI-Dienste, Marketing-Tools. Der AVV muss 13 spezifische Pflichtinhalte aus Art. 28(3) enthalten.
Wer zählt als Auftragsverarbeiter — zählt Microsoft 365?
Ja, Microsoft 365, Google Workspace, Dropbox, Slack, DATEV, Retell AI, OpenAI, Anthropic, Telnyx, Mailgun, Cal.com und nahezu jedes SaaS-Tool sind Auftragsverarbeiter, sobald sie personenbezogene Daten Ihrer Kunden, Mitarbeiter oder Leads verarbeiten. Alle großen Anbieter stellen einen AVV auf ihrer Website bereit — aber Sie müssen ihn aktiv abschließen (nicht nur die AGB akzeptieren).
Was passiert, wenn kein AVV existiert?
Art. 28 DSGVO ist eine Pflicht, keine Empfehlung. Bußgelder: bis zu 10 Mio. € oder 2% des globalen Jahresumsatzes (Art. 83(4) DSGVO). In der Praxis ist die fehlende AVV der häufigste Prüfbefund deutscher Datenschutzaufsichtsbehörden. Bei einem Data Breach beim Anbieter haften Sie ohne AVV unbegrenzt mit.
Reicht der Standard-DPA meines Anbieters?
Meistens ja, aber nicht automatisch. Typische Standard-DPAs erfüllen Art. 28(3) inhaltlich — lassen aber oft Unterauftragsverarbeiter-Benachrichtigung und Kontrollrechte vage. Prüfen Sie: (a) werden Sub-Prozessoren namentlich gelistet und Änderungen angekündigt? (b) bekommen Sie Zugang zu TOMs und Zertifikaten? (c) ist bei Vertragsende Rückgabe ODER Löschung mit Nachweis geregelt?
Was, wenn der Anbieter in den USA sitzt?
Dann brauchen Sie zusätzlich zum AVV einen Drittlandtransfer-Mechanismus: EU-US Data Privacy Framework (für zertifizierte US-Anbieter), Standardvertragsklauseln (SCC 2021/914), oder Binding Corporate Rules. Viele große Anbieter (Microsoft, Google, OpenAI) sind DPF-zertifiziert — das ist der einfachste Weg. Prüfen Sie den Status unter dataprivacyframework.gov.
Wie hilft Mandu Studios konkret?
Wir implementieren seit Ende 2024 KI- und Prozess-Tools mit passenden AVVs als Default — wir liefern die AVV-Kette (unser AVV mit Ihnen + AVVs aller Sub-Prozessoren). Auf Wunsch: Verarbeitungsverzeichnis-Eintrag nach Art. 30, TOM-Dokumentation, Sub-Prozessor-Liste mit Benachrichtigung. 30 Minuten Erstberatung genügen für die Einschätzung, welche AVVs Sie konkret brauchen.

AVV-Lücke entdeckt?

30 Minuten am Telefon. Kostenlos. Wir gehen Ihre Dienstleister-Liste durch und zeigen, welche AVVs fehlen oder nachgeschärft werden müssen.

Kostenlose Erstberatung buchen

AVV Selbst-Check — Art. 28 DSGVO

Nutzen Sie mindestens einen externen Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Hosting, E-Mail, CRM, Buchhaltung, KI, Marketing)?

Haben Sie mit JEDEM dieser Dienstleister einen schriftlich (oder elektronisch) abgeschlossenen AVV?

Enthält der AVV Gegenstand, Dauer, Art, Zweck der Verarbeitung sowie Datenkategorien und Kategorien betroffener Personen?

Verpflichtet der AVV den Dienstleister, Daten nur auf Ihre dokumentierten Weisungen zu verarbeiten?

Sind alle Personen beim Dienstleister, die Zugriff auf Ihre Daten haben, einer Vertraulichkeitsverpflichtung unterworfen?

Beschreibt der AVV die technischen und organisatorischen Maßnahmen (TOM) des Dienstleisters nach Art. 32 DSGVO — oder verweist auf ein nachprüfbares TOM-Dokument?

Regelt der AVV, dass Unterauftragsverarbeiter nur mit vorheriger Zustimmung oder nach Benachrichtigung mit Widerspruchsrecht eingesetzt werden dürfen?

Verpflichtet der AVV den Dienstleister, Sie bei Betroffenenanfragen (Auskunft, Löschung, Datenübertragbarkeit) zu unterstützen?

Ist bei Vertragsende eine Rückgabe ODER Löschung aller personenbezogenen Daten inkl. Kopien geregelt — mit Löschnachweis?

Für Anbieter außerhalb der EU/EWR: Haben Sie einen gültigen Transfer-Mechanismus (EU-US DPF, Standardvertragsklauseln 2021/914, BCR oder Angemessenheitsbeschluss)?