Datenschutz

AVV-Software: Auftragsverarbeitungsverträge verwalten

AVV-Software 2026: Auftragsverarbeitungsverträge nach Art. 28 DSGVO zentral verwalten, Subunternehmer-Ketten, SCC und TIA für Drittländer sowie Fristen.

Wann lohnt sich eine AVV-Software für die Verwaltung von Auftragsverarbeitungsverträgen? Kurzantwort: Sobald ein Unternehmen mehr als eine Handvoll Auftragsverarbeiter einsetzt — und das erreichen die meisten schneller als gedacht: Cloud-Speicher, Newsletter-Tool, CRM, Lohnbüro, IT-Dienstleister summieren sich rasch auf 30, 50 oder mehr. AVV-Software führt ein zentrales, mit dem Verarbeitungsverzeichnis verknüpftes Register der Verträge nach Art. 28 DSGVO, verfolgt Subunternehmer-Ketten, dokumentiert Standardvertragsklauseln und Transfer-Folgenabschätzungen für Drittländer und erinnert an Verlängerungen. Dieser Beitrag zeigt, was solche Software leisten muss und wo die Grenze zwischen Vertragsmanagement und Datenschutzplattform verläuft.

Key Takeaways

  • Art. 28 DSGVO verlangt für jeden Auftragsverarbeiter einen schriftlichen Vertrag mit den vorgeschriebenen Mindestinhalten.
  • Der Kern der Software ist ein zentrales AVV-Register, verknüpft mit dem Verzeichnis — jede Verarbeitung kennt ihre Auftragsverarbeiter und umgekehrt.
  • Subunternehmer-Ketten (Art. 28 Abs. 4) und Drittland-Transfers (SCC plus TIA) sind die beiden komplexesten Punkte.
  • Fristen und Audit-Erinnerungen verhindern, dass Verträge veralten oder Dienstleister ungeprüft wechseln.

Was Art. 28 DSGVO verlangt

Wer personenbezogene Daten durch einen Dienstleister verarbeiten lässt, braucht mit ihm einen Auftragsverarbeitungsvertrag (AVV). Art. 28 Abs. 3 DSGVO schreibt die Mindestinhalte vor: Gegenstand und Dauer, Art und Zweck, Art der Daten und Betroffenenkategorien, Weisungsbindung, Vertraulichkeit, technisch-organisatorische Maßnahmen, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe nach Auftragsende und Audit-Rechte. Fehlt ein AVV oder ist er unvollständig, haften Verantwortlicher und Auftragsverarbeiter beide.

Die Grundlagen erklärt unser Beitrag zur Auftragsverarbeitung nach DSGVO; fertige Vorlagen bieten unser AVV-Muster und der Auftragsverarbeitungsvertrag als Muster. Die Verträge zu haben ist die eine Hälfte; sie über die Zeit aktuell und prüfbar zu halten, die andere — und hier setzt Software an.

Warum das Register die zentrale Funktion ist

Der eigentliche Wert von AVV-Software liegt nicht im Speichern von PDF-Verträgen, sondern in der Verknüpfung. Jeder Auftragsverarbeiter gehört zu einer oder mehreren Verarbeitungstätigkeiten im Verarbeitungsverzeichnis. Kommt ein neuer Dienstleister hinzu, muss die zugehörige Verarbeitung ergänzt werden; fällt ein Dienstleister weg, ist zu prüfen, ob Daten zurückgegeben oder gelöscht wurden.

Ohne diese Verknüpfung entstehen die typischen Lücken: ein im Verzeichnis genannter Dienstleister ohne AVV, ein AVV ohne zugeordnete Verarbeitung, ein gekündigter Vertrag ohne Löschnachweis. In einer Behördenprüfung sind das die ersten Funde. Ein zentrales Register, das AVV und Verzeichnis synchron hält, schließt sie.

Funktion Warum entscheidend
Zentrales AVV-Register ein Ort statt E-Mail-Anhänge und Ordner
Verknüpfung mit Verzeichnis jede Verarbeitung kennt ihre Auftragsverarbeiter
Subunternehmer-Tracking Art. 28 Abs. 4 — Genehmigung und Kette
SCC- und TIA-Verwaltung Drittland-Transfers dokumentiert
Fristen und Wiedervorlagen Verlängerung, Nachverhandlung, Audit
TOM-Ablage je Dienstleister Nachweis der Sicherheitsprüfung
Statusübersicht offene, fehlende, ablaufende Verträge

Subunternehmer und Drittländer: die zwei komplexen Punkte

Subunternehmer-Ketten. Nach Art. 28 Abs. 4 DSGVO darf ein Auftragsverarbeiter Subunternehmer nur mit Genehmigung einsetzen und muss ihnen dieselben Datenschutzpflichten auferlegen. In der Praxis heißt das: Ihr Cloud-Anbieter nutzt Rechenzentren Dritter, Ihr CRM-Anbieter ein Hosting-Unternehmen. Software muss diese Ketten abbilden — wer setzt wen ein, wurde die Genehmigung erteilt, sind die Pflichten weitergereicht? Ein flaches AVV-Verzeichnis übersieht die zweite Ebene.

Drittland-Transfers. Verarbeitet ein Dienstleister Daten außerhalb der EU — oder ist er ein US-Konzern mit potenziellem Zugriff —, reicht der AVV nicht. Es braucht eine Transfergrundlage: einen Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften, ergänzt um eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA). Nach Schrems II ist das TIA Pflicht, nicht Kür. Der Europäische Datenschutzausschuss (EDPB) hat die Anforderungen in seinen Empfehlungen zu ergänzenden Maßnahmen konkretisiert. Software sollte pro Drittland-Dienstleister die Transfergrundlage und das TIA dokumentiert vorhalten.

Subprozessor-Ketten überwachen: eine Prüfkadenz

Die Genehmigung eines Subunternehmers ist kein einmaliger Akt — die Kette verändert sich, und nur eine feste Prüfkadenz hält sie aktuell. Bewährt hat sich ein gestaffelter Rhythmus.

Bei Vertragsschluss. Die vom Auftragsverarbeiter benannten Subunternehmer erfassen, ihre Standorte (EU oder Drittland) festhalten und die Genehmigungsform klären: pauschale Vorabgenehmigung mit Widerspruchsrecht oder Einzelgenehmigung. Beide sind zulässig; entscheidend ist, dass die gewählte Form dokumentiert ist.

Laufend über Benachrichtigungen. Seriöse Auftragsverarbeiter führen eine öffentliche Subprozessor-Liste und kündigen Änderungen mit Vorlauf an. Abonnieren Sie diese Benachrichtigungen und hinterlegen Sie sie im AVV-Register, damit ein neuer Sub-Dienstleister nicht unbemerkt in die Kette rutscht. Die Widerspruchsfrist — oft 30 Tage — ist knapp; wer sie verpasst, hat faktisch zugestimmt.

Quartalsweise Stichprobe. Einmal im Quartal die kritischen Dienstleister gegen ihre aktuelle Subprozessor-Liste abgleichen: Sind neue Subunternehmer hinzugekommen? Hat sich ein Standort in ein Drittland verschoben? Löst das ein neues TIA aus?

Jährliche Vollprüfung. Einmal im Jahr die gesamte Kette systematisch durchgehen — parallel zur AVV-Fristenprüfung. Dabei auch die TOM-Nachweise der Subunternehmer aktualisieren.

Der Grund für diese Kadenz ist die Haftung: Der Verantwortliche bleibt für die gesamte Kette verantwortlich, auch für Subunternehmer, die er nie direkt beauftragt hat. Ein Cloud-Anbieter, der still ein Rechenzentrum in einem Drittland zuschaltet, verändert Ihre Transfer-Situation, ohne dass Sie einen Vertrag unterschrieben haben. Software, die Subprozessor-Listen, Widerspruchsfristen und TIA-Auslöser an einer Stelle bündelt, macht aus dieser Daueraufgabe einen beherrschbaren Prozess statt einer jährlichen Panikaktion. Wichtig ist, die Kadenz an das Risiko zu koppeln: Ein Hosting-Anbieter mit Zugriff auf sämtliche Kundendaten verdient die quartalsweise Prüfung, ein reines Newsletter-Tool mit E-Mail-Adressen genügt der jährliche Turnus.

Der Lebenszyklus eines AVV

Ein AVV ist kein Dokument, das man einmal unterschreibt und ablegt, sondern durchläuft einen Zyklus, den Software abbilden muss.

Aufnahme. Ein neuer Dienstleister wird eingeführt. Vor der ersten Datenübermittlung muss der AVV geschlossen und die zugehörige Verarbeitung ins Verzeichnis eingetragen sein — nicht danach.

Prüfung der TOM. Der Auftragsverarbeiter muss hinreichende Garantien für angemessene Sicherheitsmaßnahmen bieten (Art. 28 Abs. 1). Seine technisch-organisatorischen Maßnahmen gehören dokumentiert und bei der Auswahl geprüft — ein Punkt, den Behörden zunehmend abfragen.

Laufende Überwachung. Wechselt der Dienstleister einen Subunternehmer, ändert er seine TOM oder verlegt er Server in ein Drittland, muss das erfasst und bewertet werden. Ohne Wiedervorlagen bemerkt niemand solche Änderungen.

Beendigung. Endet der Auftrag, sind die Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g) — und dieser Schritt ist zu belegen. Ein AVV-Bestand ohne Löschnachweise bei beendeten Verträgen ist ein typischer Prüfungsfund.

Software, die diesen Zyklus führt, verhindert die drei häufigsten Lücken: der Dienstleister ohne AVV, der veraltete Vertrag und der beendete Auftrag ohne Löschnachweis. Ein statischer Ordner voller PDF-Verträge leistet das nicht.

Vertragsmanagement gegen Datenschutzplattform

Es gibt zwei Softwarewege, und sie eignen sich für unterschiedliche Bedürfnisse.

Generische Vertragsmanagement-Software (CLM-Tools) verwaltet Verträge aller Art mit Fristen, Freigaben und Volltextsuche. Sie ist stark im reinen Vertragslebenszyklus, kennt aber die DSGVO-Logik nicht — keine Verknüpfung mit dem Verzeichnis, kein TIA-Modul, keine Subunternehmer-Kette im datenschutzrechtlichen Sinn.

Datenschutzplattformen (etwa Legiscope, DataGuard, OneTrust im Enterprise-Segment) behandeln den AVV als Teil des Datenschutz-Managements: Das Register ist mit Verzeichnis, DSFA und Betroffenenrechten verbunden. Für ein Unternehmen, das AVV nicht isoliert, sondern im Datenschutzkontext führt, ist das der richtige Weg. Preisrahmen für ein KMU: 2.000 bis 12.000 € pro Jahr als Teil der Plattform; der breitere Vergleich steht in unserem DSGVO-Software-Vergleich.

Die Faustregel: Wer nur AVV verwalten will und schon ein CLM hat, kann dort ein AVV-Modul führen. Wer Datenschutz als Ganzes steuert, gehört auf die Plattform — sonst driften AVV-Register und Verzeichnis auseinander.

Ein praktischer Hinweis zur Einführung: Beginnen Sie nicht mit dem Vertrag, sondern mit der Liste der Dienstleister. In fast jedem Unternehmen ist diese Liste länger als gedacht, weil Fachabteilungen eigenständig Tools einführen — ein Umfrage-Tool im Marketing, ein Transkriptionsdienst im Vertrieb, ein KI-Assistent in der IT. Erst wenn diese Schatten-Dienstleister vollständig erfasst sind, lässt sich beurteilen, für welche ein AVV fehlt und welche in ein Drittland übermitteln. Software, die diese Bestandsaufnahme strukturiert und mit dem Verzeichnis abgleicht, deckt genau die Lücken auf, die eine Behörde als Erstes findet.

FAQ

Ab wann brauche ich AVV-Software?

Sobald Sie mehr als etwa zehn Auftragsverarbeiter einsetzen oder Drittland-Transfers und Subunternehmer-Ketten ins Spiel kommen. Bis dahin genügt ein sauber gepflegtes Register mit guten Vorlagen. Darüber hinaus wird die manuelle Pflege — Fristen, Verknüpfung mit dem Verzeichnis, TIA-Dokumentation — schnell fehleranfällig und aufwendiger als die Software kostet.

Was passiert ohne AVV mit einem Dienstleister?

Der Einsatz eines Auftragsverarbeiters ohne wirksamen AVV verstößt gegen Art. 28 DSGVO und kann von der Aufsichtsbehörde geahndet werden — beide Parteien haften. In Prüfungen ist der Abgleich von Verzeichnis und AVV-Bestand ein Standardschritt; jeder genannte Dienstleister ohne zugeordneten Vertrag ist ein sofortiger Fund.

Reicht der AVV für einen US-Dienstleister aus?

Nein. Für Dienstleister mit Datenverarbeitung außerhalb der EU oder US-Konzernbezug braucht es zusätzlich eine Transfergrundlage — Angemessenheitsbeschluss, Standardvertragsklauseln oder BCR — plus eine Transfer-Folgenabschätzung (TIA) nach Schrems II. Software sollte diese Nachweise pro Drittland-Dienstleister dokumentiert vorhalten.

Was ist der Unterschied zwischen CLM und AVV-Software?

Generische Vertragsmanagement-Software (CLM) verwaltet Verträge aller Art, kennt aber die DSGVO-Logik nicht. AVV-Software als Teil einer Datenschutzplattform verknüpft die Verträge mit dem Verarbeitungsverzeichnis, bildet Subunternehmer-Ketten datenschutzrechtlich ab und verwaltet SCC und TIA. Für reines Vertragsmanagement genügt CLM; für Datenschutz-Compliance braucht es die Plattform-Sicht.

Fazit

Auftragsverarbeitungsverträge sind kein einmaliges Dokument, sondern ein laufender Bestand, der mit dem Verzeichnis synchron bleiben muss. AVV-Software liefert das zentrale Register, verfolgt Subunternehmer-Ketten und Drittland-Transfers und erinnert an Fristen — die drei Punkte, an denen die manuelle Verwaltung reißt. Ob ein CLM-Modul oder eine Datenschutzplattform der richtige Weg ist, hängt davon ab, ob Sie nur Verträge oder den gesamten Datenschutz steuern. Kaufen Sie für den Abgleich, den die Behörde als Erstes macht: Verzeichnis gegen AVV-Bestand.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →