Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsvertrag (AVV) ist die nach DSGVO Art. 28 zwingend vorgeschriebene Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter, sobald personenbezogene Daten weisungsgebunden durch einen Dienstleister verarbeitet werden. Ohne wirksamen AVV ist die Datenverarbeitung rechtswidrig und auch bußgeldbewehrt.
Detaillierte Erklärung
Der Auftragsverarbeitungsvertrag (AVV) ist das vertragliche Rückgrat jeder externen Datenverarbeitung, die im Auftrag eines Verantwortlichen erfolgt. Rechtsgrundlage ist DSGVO Art. 28, der seit Mai 2018 europaweit gilt und in Absatz 3 einen Katalog von acht Mindestinhalten in den Buchstaben (a) bis (h) festlegt — von der Weisungsbindung des Auftragsverarbeiters (lit. a) über die Vertraulichkeitsverpflichtung der eingesetzten Personen (lit. b), die technisch-organisatorischen Sicherheitsmaßnahmen nach Art. 32 (lit. c), die Regelung zum Einsatz weiterer Auftragsverarbeiter (lit. d), die Unterstützung bei der Wahrnehmung von Betroffenenrechten (lit. e), die Unterstützung bei DSFA, Meldepflichten und Sicherheit (lit. f), Löschung oder Rückgabe der Daten nach Auftragsende (lit. g) bis hin zu den Nachweis- und Auditpflichten gegenüber dem Verantwortlichen (lit. h). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt einen aktualisierten Mustertext bereit, der von Bundesbehörden und vielen Mittelständlern als Vorlage genutzt wird.
Zentral sind die technisch-organisatorische Maßnahmen, die als Anlage zum AVV beschrieben werden müssen. Sie umfassen nach DSGVO Art. 32 unter anderem Pseudonymisierung, Verschlüsselung, Verfügbarkeits- und Belastbarkeitsmaßnahmen sowie regelmäßige Überprüfungen — also klassische ISMS-Bausteine, die der TÜV oder externe Auditoren bestätigen. In der Einkaufspraxis ist der AVV längst Standard-Beilage in jedem SaaS-, Cloud-, Lohnabrechnungs- oder Telefondienstleistervertrag. Heikel wird es beim Drittlandtransfer: Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 reicht ein AVV allein nicht mehr aus, wenn Daten in Länder ohne Angemessenheitsbeschluss fließen. Zusätzlich nötig sind Standardvertragsklauseln (SCC) in der Fassung von 2021 sowie ein Transfer Impact Assessment. Für die USA hat die EU-Kommission am 10. Juli 2023 mit dem EU-US Data Privacy Framework einen neuen Angemessenheitsbeschluss erlassen — er deckt aber nur zertifizierte US-Empfänger ab, sodass der Einkauf jedes Mal prüfen muss, ob der konkrete Anbieter in der DPF-Liste steht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat 2023 klargestellt, dass die Verantwortlichkeit auch beim DPF-Transfer beim Verantwortlichen verbleibt.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Mittelständler mit 420 Mitarbeitern aus Bielefeld führt Microsoft 365 ein. Die Lizenzkosten betragen 12,50 Euro pro Nutzer und Monat, also rund 63.000 Euro pro Jahr. Der Einkauf zieht den AVV von Microsoft, das sogenannte Data Protection Addendum, heran und prüft drei Punkte: Erstens die Subunternehmerliste — Microsoft setzt rund 30 Subprozessoren ein, darunter Anbieter in den USA und Indien, was eine 14-tägige Widerspruchsfrist bei Änderungen erfordert. Zweitens die TOM-Anlage, in der unter anderem AES-256-Verschlüsselung, Mehrfaktor-Authentifizierung und ISO-27001-Zertifizierung dokumentiert sind. Drittens die Drittlandklausel: Microsoft ist im EU-US Data Privacy Framework gelistet, sodass der Transfer in die USA seit 2023 grundsätzlich erlaubt ist; für Backup-Replikation außerhalb DPF-konformer Rechenzentren werden zusätzlich SCC vereinbart. Die Verhandlung dauert 6 Wochen, kostet rund 4.800 Euro externe Anwaltskosten, und am Ende steht ein unterschriebener AVV — ohne den die Datenschutzaufsicht NRW im Worst Case ein Bußgeld von bis zu 4 Prozent des Konzernumsatzes verhängen könnte.
Typische Fehler & Verhandlungskontext
Erster Fehler: Der Einkauf akzeptiert den vom Anbieter vorgelegten AVV pauschal, ohne die Subunternehmerliste zu prüfen. Wenn dort plötzlich ein Datenzentrum in Vietnam auftaucht, fehlt der notwendige Drittland-Mechanismus und die gesamte Verarbeitung wird rechtswidrig.
Zweiter Fehler: Die TOM-Anlage wird als generische Floskelliste übernommen — Verschlüsselung, Zugriffskontrolle, Backups. Ohne konkrete Angaben zu Schlüssellängen, Recovery-Zeiten und Audit-Frequenz hat der Verantwortliche im Schadensfall keine belastbaren Nachweise gegenüber der Aufsichtsbehörde.
Dritter Fehler: Bei US-Anbietern wird angenommen, das Data Privacy Framework decke alles ab. In Wahrheit zertifizieren sich nicht alle Tochtergesellschaften, und die Liste muss vor Vertragsschluss auf der Website des US-Handelsministeriums geprüft werden. Schrems III ist von Datenschutzaktivisten bereits angekündigt — wer langfristige Verträge schließt, sollte Exit-Klauseln einplanen.
Verwandte Begriffe
Der AVV ist eingebettet in ein Geflecht aus [[dsgvo-compliance]], [[standardvertragsklauseln]] und [[technisch-organisatorische-massnahmen]], die zusammen den vollständigen Rechtsrahmen für jede externe Datenverarbeitung im DACH-Einkauf bilden.