Datenschutz in der Lieferkette - Auftragsverarbeitungsvertrag (AVV) richtig nutzen

Sobald Sie mit externen Dienstleistern arbeiten, kommt ein zentrales Thema ins Spiel:

der Auftragsverarbeitungsvertrag (AV-Vertrag oder AVV).

Viele Unternehmen haben zwar schon davon gehört, sind aber unsicher:

  • Wann brauche ich einen AV-Vertrag?
  • Was muss darin stehen?
  • Und was passiert, wenn ich keinen habe?

Die Realität zeigt:
Fehlende oder fehlerhafte AV-Verträge gehören zu den häufigsten DSGVO-Verstößen.

In diesem Beitrag erfahren Sie:

  • wann ein AV-Vertrag notwendig ist
  • welche Inhalte enthalten sein müssen
  • welche typischen Fehler Sie vermeiden sollten
  • und wie Sie AV-Verträge richtig einsetzen

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AV-Vertrag ist eine Vereinbarung zwischen:

  • Ihnen als Verantwortlicher
  • und einem Auftragsverarbeiter (Dienstleister)

Er regelt, wie personenbezogene Daten verarbeitet werden.

Wichtig:
Der Dienstleister darf die Daten nur nach Ihren Anweisungen verarbeiten.

Wann benötigen Sie einen AV-Vertrag?

Ein AV-Vertrag ist immer dann erforderlich, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.

Typische Beispiele

Sie benötigen einen AV-Vertrag bei:

  • Cloud-Anbietern (z. B. CRM-Systeme)
  • Hosting-Dienstleistern
  • Newsletter-Tools
  • IT-Support
  • Lohnabrechnung durch externe Anbieter
  • Bewerbermanagement-Systemen

Kurz gesagt:
Immer wenn ein externer Anbieter Zugriff auf personenbezogene Daten hat.

Wann ist kein AV-Vertrag notwendig?

Nicht jede Zusammenarbeit erfordert einen AV-Vertrag.

Beispiele ohne AV-Vertrag
  • Steuerberater (oft eigenständig Verantwortliche)
  • Rechtsanwälte
  • klassische Lieferanten ohne Datenzugriff


Hier handelt es sich meist um eigenständige Verantwortliche, nicht um Auftragsverarbeiter.

Warum ist der AV-Vertrag so wichtig?

Der AV-Vertrag ist gesetzlich vorgeschrieben (Art. 28 DSGVO).

Er sorgt dafür, dass:

  • Verantwortlichkeiten klar geregelt sind
  • Datenschutzstandards eingehalten werden
  • Risiken reduziert werden

Ohne AV-Vertrag liegt ein DSGVO-Verstoß vor.

Welche Inhalte muss ein AV-Vertrag haben?

Die DSGVO gibt klare Anforderungen vor.

Ein AV-Vertrag muss mindestens folgende Punkte enthalten:

1. Gegenstand und Dauer der Verarbeitung
  • Was wird verarbeitet?
  • Wie lange erfolgt die Verarbeitung?
2. Art und Zweck der Datenverarbeitung
  • Warum werden die Daten verarbeitet?
  • Welche Prozesse sind betroffen?
3. Art der personenbezogenen Daten
  • z. B. Kundendaten, Mitarbeiterdaten
4. Kategorien betroffener Personen
  • Kunden
  • Mitarbeiter
  • Bewerber
5. Pflichten und Rechte des Verantwortlichen

Sie behalten die Kontrolle.

6. Technische und organisatorische Maßnahmen (TOMs)

Der Dienstleister muss darlegen, wie er Daten schützt:

  • Verschlüsselung
  • Zugriffskontrollen
  • Sicherheitskonzepte

7. Regelung zu Unterauftragsverarbeitern

Darf der Dienstleister weitere Subunternehmer einsetzen?

8. Kontrollrechte

Sie müssen prüfen können, ob der Dienstleister die Vorgaben einhält.

9. Unterstützungspflichten

Der Dienstleister muss Sie unterstützen, z. B. bei:

  • Auskunftsanfragen
  • Datenschutzverletzungen

10. Löschung oder Rückgabe der Daten

Nach Vertragsende müssen Daten gelöscht oder zurückgegeben werden.


Typische Fehler in der Praxis

Viele Unternehmen machen bei AV-Verträgen ähnliche Fehler:

1. Kein AV-Vertrag vorhanden

Ein sehr häufiger und kritischer Fehler.

2. Standardverträge ungeprüft übernehmen

Viele Anbieter stellen Vorlagen bereit – diese werden oft ungeprüft akzeptiert.

Problem: Inhalte sind nicht immer vollständig oder passend.

3. Falsche Einordnung der Rolle

Ein Dienstleister wird als Auftragsverarbeiter behandelt, obwohl er eigenständig verantwortlich ist (oder umgekehrt).

4. Technische Maßnahmen nicht geprüft

Unternehmen verlassen sich auf Angaben des Dienstleisters, ohne diese zu hinterfragen.

5. Keine regelmäßige Aktualisierung

Verträge werden einmal abgeschlossen – und dann nie wieder überprüft.

Wie setzen Sie AV-Verträge richtig um?

Ein strukturierter Ansatz hilft Ihnen, Fehler zu vermeiden.

1. Überblick über Dienstleister erstellen

Listen Sie alle Anbieter auf, die Zugriff auf Daten haben.

2. Rolle prüfen

Ist der Dienstleister:

  • Auftragsverarbeiter oder
  • eigenständig Verantwortlicher?

3. AV-Vertrag abschließen

Nutzen Sie:

  • geprüfte Vorlagen
  • oder Verträge der Anbieter (nach Prüfung)

4. Inhalte prüfen

Achten Sie besonders auf:

  • Sicherheitsmaßnahmen
  • Unterauftragnehmer
  • Löschkonzepte

5. Dokumentation

Speichern Sie alle Verträge zentral und nachvollziehbar.

6. Regelmäßige Überprüfung

Überprüfen Sie:

  • Änderungen beim Dienstleister
  • neue Risiken
  • Aktualität der Verträge

Praxisbeispiel

Ein Unternehmen nutzt:

  • ein Newsletter-Tool
  • einen Cloud-Speicher
  • ein CRM-System

Alle drei Anbieter sind Auftragsverarbeiter.

Notwendig:

  • jeweils ein AV-Vertrag
  • Prüfung der Sicherheitsmaßnahmen
  • Dokumentation

Fehlt einer dieser Punkte → Risiko eines Verstoßes.

Welche Folgen drohen ohne AV-Vertrag?

Ein fehlender AV-Vertrag kann zu:

  • Bußgeldern
  • Beanstandungen durch Behörden
  • Vertrauensverlust
  • rechtlichen Risiken

führen.

Aufsichtsbehörden prüfen diesen Punkt besonders häufig.

Der Auftragsverarbeitungsvertrag ist ein zentrales Element des Datenschutzes in der Lieferkette.

Die wichtigsten Punkte:

  • AV-Vertrag ist Pflicht bei Auftragsverarbeitung
  • Inhalte müssen vollständig und korrekt sein
  • Dienstleister müssen geprüft werden
  • regelmäßige Aktualisierung ist notwendig

Wenn Sie hier sauber arbeiten, vermeiden Sie einen der häufigsten DSGVO-Fehler.

Sie möchten Ihre AV-Verträge prüfen oder neu erstellen?
Wir unterstützen Sie bei der rechtssicheren Umsetzung und prüfen Ihre Dienstleister.

Jetzt Beratung anfragen auf www.datenschutz-prinz.de

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Mythos DSGVO – „Unternehmen müssen ständig Bußgeld...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.