Datenschutz

Auftragsverarbeitungsvertrag (AVV) Muster: Art. 28 DSGVO

AVV Muster nach Art. 28 DSGVO 2026: Pflichtinhalte, Subunternehmer-Klausel, TOMs, Haftung — vollständige Anleitung mit Checkliste.

TD
Dr. Thiébaut Devergranne
23. Mai 20266 min read

In einem Satz. Der Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 Absatz 3 DSGVO ist der schriftliche Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, der acht Pflichtinhalte regelt: Gegenstand, Dauer, Art und Zweck, Kategorien der Daten und Betroffenen, Pflichten und Rechte des Verantwortlichen, sowie acht spezifische Verarbeiterpflichten — von Weisungsgebundenheit bis Unterstützung bei Anfragen.

Ein fehlender oder mangelhafter AVV ist einer der häufigsten Sanktionsgründe in DSGVO-Aufsichtsverfahren. Die DSK hat 2018 ein Kurzpapier Nr. 13 zur Auftragsverarbeitung veröffentlicht; die EDPB-Leitlinie 07/2020 zur Begriffsbestimmung Controller/Processor präzisiert die Abgrenzung.

Wichtig: Microsoft-, Google-, AWS-Standardverträge sind häufig nicht vollständig DSGVO-konform — Custom-Klauseln zu Subunternehmern und Drittlandstransfer sind oft nötig.

Für den Auftragsverarbeitungs-Rahmen siehe Auftragsverarbeitung DSGVO. Für Drittlandstransfer Standardvertragsklauseln DSGVO.

Wichtige Punkte

  • AVV ist nach Art. 28 Absatz 3 DSGVO bei jeder Auftragsverarbeitung schriftlich verpflichtend.
  • Acht Pflichtinhalte; fehlende Klauseln machen den Vertrag insgesamt mangelhaft.
  • Subunternehmer-Genehmigung durch Verantwortlichen — explizit oder pauschal mit Widerspruchsrecht.
  • TOMs als Anlage konkretisieren, nicht als Generikum.
  • Verstöße sanktionierbar bis 10 Mio. € oder 2 % Umsatz nach Art. 83 Abs. 4 DSGVO.

1. Wann ist ein AVV erforderlich?

Bei jeder Auftragsverarbeitung — also wenn ein Dienstleister personenbezogene Daten weisungsgebunden im Auftrag eines anderen verarbeitet.

Klassische Beispiele:

  • Cloud-Hosting (AWS, Azure, Google Cloud, Hetzner)
  • SaaS-Tools (Salesforce, HubSpot, Slack, Notion, Asana)
  • IT-Wartung mit Datenzugriff
  • Lohnbuchhaltung extern
  • Newsletter-Versand (Mailchimp, Brevo, Mailjet)
  • Customer-Support-Outsourcing
  • Analytics-Anbieter (sofern keine Joint Controllership)

Kein AVV erforderlich bei:

  • Berufsverschwiegenheits-Berufen (Anwalt, Arzt, Steuerberater) — eigene Rechtsgrundlage
  • Reinen Telekommunikationsdiensten ohne Datenverarbeitung
  • Joint Controllership (dann Art. 26-Vereinbarung)

2. Die acht Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Nr. Pflichtinhalt
1 Gegenstand und Dauer der Verarbeitung
2 Art und Zweck der Verarbeitung
3 Kategorien personenbezogener Daten
4 Kategorien der Betroffenen
5 Pflichten und Rechte des Verantwortlichen
6 Bindung an Weisungen des Verantwortlichen
7 Vertraulichkeit der Personen
8 TOMs nach Art. 32

Zusätzlich (Art. 28 Abs. 3 Satz 2): Unterauftragnehmer-Regelung, Unterstützung bei Betroffenenrechten, Unterstützung bei Sicherheitspflichten, Löschung/Rückgabe, Nachweis-/Audit-Rechte.

3. AVV-Muster — die typische Struktur

§1 Gegenstand und Dauer “Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers für die in Anlage 1 beschriebenen Zwecke. Die Vereinbarung gilt für die Dauer des Hauptvertrags.”

§2 Art, Umfang, Zweck Anlage 1 spezifiziert Art (z.B. Speicherung, Organisation, Auswertung), Umfang (Datenkategorien) und Zweck (z.B. Bereitstellung CRM-Funktionalität).

§3 Weisungsbindung “Der Auftragnehmer verarbeitet ausschließlich auf dokumentierte Weisung des Auftraggebers.”

§4 Vertraulichkeit “Der Auftragnehmer verpflichtet zur Vertraulichkeit und stellt sicher, dass alle Personen, die Zugang zu Daten haben, vertraglich zur Vertraulichkeit verpflichtet sind.”

§5 TOMs Verweis auf Anlage 2 (konkrete TOMs).

§6 Subunternehmer Regelung der Unterauftragsverarbeitung (siehe Abschnitt 5).

§7 Unterstützungspflichten Bei Betroffenenrechten (Art. 12-22), DSFA (Art. 35-36), Sicherheit (Art. 32), Datenpannen (Art. 33-34).

§8 Audits Verantwortlicher hat Kontroll-/Auditrecht (oft delegierbar an externe Auditoren oder Zertifizierungen).

§9 Löschung/Rückgabe Nach Beendigung Löschung oder Rückgabe nach Wahl des Verantwortlichen.

§10 Drittlandstransfer Bei Verarbeitung außerhalb EU/EWR: SCC oder Angemessenheitsbeschluss erforderlich.

§11 Haftung Schadensersatz nach Art. 82 DSGVO.

4. Anlage 1 — Verarbeitungsbeschreibung

Zwingender Bestandteil. Mindestens:

  • Datenkategorien: z.B. Stammdaten, Kontaktdaten, Nutzungsdaten
  • Betroffenenkategorien: z.B. Kunden, Beschäftigte, Interessenten
  • Verarbeitungszwecke: konkret, nicht “Vertragserfüllung allgemein”
  • Verarbeitungsorte: Land, Rechenzentrum
  • Speicherdauer: konkrete Fristen oder Löschkonzept

5. Anlage 2 — TOMs

Häufiger Mangel: pauschale Aussagen wie “Stand der Technik”. Empfohlene Strukturierung nach den acht Schutzzielen:

Schutzziel Konkrete TOM-Beispiele
Vertraulichkeit Zutritts-, Zugangs-, Zugriffskontrolle
Integrität Eingabe-, Weitergabekontrolle
Verfügbarkeit Backup, Redundanz, BCM
Belastbarkeit Lastverteilung, Skalierung
Wiederherstellung RTO/RPO definiert
Bewertung TOMs Audits, Pen-Tests
Pseudonymisierung Hash, Tokenization
Verschlüsselung TLS 1.3, AES-256 at rest

6. Subunternehmer-Klausel — die zwei Modelle

Explizite Genehmigung (Art. 28 Abs. 2): Jeder neue Subunternehmer benötigt explizite schriftliche Zustimmung. Für KMU oft zu schwerfällig.

Pauschale Genehmigung mit Widerspruchsrecht: Auftragnehmer führt Liste, informiert Verantwortlichen vorab (typisch 30 Tage), dieser kann widersprechen. Praxisstandard bei Cloud-Anbietern.

Wichtig: Pflichtenkette muss durchgereicht werden — Sub-Subunternehmer haben identische Pflichten.

7. Drittlandstransfer-Klausel

Bei US-Cloud-Anbietern (AWS, Microsoft, Google) oder anderen Drittländern:

  • EU-US Data Privacy Framework (seit Juli 2023) als Angemessenheitsbeschluss
  • SCC (Standardvertragsklauseln, Module 2 für Controller-Processor)
  • TIA (Transfer Impact Assessment) nach Schrems II

Siehe ausführlich Standardvertragsklauseln DSGVO.

8. Audit-Rechte — was praktikabel ist

Art. 28 verlangt “Kontrollrechte”. Mögliche Ausgestaltung:

  • Vor-Ort-Audit durch Verantwortlichen oder beauftragten Dritten
  • Anerkennung Zertifizierungen (ISO 27001, SOC 2 Type II)
  • Selbstauskunft anhand standardisierter Fragebögen (CAIQ, SIG)
  • TOMs-Dokumentation mit aktuellen Stand

Praktischer Standard: Zertifikate plus jährliche Selbstauskunft; Vor-Ort-Audit bei begründetem Anlass.

9. Sanktionen bei fehlerhaften AVVs

Jahr Fall Sanktion Bezug
2019 Krankenhaus Rheinland-Pfalz 105k € Unzureichende TOMs in AVV
2021 Vodafone Spanien 8,15 Mio. € Mehrere AVV-Mängel
2022 Diverse Webhoster 5-50k € Subunternehmer-Klauseln
2023 E-Commerce DE 65k € Fehlender AVV mit Marketing-Tool
2024 Verlag NRW 100k € (Teilbetrag) TOMs nicht konkretisiert

10. AVV-Verhandlung mit großen Anbietern

Microsoft, Google, AWS bieten Standard-AVVs (sog. DPA — Data Processing Agreement). Häufige Punkte für Custom-Anpassung:

  • Subunternehmer-Liste granular
  • Audit-Modalitäten praxisgerecht
  • Datenpannen-Meldefristen (48h statt “ohne unangemessene Verzögerung”)
  • Konkretere TOMs als Anlage

Empfehlung: Standard-DPA mit zusätzlicher Anlage “Spezifische Anforderungen” überlagern.

11. Implementierungs-Checkliste

  • [ ] AVV-Inventar: alle Auftragsverarbeiter erfasst
  • [ ] Risikobasierte Priorisierung (welche Auftragsverarbeiter sind kritisch)
  • [ ] AVV-Mustertext intern abgestimmt
  • [ ] Anlage 1 (Verarbeitungsbeschreibung) standardisiert
  • [ ] Anlage 2 (TOMs) konkretisiert pro Dienst
  • [ ] Subunternehmer-Listen nachverfolgt
  • [ ] Drittlandstransfer dokumentiert (SCC/Angemessenheit)
  • [ ] Audit-Mechanismus definiert
  • [ ] Verzeichnis der Verarbeitungstätigkeiten verlinkt zum AVV

12. Werkzeuge

Legiscope führt ein AVV-Register, alarmiert bei abgelaufenen Verträgen und prüft Sub-Processor-Listen großer Cloud-Anbieter auf neue Eintragungen.

Verwandte Leitfäden: Auftragsverarbeitung DSGVO, Standardvertragsklauseln DSGVO, DSGVO Artikel 32 Sicherheit.

Fazit

Der AVV ist Vertragsstandard, nicht Vertragskunst. Aber pauschale Templates ohne Anlagenkonkretion sind eine Sanktionsfalle. Die Investition in einen sauberen AVV-Prozess zahlt sich bei jeder Aufsichtskontrolle und jeder Datenpanne aus.

FAQ

Wann ist ein AVV verpflichtend?

Bei jeder Auftragsverarbeitung — also wenn ein Dienstleister weisungsgebunden personenbezogene Daten im Auftrag verarbeitet. Cloud, SaaS, IT-Wartung mit Datenzugriff, Newsletter-Versand etc.

Reicht ein Cloud-Anbieter-Standard-DPA als AVV aus?

Meist nur teilweise. Microsoft-/Google-/AWS-DPAs decken die Art-28-Pflichtinhalte ab, aber konkrete TOMs und Verarbeitungsbeschreibung sind oft als ergänzende Anlage erforderlich.

Was passiert ohne AVV?

Verantwortlicher und Auftragnehmer sind gemeinsam verantwortlich für eine “Verarbeitung ohne Rechtsgrundlage”. Sanktionen bis 10 Mio. € oder 2 % des Konzernumsatzes nach Art. 83 Abs. 4.

Wie oft muss ein AVV aktualisiert werden?

Bei jeder wesentlichen Änderung (neue Datenkategorien, neue Subunternehmer, geänderte TOMs). Periodische Review mindestens jährlich empfohlen.

Wer haftet bei Datenpannen beim Auftragsverarbeiter?

Beide haften nach Art. 82 — Verantwortlicher gegenüber Betroffenen primär, mit Regressmöglichkeit gegen Auftragnehmer bei eigenem Verschulden des letzteren.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →