AVV und Auftragsverarbeitung

AVV prüfen, bevor der Dienstleister startet

Viele Datenschutzrisiken entstehen nicht im eigenen Haus, sondern bei Dienstleistern. Ich prüfe AVV, AV-Verträge, technische Unterlagen und Dienstleisterangaben und ordne ein, ob die Auftragsverarbeitung nach Art. 28 DSGVO tragfähig ist.

Typische Fälle
Cloud, SaaS, Hosting, IT-Support, Lohnabrechnung, Newsletter
Rechtsgrundlage
Art. 28 DSGVO und konkrete Dienstleisterprüfung
Ergebnis
Klare Einschätzung: passt, nachbessern oder Risiko klären

Worum es geht

Eine AVV ist kein Papier für die Ablage.

Viele Unternehmen erhalten vom Dienstleister einen Standardvertrag zur Auftragsverarbeitung. Der wird schnell unterschrieben, weil das Projekt starten soll. Genau dort entstehen später Probleme: unklare Unterauftragnehmer, schwache TOM, Drittlandbezug, fehlende Löschregeln oder ein Vertrag, der nicht zur Leistung passt.

Eine Prüfung muss nicht kompliziert sein. Eine gute AVV Checkliste hilft dabei, die kritischen Punkte vor Vertragsstart zu klären. Das spart später viel Aufwand.

Prüfpunkte

Worauf bei einer AVV geachtet werden sollte.

01

Rolle klären

Liegt wirklich Auftragsverarbeitung vor oder ist der Dienstleister selbst verantwortlich oder gemeinsam verantwortlich?

02

Leistung beschreiben

Gegenstand, Dauer, Zweck, Datenarten und betroffene Personen müssen zur tatsächlichen Leistung passen.

03

TOM prüfen

Technische und organisatorische Maßnahmen müssen verständlich, passend und ausreichend konkret beschrieben sein.

04

Unterauftragnehmer

Subdienstleister, Änderungen und Widerspruchsmöglichkeiten müssen klar geregelt sein.

AVV Checkliste

Diese Punkte sollten vor der Unterschrift geklärt sein.

Eine AVV sollte nicht nur vorhanden sein. Sie muss zur Leistung, zu den Daten und zur tatsächlichen Nutzung passen. Diese Checkliste zeigt die wichtigsten Punkte für eine erste Prüfung.

1. Rolle und Leistung

Ist der Dienstleister wirklich Auftragsverarbeiter? Sind Zweck, Dauer, Datenarten und betroffene Personen passend beschrieben?

2. Schutzmaßnahmen

Sind die TOM konkret genug? Passen Zugriffsschutz, Verschlüsselung, Backup, Rechtekonzept und Löschung zum Risiko?

3. Unterauftragnehmer

Welche Subdienstleister werden eingesetzt? Gibt es klare Regeln für Änderungen, Information und Widerspruch?

4. Drittland und Nachweise

Findet eine Verarbeitung außerhalb der EU oder des EWR statt? Gibt es passende Unterlagen, Verträge und Sicherheitsnachweise?

5. Hilfe im Ernstfall

Unterstützt der Dienstleister bei Auskunft, Löschung, Sicherheitsvorfällen und Datenpannen schnell genug?

6. Ende der Zusammenarbeit

Ist geregelt, wann Daten zurückgegeben, gelöscht und Löschungen bestätigt werden?

Typische Fälle

Bei diesen Dienstleistern wird Auftragsverarbeitung häufig relevant.

Nicht jeder Dienstleister braucht eine AVV. Aber bei vielen digitalen Leistungen verarbeitet der Anbieter personenbezogene Daten für das Unternehmen. Dann sollte die Rolle sauber geprüft werden.

Hosting, Cloud und KI

Webhosting, Cloudspeicher, Server, Backup, Kollaborationstools, KI-Anbieter und Plattformdienste. Bei KI-Tools ist zusätzlich KI und Datenschutz zu prüfen.

HR und Lohn

Lohnabrechnung, Bewerbermanagement, Zeiterfassung, HR-Software und externe Personaldienstleistungen. Bei diesen Tools ist oft auch der Beschäftigtendatenschutz wichtig.

Marketing und CRM

Newsletter, CRM, Kampagnentools, Kundensupport, Analyse und Terminbuchung.

IT und Support

Fernwartung, IT-Support, Managed Services, Sicherheitsdienstleister und Softwarepflege.

Vertrag plus Realität

Der Vertrag muss zur tatsächlichen Nutzung passen.

Eine AVV kann formal gut aussehen und trotzdem nicht reichen. Entscheidend ist, was der Dienstleister wirklich macht: Welche Daten werden verarbeitet? Wo liegen die Daten? Wer hat Zugriff? Welche Unterauftragnehmer sind beteiligt? Wie werden Daten gelöscht?

Datenarten

Es macht einen Unterschied, ob nur Kontaktdaten oder sensible Beschäftigten- oder Gesundheitsdaten verarbeitet werden.

Drittlandbezug

Wenn Daten außerhalb der EU/des EWR verarbeitet werden, braucht es zusätzliche Prüfung.

Nachweise

Zertifikate, Sicherheitskonzepte und TOM sollten nicht nur angehängt, sondern kurz eingeordnet werden.

Projektstart

Die Prüfung sollte möglichst vor Nutzung des Tools erfolgen, nicht erst wenn ein Kunde nachfragt.

Ergebnis

Sie erhalten eine klare Einschätzung, keine Vertragsarchäologie.

Nach der Prüfung sollte klar sein, ob die AVV grundsätzlich passt, welche Punkte nachverhandelt werden sollten und ob zusätzliche Unterlagen oder Informationen vom Dienstleister nötig sind.

Wenn die Prüfung Teil eines größeren Datenschutz-Checks ist, lassen sich AVV und Dienstleisterunterlagen auch gesammelt betrachten. Das ist oft sinnvoll, wenn viele Dienstleister im Einsatz sind und niemand mehr genau weiß, welche Verträge aktuell sind. Bei Sicherheitsvorfällen beim Dienstleister kann außerdem eine Prüfung als Datenpanne nach DSGVO nötig werden.

Datenschutz-Check ansehen

Angebot

AVV gezielt prüfen lassen.

Einzelne AVV

nach Aufwand

Für Unternehmen, die eine konkrete AVV vor Start oder Verlängerung eines Dienstleisters prüfen möchten.

  • AVV und Anlagen prüfen
  • TOM und Unterauftragnehmer einordnen
  • Risiken benennen
  • Nachfragen vorbereiten

Dienstleister-Check

nach Umfang

Für Unternehmen mit mehreren Tools, Cloud-Diensten oder Dienstleistern.

  • Übersicht der Dienstleister
  • AVV-Status prüfen
  • Prioritäten setzen
  • Maßnahmenliste erstellen

Laufende Unterstützung

Retainer

Für Unternehmen, die regelmäßig neue Dienstleister und Tools prüfen müssen.

  • AVV prüfen
  • Fachbereiche unterstützen
  • Vorlagen verbessern
  • Freigabeprozess aufbauen

FAQ

Häufige Fragen zur AVV

Wann braucht ein Unternehmen eine AVV?

Regelmäßig dann, wenn ein Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Typische Beispiele sind Hosting, Cloud-Dienste, Lohnabrechnung, IT-Support, Newsletter-Tools oder SaaS-Lösungen.

Was wird bei einer AVV geprüft?

Unter anderem Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenarten, Betroffenengruppen, TOM, Unterauftragnehmer, Unterstützungspflichten, Löschung und Kontrollrechte.

Was gehört in eine AVV Checkliste?

Eine AVV Checkliste sollte vor allem Rolle, Zweck, Dauer, Datenarten, betroffene Personen, TOM, Unterauftragnehmer, Löschung, Unterstützungspflichten und Drittlandbezüge erfassen.

Reicht die Standard-AVV des Dienstleisters?

Manchmal ja, manchmal nicht. Der Vertrag muss zur konkreten Leistung, zu den Daten, zu den Unterauftragnehmern und zu den Schutzmaßnahmen passen.

Ist jeder Dienstleister ein Auftragsverarbeiter?

Nein. Manche Dienstleister sind eigene Verantwortliche oder es liegt eine gemeinsame Verantwortlichkeit vor. Deshalb sollte die Rolle zuerst geklärt werden.

Kann die Prüfung Teil eines Datenschutz-Audits sein?

Ja. Gerade bei mehreren Dienstleistern ist es sinnvoll, AVV im Rahmen eines Datenschutz-Checks gesammelt zu prüfen und zu priorisieren.

Nächster Schritt

Sie möchten eine AVV prüfen lassen?

Schicken Sie eine kurze Nachricht mit dem Dienstleister, der geplanten Nutzung und den vorhandenen Unterlagen. Dann lässt sich klären, ob eine schnelle Einzelprüfung reicht oder ein breiterer Dienstleister-Check sinnvoll ist.