AVV (Auftragsverarbeitungsvertrag): Wann du einen brauchst

Sobald du einen externen Dienstleister einsetzt, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das ist keine Empfehlung, sondern eine gesetzliche Pflicht nach Art. 28 DSGVO. Und in der Praxis betrifft das fast jedes Unternehmen — denn schon der Einsatz von Google Analytics, einem Newsletter-Tool oder einem Cloud-Hoster löst die AVV-Pflicht aus.

In diesem Artikel erklären wir, was ein AVV ist, wann du einen brauchst, was darin stehen muss und mit welchen Diensten die meisten Unternehmen einen AVV abschließen sollten.

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) — in der DSGVO “Vertrag über die Auftragsverarbeitung” genannt — regelt die Rechte und Pflichten zwischen dir als Verantwortlichem und einem Auftragsverarbeiter. Der Auftragsverarbeiter ist jeder Dienstleister, der in deinem Auftrag und nach deinen Weisungen personenbezogene Daten verarbeitet.

Wichtig: Der AVV ersetzt keine Einwilligung der betroffenen Personen. Er regelt das Verhältnis zwischen dir und deinem Dienstleister — nicht zwischen dir und deinen Nutzern.

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Nicht jede Datenweitergabe an einen Dritten ist Auftragsverarbeitung. Es gibt drei Konstellationen:

Auftragsverarbeitung (Art. 28 DSGVO)

Der Dienstleister verarbeitet Daten in deinem Auftrag und nach deinen Weisungen. Er hat keinen eigenen Zweck für die Verarbeitung. Beispiel: Dein Hosting-Anbieter speichert die Daten deiner Kunden auf seinen Servern, aber nur, weil du ihn damit beauftragt hast.

Ergebnis: AVV erforderlich.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Beide Parteien entscheiden gemeinsam über Zweck und Mittel der Verarbeitung. Beispiel: Du und ein Partner betreiben gemeinsam eine Plattform und nutzen die Nutzerdaten für jeweils eigene und gemeinsame Zwecke.

Ergebnis: Vereinbarung nach Art. 26 DSGVO erforderlich (kein klassischer AVV).

Eigenständige Verantwortlichkeit

Der Dritte verarbeitet die Daten für eigene Zwecke. Beispiel: Du übermittelst Kundendaten an eine Bank zur Bonitätsprüfung. Die Bank handelt als eigenständiger Verantwortlicher.

Ergebnis: Kein AVV nötig, aber du brauchst eine Rechtsgrundlage für die Übermittlung.

Wann brauchst du einen AVV? Typische Dienste

Hosting und Infrastruktur

• Webhosting-Anbieter: IONOS, Hetzner, Strato, ALL-INKL, Netcup etc.
• Cloud-Dienste: AWS, Google Cloud, Microsoft Azure
• CDN-Anbieter: Cloudflare, BunnyCDN, Fastly
• Datenbank-Hosting: PlanetScale, Supabase, MongoDB Atlas

Jeder Hosting-Anbieter, der deine Website oder Datenbank hostet, hat Zugriff auf personenbezogene Daten (mindestens IP-Adressen und Server-Logs). Ein AVV ist Pflicht.

Analytics und Tracking

• Google Analytics (GA4): Google ist Auftragsverarbeiter für GA4-Daten
• Matomo (Cloud): Matomo Cloud verarbeitet Daten in deinem Auftrag
• Hotjar: Session-Recordings und Heatmaps enthalten personenbezogene Daten
• Plausible (Cloud): Auch datenschutzfreundliche Analytics brauchen einen AVV, wenn sie als Cloud-Dienst genutzt werden

Ausnahme: Self-hosted Matomo oder Plausible auf deinem eigenen Server — hier bist du selbst der Verarbeiter.

E-Mail und Kommunikation

• Newsletter-Dienste: Brevo (Sendinblue), Mailchimp, CleverReach, Rapidmail
• Transaktionale E-Mails: Postmark, SendGrid, Amazon SES
• E-Mail-Hosting: Google Workspace, Microsoft 365

Newsletter-Dienste verarbeiten E-Mail-Adressen, Namen und Öffnungsverhalten deiner Abonnenten. Ein AVV ist zwingend.

CRM und Kundenverwaltung

• CRM-Systeme: Salesforce, HubSpot, Pipedrive
• Helpdesk: Zendesk, Freshdesk, Intercom
• Buchungstools: Calendly, Doctolib

Zahlungsabwicklung

• Payment-Anbieter: Stripe, PayPal (teilweise), Mollie
• Buchhaltungssoftware: Lexoffice, sevDesk, DATEV

Achtung: Bei PayPal ist die Einordnung umstritten. PayPal agiert teilweise als eigenständiger Verantwortlicher (z.B. bei Käuferschutz), teilweise als Auftragsverarbeiter. PayPal bietet einen AVV an — den Abschluss empfehlen wir in jedem Fall.

Consent Management und Compliance

• Cookie-Banner-Anbieter: Compliso, Cookiebot, Usercentrics
• Rechtstexte-Hoster: Dienste, die deine Datenschutzerklärung hosten

Auch dein CMP-Anbieter verarbeitet personenbezogene Daten (Consent-Entscheidungen, IP-Adressen). Ein AVV ist auch hier Pflicht.

Weitere Dienste

• Schriftarten-CDNs: Google Fonts (wenn extern geladen — besser lokal einbinden!)
• Video-Hosting: Vimeo, Wistia (YouTube ist Google, nicht klassische Auftragsverarbeitung)
• Umfragetools: Typeform, Google Forms, SurveyMonkey
• A/B-Testing: Optimizely, VWO

Was muss in einem AVV stehen?

Art. 28 Abs. 3 DSGVO listet die Mindestinhalte eines AVV auf:

Pflichtinhalte

• Gegenstand und Dauer der Verarbeitung: Was wird verarbeitet und wie lange?
• Art und Zweck der Verarbeitung: Welche Verarbeitungstätigkeiten werden durchgeführt und warum?
• Art der personenbezogenen Daten: Welche Datenkategorien (E-Mail, IP-Adresse, Name, etc.)?
• Kategorien betroffener Personen: Wessen Daten werden verarbeitet (Kunden, Website-Besucher, Mitarbeiter)?
• Weisungsgebundenheit: Der Auftragsverarbeiter darf Daten nur nach deiner Weisung verarbeiten
• Vertraulichkeitspflicht: Mitarbeiter des Auftragsverarbeiters unterliegen der Vertraulichkeit
• Technische und organisatorische Maßnahmen (TOMs): Beschreibung der Sicherheitsmaßnahmen
• Subunternehmer: Regelung zum Einsatz von Unterauftragsverarbeitern (mit oder ohne Genehmigungsvorbehalt)
• Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter muss dich bei Auskunfts-, Löschungs- und anderen Anfragen unterstützen
• Löschung nach Ende: Daten müssen nach Vertragsende gelöscht oder zurückgegeben werden
• Nachweispflicht und Audits: Du musst das Recht haben, die Einhaltung zu überprüfen
• Meldepflicht bei Datenschutzverletzungen: Der Auftragsverarbeiter muss Verstöße unverzüglich melden

Wo bekommst du AVVs?

Die meisten großen Anbieter stellen standardisierte AVVs bereit:

• Google: Data Processing Agreement im Admin-Panel
• Stripe: DPA auf der Website verfügbar
• Brevo (Sendinblue): AVV im Account-Bereich
• Hetzner, IONOS: AVV im Kundenbereich
• Mailchimp: Data Processing Addendum
• AWS, Azure: DPA als Teil der Nutzungsbedingungen

Du musst diese AVVs aktiv abschließen — sie gelten nicht automatisch. Bei den meisten Anbietern findest du den AVV im Datenschutz- oder Compliance-Bereich des Accounts.

Checkliste: AVV-Pflichten erfüllen

• Liste aller Dienstleister erstellen, die personenbezogene Daten verarbeiten
• Für jeden Dienstleister prüfen: Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder eigenständig?
• AVV mit jedem Auftragsverarbeiter abschließen
• TOMs des Auftragsverarbeiters prüfen (reichen die Sicherheitsmaßnahmen aus?)
• Subunternehmer-Liste des Auftragsverarbeiters prüfen (Drittlandtransfers?)
• AVVs zentral dokumentieren und archivieren
• Regelmäßig prüfen: Neue Dienste hinzugekommen, die einen AVV brauchen?
• In der Datenschutzerklärung auf Auftragsverarbeiter hinweisen

Was passiert ohne AVV?

Ein fehlender AVV ist ein eigenständiger DSGVO-Verstoß nach Art. 28. Die Folgen:

• Bußgelder: Bis zu 10 Millionen Euro oder 2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
• In der Praxis: Die Behörden verhängen bei KMU Bußgelder im Bereich von einigen Tausend Euro
• Haftung: Bei einem Datenschutzvorfall ohne AVV haftest du als Verantwortlicher voll — auch für Fehler des Dienstleisters

Dienste automatisch erkennen mit Compliso

Der Compliso Scanner erkennt automatisch alle Third-Party-Dienste auf deiner Website. Für jeden erkannten Dienst siehst du, ob ein AVV erforderlich ist. So findest du schnell heraus, welche Verträge dir noch fehlen — bevor es eine Behörde oder ein Abmahnanwalt tut.

Erfahre mehr über den Compliso Website-Scanner oder scanne deine Website jetzt kostenlos und finde heraus, welche Dienste auf deiner Seite einen AVV erfordern.