In einem Satz. Ein AVV-Muster ist die Vorlage für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO, den Sie mit jedem Dienstleister abschließen müssen, der in Ihrem Auftrag personenbezogene Daten verarbeitet (Cloud, Newsletter, Lohnbüro, IT-Wartung) — er muss zehn Pflichtinhalte enthalten und schriftlich oder elektronisch vorliegen.
Sobald ein externer Anbieter weisungsgebunden mit Ihren Kunden- oder Beschäftigtendaten arbeitet, liegt eine Auftragsverarbeitung vor. Ohne AVV ist die Datenweitergabe rechtswidrig. Dieser Beitrag liefert ein vollständiges, kopierbares Muster und erklärt, wie Sie es rechtssicher anpassen. Grundlagen dazu im Leitfaden Auftragsverarbeitung.
Wichtige Punkte
- Pflicht nach Art. 28 Abs. 3 DSGVO für jeden Auftragsverarbeiter.
- Zehn Pflichtinhalte — fehlt einer, ist der Vertrag angreifbar.
- Schriftform nicht nötig, aber elektronische Textform (Art. 28 Abs. 9).
- Bußgeld bis 10 Mio. € / 2 % des Umsatzes (Art. 83 Abs. 4).
- Verantwortlich bleibt immer der Auftraggeber (Verantwortlicher).
Wann brauche ich einen AVV?
Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet, ohne eigene Zwecke zu verfolgen. Typische Fälle:
| Dienstleister | AVV nötig? |
|---|---|
| Cloud-/Hosting-Anbieter | Ja |
| E-Mail-/Newsletter-Tool | Ja |
| Externe Lohnbuchhaltung | Ja |
| CRM-/Ticketing-SaaS | Ja |
| IT-Fernwartung, Support | Ja |
| Steuerberater, Rechtsanwalt | Nein (eigenverantwortlich, Berufsgeheimnis) |
| Bank, Post, Paketdienst | Nein (eigene Verantwortlichkeit) |
Bei Steuerberatern und Anwälten liegt keine Auftragsverarbeitung vor, weil sie fachlich eigenverantwortlich handeln — hier greift eine gemeinsame oder getrennte Verantwortlichkeit, kein AVV. Details im Leitfaden für Steuerberater.
Das vollständige AVV-Muster
VERTRAG ZUR AUFTRAGSVERARBEITUNG (AVV)
nach Art. 28 Abs. 3 DSGVO
zwischen
[Firma, Anschrift] – nachfolgend "Verantwortlicher" –
und
[Firma, Anschrift] – nachfolgend "Auftragsverarbeiter" –
§ 1 Gegenstand und Dauer
(1) Gegenstand des Auftrags ist: [z. B. Bereitstellung einer
Cloud-CRM-Lösung, Versand von Newslettern].
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags vom [Datum].
§ 2 Art, Zweck, Umfang der Verarbeitung
(1) Art der Verarbeitung: Erheben, Speichern, Auslesen, Übermitteln,
Löschen.
(2) Zweck: [konkreter Zweck].
(3) Kategorien betroffener Personen: [Kunden, Interessenten,
Beschäftigte].
(4) Kategorien personenbezogener Daten: [Name, Kontakt, Vertrags-
daten, Nutzungsdaten].
§ 3 Weisungsrecht (Art. 28 Abs. 3 lit. a)
Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf
dokumentierte Weisung des Verantwortlichen. Weisungen werden in
Textform erteilt; mündliche Weisungen werden unverzüglich schriftlich
bestätigt.
§ 4 Vertraulichkeit (Art. 28 Abs. 3 lit. b)
Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung
befassten Personen zur Vertraulichkeit (Art. 29, Art. 32 Abs. 4) und
weist dies auf Verlangen nach.
§ 5 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c,
Art. 32)
Der Auftragsverarbeiter trifft die in Anlage 1 (TOM) beschriebenen
Maßnahmen und hält sie auf dem Stand der Technik.
§ 6 Unterauftragsverarbeiter (Art. 28 Abs. 2, 4)
(1) Die Beauftragung von Unterauftragsverarbeitern bedarf der
vorherigen [allgemeinen/gesonderten] Zustimmung.
(2) Genehmigte Unterauftragnehmer sind in Anlage 2 gelistet.
(3) Bei Wechsel informiert der Auftragsverarbeiter rechtzeitig; der
Verantwortliche kann widersprechen.
§ 7 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Anträgen
Betroffener (Art. 15–22) mit geeigneten technischen und
organisatorischen Maßnahmen.
§ 8 Unterstützung bei Pflichten (Art. 28 Abs. 3 lit. f, Art. 32–36)
Der Auftragsverarbeiter unterstützt bei Datensicherheit, Meldung von
Datenpannen (Art. 33/34) und Datenschutz-Folgenabschätzungen (Art. 35).
§ 9 Datenpannen
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung
des Schutzes personenbezogener Daten unverzüglich, spätestens binnen
24 Stunden nach Kenntnis.
§ 10 Löschung/Rückgabe (Art. 28 Abs. 3 lit. g)
Nach Abschluss der Leistung löscht oder gibt der Auftragsverarbeiter
alle Daten nach Wahl des Verantwortlichen zurück und vernichtet
Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 11 Nachweise und Audits (Art. 28 Abs. 3 lit. h)
Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum
Nachweis bereit und ermöglicht Überprüfungen (auch Vor-Ort-Audits)
durch den Verantwortlichen oder beauftragte Prüfer.
§ 12 Drittlandtransfer
Eine Übermittlung in Drittländer erfolgt nur bei Vorliegen eines
Angemessenheitsbeschlusses oder geeigneter Garantien (Art. 44 ff.,
Standardvertragsklauseln).
Ort, Datum – Unterschriften beider Parteien
Anlage 1: TOM | Anlage 2: Unterauftragsverarbeiter
So passen Sie das Muster an
- § 2 konkretisieren. Vage Formulierungen wie „alle Daten" reichen nicht. Benennen Sie Datenkategorien und Betroffenengruppen exakt — sie müssen zu Ihrem Verzeichnis von Verarbeitungstätigkeiten passen.
- Anlage 1 (TOM) ausfüllen. Verweisen Sie nicht nur pauschal, sondern legen Sie die konkreten Maßnahmen bei. Eine Vorlage dazu bietet unser TOM-Muster.
- § 6 Unterauftragnehmer wählen. Entscheiden Sie zwischen allgemeiner Genehmigung (mit Widerspruchsrecht) und Einzelgenehmigung. Große Cloud-Anbieter arbeiten fast nur mit allgemeiner Genehmigung.
- Drittland prüfen (§ 12). Nutzt der Dienstleister US-Server, brauchen Sie Standardvertragsklauseln und ein Transfer Impact Assessment.
- Meldefrist (§ 9) verhandeln. 24 Stunden sind praxisüblich, damit Sie Ihre eigene 72-Stunden-Frist nach Art. 33 einhalten können.
AVV oder gemeinsame Verantwortlichkeit?
Nicht jede Datenweitergabe ist Auftragsverarbeitung. Entscheidend ist, wer über Zwecke und Mittel der Verarbeitung bestimmt. Der Auftragsverarbeiter handelt weisungsgebunden und verfolgt keine eigenen Zwecke — genau deshalb passt der AVV nach Art. 28. Verfolgen dagegen zwei Stellen gemeinsam einen Zweck und legen gemeinsam die Mittel fest, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor. Dann ist kein AVV, sondern eine Vereinbarung über die Verteilung der Pflichten zu schließen. Typische Fälle gemeinsamer Verantwortlichkeit sind Fanpages sozialer Netzwerke (EuGH C-210/16 Wirtschaftsakademie) oder eingebundene Social-Plugins (EuGH C-40/17 Fashion ID).
Die maßgebliche Auslegungshilfe liefert die Leitlinie 07/2020 des Europäischen Datenschutzausschusses zu den Begriffen Verantwortlicher und Auftragsverarbeiter. Die Abgrenzung hat praktische Folgen: Beim AVV bleibt die Steuerungshoheit beim Verantwortlichen, beim Art.-26-Modell teilen sich beide Stellen die Pflichten und haften gegenüber Betroffenen gesamtschuldnerisch. Wer die Konstellation falsch einordnet, schließt den falschen Vertrag — und steht im Aufsichtsverfahren ohne tragfähige Grundlage da. Prüfen Sie deshalb vor jeder Vertragsgestaltung, ob der Partner wirklich nur weisungsgebunden arbeitet oder eigene Zwecke verfolgt. Die Einordnung gehört dokumentiert und in das Verarbeitungsverzeichnis übernommen, damit jede Datenweitergabe ihre korrekte Rechtsgrundlage erhält.
Rolle der TOM im AVV
Der AVV verweist auf die technischen und organisatorischen Maßnahmen — er ersetzt sie aber nicht. Der Auftragsverarbeiter muss ein dem Risiko angemessenes Schutzniveau nach Art. 32 nachweisen, und der Verantwortliche muss dies vor der Beauftragung prüfen (Art. 28 Abs. 1: „hinreichende Garantien"). In der Praxis bedeutet das: Fordern Sie die TOM-Dokumentation, ein etwaiges ISO-27001-Zertifikat oder einen SOC-2-Bericht an und legen Sie ihn dem AVV bei. Ein Vertrag, der pauschal „angemessene Maßnahmen" verspricht, ohne sie zu benennen, genügt der Aufsicht nicht.
Häufige Fehler
- Kein AVV bei „kleinen" Tools. Auch Analytics-, Chat- oder Terminbuchungs-Tools verarbeiten personenbezogene Daten. Vodafone GmbH wurde 2025 mit 45 Mio. € sanktioniert — unter anderem wegen mangelhafter Kontrolle von Partnern und Auftragsverarbeitern.
- AVV des Anbieters ungeprüft unterschreiben. Anbieter-Vorlagen sichern oft den Auftragsverarbeiter ab, nicht Sie. Prüfen Sie Weisungsrecht, Audit-Recht und Löschpflichten.
- TOM-Anlage fehlt. Ein AVV ohne konkrete TOM ist unvollständig — der Verweis auf Art. 32 allein genügt der Aufsicht nicht.
- Unterauftragnehmer nicht dokumentiert. Die Kette muss lückenlos sein; jeder Sub-Prozessor braucht seinerseits einen AVV.
- Keine Kontrolle nach Abschluss. Der Verantwortliche bleibt haftbar (Art. 28 Abs. 1) und muss die Einhaltung tatsächlich überwachen, nicht nur vertraglich vereinbaren.
Wer viele Auftragsverarbeiter steuert, verliert schnell den Überblick. Legiscope verwaltet AVV, TOM-Anlagen und Unterauftragnehmer zentral und verknüpft sie automatisch mit dem Verarbeitungsverzeichnis, sodass jede Verarbeitung ihren Vertrag kennt.
FAQ
Muss ein AVV unterschrieben werden?
Art. 28 Abs. 9 DSGVO verlangt keine handschriftliche Unterschrift, sondern erlaubt ausdrücklich die elektronische Form. Ein per E-Mail bestätigter oder im Anbieterportal akzeptierter AVV ist wirksam. Aus Nachweisgründen ist eine dokumentierte Zustimmung dennoch dringend zu empfehlen.
Wer haftet bei einem Datenschutzverstoß des Dienstleisters?
Grundsätzlich haften beide (Art. 82 Abs. 2). Gegenüber dem Betroffenen kann der Verantwortliche voll in Anspruch genommen werden und muss sich intern beim Auftragsverarbeiter regressieren. Deshalb ist die sorgfältige Auswahl und Kontrolle des Dienstleisters (Art. 28 Abs. 1) zentral.
Reicht ein AVV für alle Dienstleister?
Nein. Jede Auftragsverarbeitung braucht einen eigenen, auf die konkrete Leistung zugeschnittenen Vertrag. Ein Standard-AVV kann als Grundlage dienen, muss aber je Dienstleister in §§ 2, 6 und Anlage 1 individualisiert werden.
Braucht ein Steuerberater einen AVV?
Nein. Steuerberater, Rechtsanwälte und Wirtschaftsprüfer handeln fachlich eigenverantwortlich und unterliegen einem Berufsgeheimnis. Sie sind eigene Verantwortliche, keine Auftragsverarbeiter — ein AVV wäre rechtlich unpassend.
Darf der Auftragsverarbeiter Unterauftragnehmer einsetzen?
Nur mit Ihrer Genehmigung (Art. 28 Abs. 2). Möglich ist eine allgemeine Genehmigung mit Widerspruchsrecht bei Wechsel oder eine gesonderte Genehmigung im Einzelfall. Wichtig: Der Unterauftragnehmer muss dieselben Datenschutzpflichten übernehmen wie der Hauptauftragsverarbeiter (Art. 28 Abs. 4), und die Verantwortung des Erstauftragsverarbeiters für dessen Handeln bleibt bestehen. Führen Sie die genehmigten Unterauftragnehmer in Anlage 2 und aktualisieren Sie diese bei jedem Wechsel.
Fazit
Der AVV ist das Standarddokument jeder Dienstleisterbeziehung mit Datenbezug. Nutzen Sie das Muster als Grundlage, füllen Sie die TOM-Anlage konkret aus und prüfen Sie Drittlandtransfers. Entscheidend ist nicht nur der unterschriebene Vertrag, sondern die tatsächliche Kontrolle — denn die Verantwortung bleibt bei Ihnen. Rechtsgrundlage und Volltext des Art. 28 finden Sie bei EUR-Lex.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial