Datenschutz in der Lieferkette - Auftragsverarbeitungsvertrag (AVV) richtig nutzen

Sobald Sie mit externen Dienstleistern arbeiten, kommt ein zentrales Thema ins Spiel:

der Auftragsverarbeitungsvertrag (AV-Vertrag oder AVV).

Viele Unternehmen haben zwar schon davon gehört, sind aber unsicher:

Wann brauche ich einen AV-Vertrag?
Was muss darin stehen?
Und was passiert, wenn ich keinen habe?

Die Realität zeigt:
Fehlende oder fehlerhafte AV-Verträge gehören zu den häufigsten DSGVO-Verstößen.

In diesem Beitrag erfahren Sie:

wann ein AV-Vertrag notwendig ist
welche Inhalte enthalten sein müssen
welche typischen Fehler Sie vermeiden sollten
und wie Sie AV-Verträge richtig einsetzen

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AV-Vertrag ist eine Vereinbarung zwischen:

Ihnen als Verantwortlicher
und einem Auftragsverarbeiter (Dienstleister)

Er regelt, wie personenbezogene Daten verarbeitet werden.

Wichtig:
Der Dienstleister darf die Daten nur nach Ihren Anweisungen verarbeiten.

Wann benötigen Sie einen AV-Vertrag?

Ein AV-Vertrag ist immer dann erforderlich, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.

Typische Beispiele

Sie benötigen einen AV-Vertrag bei:

Cloud-Anbietern (z. B. CRM-Systeme)
Hosting-Dienstleistern
Newsletter-Tools
IT-Support
Lohnabrechnung durch externe Anbieter
Bewerbermanagement-Systemen

Kurz gesagt:
Immer wenn ein externer Anbieter Zugriff auf personenbezogene Daten hat.

Wann ist kein AV-Vertrag notwendig?

Nicht jede Zusammenarbeit erfordert einen AV-Vertrag.

Beispiele ohne AV-Vertrag

Steuerberater (oft eigenständig Verantwortliche)
Rechtsanwälte
klassische Lieferanten ohne Datenzugriff

Hier handelt es sich meist um eigenständige Verantwortliche, nicht um Auftragsverarbeiter.

Warum ist der AV-Vertrag so wichtig?

Der AV-Vertrag ist gesetzlich vorgeschrieben (Art. 28 DSGVO).

Er sorgt dafür, dass:

Verantwortlichkeiten klar geregelt sind
Datenschutzstandards eingehalten werden
Risiken reduziert werden

Ohne AV-Vertrag liegt ein DSGVO-Verstoß vor.

Welche Inhalte muss ein AV-Vertrag haben?

Die DSGVO gibt klare Anforderungen vor.

Ein AV-Vertrag muss mindestens folgende Punkte enthalten:

1. Gegenstand und Dauer der Verarbeitung

Was wird verarbeitet?
Wie lange erfolgt die Verarbeitung?

2. Art und Zweck der Datenverarbeitung

Warum werden die Daten verarbeitet?
Welche Prozesse sind betroffen?

3. Art der personenbezogenen Daten

z. B. Kundendaten, Mitarbeiterdaten

4. Kategorien betroffener Personen

Kunden
Mitarbeiter
Bewerber

5. Pflichten und Rechte des Verantwortlichen

Sie behalten die Kontrolle.

6. Technische und organisatorische Maßnahmen (TOMs)

Der Dienstleister muss darlegen, wie er Daten schützt:

Verschlüsselung
Zugriffskontrollen
Sicherheitskonzepte

7. Regelung zu Unterauftragsverarbeitern

Darf der Dienstleister weitere Subunternehmer einsetzen?

8. Kontrollrechte

Sie müssen prüfen können, ob der Dienstleister die Vorgaben einhält.

9. Unterstützungspflichten

Der Dienstleister muss Sie unterstützen, z. B. bei:

Auskunftsanfragen
Datenschutzverletzungen

10. Löschung oder Rückgabe der Daten

Nach Vertragsende müssen Daten gelöscht oder zurückgegeben werden.

Typische Fehler in der Praxis

Viele Unternehmen machen bei AV-Verträgen ähnliche Fehler:

1. Kein AV-Vertrag vorhanden

Ein sehr häufiger und kritischer Fehler.

2. Standardverträge ungeprüft übernehmen

Viele Anbieter stellen Vorlagen bereit – diese werden oft ungeprüft akzeptiert.

Problem: Inhalte sind nicht immer vollständig oder passend.

3. Falsche Einordnung der Rolle

Ein Dienstleister wird als Auftragsverarbeiter behandelt, obwohl er eigenständig verantwortlich ist (oder umgekehrt).

4. Technische Maßnahmen nicht geprüft

Unternehmen verlassen sich auf Angaben des Dienstleisters, ohne diese zu hinterfragen.

5. Keine regelmäßige Aktualisierung

Verträge werden einmal abgeschlossen – und dann nie wieder überprüft.

Wie setzen Sie AV-Verträge richtig um?

Ein strukturierter Ansatz hilft Ihnen, Fehler zu vermeiden.

1. Überblick über Dienstleister erstellen

Listen Sie alle Anbieter auf, die Zugriff auf Daten haben.

2. Rolle prüfen

Ist der Dienstleister:

Auftragsverarbeiter oder
eigenständig Verantwortlicher?

3. AV-Vertrag abschließen

Nutzen Sie:

geprüfte Vorlagen
oder Verträge der Anbieter (nach Prüfung)

4. Inhalte prüfen

Achten Sie besonders auf:

Sicherheitsmaßnahmen
Unterauftragnehmer
Löschkonzepte

5. Dokumentation

Speichern Sie alle Verträge zentral und nachvollziehbar.

6. Regelmäßige Überprüfung

Überprüfen Sie:

Änderungen beim Dienstleister
neue Risiken
Aktualität der Verträge

Praxisbeispiel

Ein Unternehmen nutzt:

ein Newsletter-Tool
einen Cloud-Speicher
ein CRM-System

Alle drei Anbieter sind Auftragsverarbeiter.

Notwendig:

jeweils ein AV-Vertrag
Prüfung der Sicherheitsmaßnahmen
Dokumentation

Fehlt einer dieser Punkte → Risiko eines Verstoßes.

Welche Folgen drohen ohne AV-Vertrag?

Ein fehlender AV-Vertrag kann zu:

Bußgeldern
Beanstandungen durch Behörden
Vertrauensverlust
rechtlichen Risiken

führen.

Aufsichtsbehörden prüfen diesen Punkt besonders häufig.

Der Auftragsverarbeitungsvertrag ist ein zentrales Element des Datenschutzes in der Lieferkette.

Die wichtigsten Punkte:

AV-Vertrag ist Pflicht bei Auftragsverarbeitung
Inhalte müssen vollständig und korrekt sein
Dienstleister müssen geprüft werden
regelmäßige Aktualisierung ist notwendig

Wenn Sie hier sauber arbeiten, vermeiden Sie einen der häufigsten DSGVO-Fehler.

Sie möchten Ihre AV-Verträge prüfen oder neu erstellen?
Wir unterstützen Sie bei der rechtssicheren Umsetzung und prüfen Ihre Dienstleister.

Jetzt Beratung anfragen auf www.datenschutz-prinz.de

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Abonnieren Sie auch gerne unseren Blog für mehr Informationen rund um die Themen Datenschutz, KI, IT-Sicherheit und digitale Awareness.