Was ist eine Auftragsverarbeitung (AVV)?

Ein AVV ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter nach Art. 28 DSGVO. Sie regelt, wie personenbezogene Daten im Auftrag verarbeitet werden dürfen und stellt sicher, dass der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen zum Datenschutz einhält.

Wann brauche ich eine AVV?

Wenn du personenbezogene Daten im Auftrag (z. B. Kundendaten, Nutzerinformationen oder Gesundheitsdaten) für andere verarbeitest, musst du mit diesen Kunden eine AVV abschließen. Die AVV ist ein zentrales Instrument, um den Anforderungen der DSGVO gerecht zu werden und Vertrauen bei Kunden aufzubauen.

Was steht in einem AVV drin?

Kurz gesagt: Worum es bei der Datenverarbeitung geht, was erlaubt ist, wie lange gespeichert wird, welche Schutzmaßnahmen gelten und was nach Vertragsende passiert. Außerdem wird klar geregelt, wer welche Verantwortung trägt.

Standardbedingungen für Auftragsverarbeitungen v1.0

Version 1.0

Stand: 5. Oktober 2025

Diese Allgemeinen Bedingungen für Auftragsverarbeitungen (Version 1.0) werden dauerhaft unter dieser URL bereitgestellt. Künftige Änderungen erscheinen unter einer neuen Versionsnummer auf einer separaten Seite.

Mehr zur Auftragsverarbeitung

Pflichten und Mitwirkung des Auftragsverarbeiters

1.1

Der Auftragsverarbeiter verarbeitet personenbezogene Daten entsprechend den Weisungen des Verantwortlichen. Der Verantwortliche kann dem Auftragsverarbeiter Änderungen seiner Weisungen in Textform mitteilen. Für Weisungen, die zu einer Verarbeitung außerhalb des Geltungsbereichs der Auftragsverarbeitung führen würden (z. B. aufgrund der Einführung eines neuen Verarbeitungszwecks), ist eine vorherige schriftliche Vereinbarung zwischen den Parteien erforderlich.

1.2

Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er zu der Einschätzung gelangt, dass eine Weisung gegen geltende Datenschutzvorschriften verstößt. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Umsetzung der Weisung auszusetzen, bis der Verantwortliche sie bestätigt oder abändert. Offensichtlich rechtswidrige Weisungen kann der Auftragsverarbeiter ablehnen. Eine weitergehende rechtliche Überprüfung der Weisungen durch den Auftragsverarbeiter ist nicht vorgesehen.

1.3

Der Auftragsverarbeiter stellt sicher, dass seine Mitarbeiter sorgfältig ausgewählt werden, zur Vertraulichkeit verpflichtet sind und regelmäßig an Datenschutzschulungen teilnehmen.

1.4

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung eines angemessenen Schutzniveaus für personenbezogene Daten durch geeignete TOMs.

1.5

Wird eine Verletzung oder ein begründeter Verdacht auf eine Verletzung des Schutzes personenbezogener Daten festgestellt, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen bereit und unterstützt ihn bei der Einleitung geeigneter Maßnahmen, einschließlich etwaiger Meldungen an Aufsichtsbehörden oder betroffene Personen.

1.6

Soweit eine Datenschutzfolgenabschätzung gesetzlich vorgeschrieben ist, stellt der Auftragsverarbeiter dem Verantwortlichen auf Verlangen die erforderlichen Informationen zur Verfügung und leistet angemessene Unterstützung.

1.7

Gehen beim Verantwortlichen Anfragen oder Mitteilungen von betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten ein, unterstützt der Auftragsverarbeiter den Verantwortlichen auf dessen Anweisung in angemessenem Umfang. Er stellt auf Anfrage relevante Informationen zur Verfügung.

1.8

Auf Weisung des Verantwortlichen berichtigt, löscht oder sperrt der Auftragsverarbeiter personenbezogene Daten.

Technische und organisatorische Maßnahmen

2.1

Der Auftragsverarbeiter implementiert und hält die im Anlage B des Auftragsformulars vereinbarten TOMs aufrecht, um die Verletzung personenbezogener Daten zu verhindern.

2.2

Der Auftragsverarbeiter dokumentiert die TOMs und stellt dem Verantwortlichen auf Anfrage die entsprechenden Unterlagen zur Verfügung, inklusive vorhandener Zertifikate.

2.3

Der Auftragsverarbeiter überprüft regelmäßig die Wirksamkeit der TOMs und passt diese bei Bedarf an. Auf Verlangen übermittelt er dem Verantwortlichen eine aktuelle Beschreibung der TOMs.

Löschung und Rückgabe personenbezogener Daten

3.1

Nach Abschluss der vereinbarten Verarbeitungsleistungen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Weisung des Verantwortlichen zurück. Vorhandene Kopien werden ebenfalls gelöscht, sofern keine gesetzliche Verpflichtung zur weiteren Aufbewahrung besteht. Der Verantwortliche kann während der Laufzeit der Auftragsverarbeitung zusätzliche Löschfristen vorgeben.

3.2

Der Auftragsverarbeiter stellt sicher, dass auch eingesetzte Unterauftragnehmer die Rückgabe oder Löschung der Daten entsprechend umsetzen.

3.3

Die erfolgte Löschung ist zu dokumentieren. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage einen Nachweis über die vollständige Rückgabe oder Löschung zur Verfügung. Nachweise über die ordnungsgemäße Datenverarbeitung dürfen über den Leistungszeitraum hinaus gespeichert werden, soweit dies gesetzlich erforderlich ist.

Audit

4.1

Der Auftragsverarbeiter stellt dem Verantwortlichen auf begründete Anfrage die erforderlichen Informationen zur Überprüfung der Einhaltung seiner datenschutzrechtlichen Verpflichtungen zur Verfügung.

4.2

Wenn der Auftragsverarbeiter keine ausreichenden Informationen oder Nachweise bereitstellt oder wenn dies nach geltendem Datenschutzrecht oder durch eine zuständige Behörde verlangt wird, ermöglicht der Auftragsverarbeiter eine Überprüfung der Verarbeitung personenbezogener Daten vor Ort. Die Überprüfung ist mit angemessener Frist anzukündigen, erfolgt während der üblichen Geschäftszeiten und darf den Geschäftsbetrieb nicht unangemessen beeinträchtigen. Der Auftragsverarbeiter wirkt an der Durchführung der Prüfung mit.

4.3

Anfragen von nationalen Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Daten leitet der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiter. Darüber hinaus unterstützt er den Verantwortlichen bei der Kommunikation mit den Behörden und der Bearbeitung entsprechender Prüfungsersuchen.

Unterauftragsverhältnisse

5.1

Der Verantwortliche stimmt dem Einsatz der im Auftragsformular aufgeführten Unterauftragnehmer zu. Sofern im Auftragsformular ein Link angegeben ist, gelten die dort gelisteten Unterauftragnehmer. Der Einsatz neuer oder der Austausch bzw. die Entfernung bestehender Unterauftragnehmer durch den Auftragsverarbeiter bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen.

5.2

Unterauftragnehmer dürfen ausschließlich auf Grundlage eines schriftlichen Vertrags beauftragt werden, der sicherstellt, dass sie denselben Verpflichtungen unterliegen, die auch dem Auftragsverarbeiter im Rahmen der Auftragsverarbeitung obliegen. Dies beinhaltet insbesondere die Einhaltung vereinbarter TOMs sowie die Verpflichtung, Auskunftsrechte zu gewähren und Auditmöglichkeiten für den Verantwortlichen zu ermöglichen.

5.3

Der Auftragsverarbeiter verpflichtet die Unterauftragnehmer, ihrerseits keine weiteren Unterauftragnehmer ohne vorherige schriftliche Zustimmung des Verantwortlichen und unter Einhaltung der festgelegten Bedingungen zu beauftragen.

5.4

Erfüllt der Unterauftragnehmer seine ihm auferlegten Datenschutzverpflichtungen nicht, haftet der Auftragnehmer gegenüber dem Verantwortlichen für die Erfüllung von dessen Verpflichtungen gemäß den Bestimmungen der Vereinbarung.

Internationale Datenübertragung

6.1

Personenbezogene Daten werden ausschließlich in den im Auftragsformular vereinbarten Ländern verarbeitet.

6.2

Sollte eine Übertragung personenbezogener Daten in ein Drittland vereinbart sein, erfolgt diese unter Einhaltung angemessener Sicherheitsmaßnahmen gemäß Art. 45 und 46 DSGVO und im Einklang mit den Datenschutzgesetzen.

6.3

Verarbeiten der Auftragsverarbeiter oder seine Unterauftragnehmer personenbezogene Daten in einem Drittland, so gelten die Standardvertragsklauseln (der Verantwortliche ist "Datenexporteur", der Auftragsverarbeiter "Datenimporteur"). Bei Widersprüchen haben die Standardvertragsklauseln Vorrang.

6.4

Soweit personenbezogene Daten in Länder mit Angemessenheitsbeschluss gemäß Art. 45 DSGVO übertragen werden, finden die Standardvertragsklauseln keine Anwendung. Sollte ein Angemessenheitsbeschluss aufgehoben oder ausgesetzt werden, gelten die vorgenannten Regelungen automatisch.

Laufzeit und Kündigung

7.1

Die Vereinbarung tritt mit Abschluss des im Auftragsformular genannten Hauptvertrages in Kraft und endet automatisch mit dessen Beendigung. Die Rechte aus der Vereinbarung kann der Verantwortliche so lange geltend machen, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag verarbeitet.

7.2

Jede Partei kann die Vereinbarung aus wichtigem Grund außerordentlich kündigen, wenn die andere Partei eine wesentliche Vertragspflicht verletzt und diese Verletzung nicht innerhalb einer angemessenen Frist nach schriftlicher Aufforderung behebt.

7.3

Widerspricht der Verantwortliche aus berechtigten datenschutzrechtlichen Gründen der Hinzuziehung, dem Austausch oder der Entfernung eines Unterauftragnehmers und ist die Erbringung der Leistung ohne diese Änderung für den Auftragsverarbeiter nicht zumutbar, kann der Auftragsverarbeiter die Vereinbarung mit einer Frist von 30 Tagen kündigen.

Haftung

8.1

Werden gegenüber einer Partei Schadenersatzansprüche im Zusammenhang mit der Verarbeitung personenbezogener Daten geltend gemacht, informiert sie die andere Partei unverzüglich darüber. Für den Verantwortlichen gilt dies nur, wenn die geltend gemachten Ansprüche auf einer Pflichtverletzung des Auftragsverarbeiters beruhen.

8.2

Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die im Zusammenhang mit der beauftragten Datenverarbeitung geltend gemacht werden – es sei denn, der Auftragsverarbeiter hat weisungswidrig gehandelt.

8.3

Die Haftung des Auftragsverarbeiters ist bei einfacher Fahrlässigkeit auf typische und vorhersehbare Schäden begrenzt. Dies gilt nicht bei Vorsatz, grober Fahrlässigkeit oder bei Verletzung von Leben, Körper oder Gesundheit sowie in Fällen gesetzlicher Haftung.

Schlussbestimmungen

9.1

Im Falle eines Widerspruchs zwischen den Regelungen der Vereinbarung und den Bestimmungen des Hauptvertrags gehen die Regelungen der Vereinbarung vor.

9.2

Keine der Parteien erhält für die Erfüllung ihrer Pflichten aus der Vereinbarung eine Vergütung, sofern nicht ausdrücklich in dieser oder einer anderen Vereinbarung etwas anderes geregelt ist.

9.3

Sofern im Rahmen der Vereinbarung eine schriftliche Zustimmung oder Mitwirkung erforderlich ist, genügt auch die Textform (z. B. per E-Mail).

9.4

Ausschließlicher Gerichtsstand für alle Streitigkeiten im Zusammenhang mit der Vereinbarung einschließlich ihrer Wirksamkeit ist, soweit zulässig, der Sitz des Auftragsverarbeiters.

9.5

Sollten einzelne Bestimmungen der Vereinbarung ganz oder teilweise ungültig oder unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, anstelle der ungültigen oder unwirksamen Bestimmung eine rechtlich und wirtschaftlich möglichst nahekommende gültige und wirksame Regelung zu vereinbaren.

9.6

Sollten einzelne Bestimmungen der Vereinbarung ganz oder teilweise unklar oder lückenhaft sein, so ist die Auslegung oder Ergänzung in einer Weise vorzunehmen, die dem Geist, dem Inhalt und dem Zweck der Vereinbarung am besten entspricht.

10.

Definitionen

10.1

"Datenschutzgesetze" bezeichnet sämtliche anwendbaren datenschutzrechtlichen Bestimmungen des Staates, in dem der Verantwortliche seinen Sitz hat, einschließlich der DSGVO, sowie alle weiteren Datenschutzvorgaben, die im Zusammenhang mit dem Hauptvertrag auf den Verantwortlichen Anwendung finden.

10.2

"DSGVO" bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679, wie sie in den jeweiligen Mitgliedstaaten der Europäischen Union durch nationales Recht umgesetzt ist.

10.3

"Parteien" bezeichnet die beiden Vertragsparteien die die Vereinbarung unterzeichnen.

10.4

"Partei" bezeichnet eine der Parteien einzeln.

10.5

"Personenbezogene Daten" sind gemäß der Definition der DSGVO Informationen über eine bestimmte oder bestimmbare natürliche Person, die vom Auftragsverarbeiter im Rahmen der Leistungserbringung für den Verantwortlichen gemäß dieser Auftragsverarbeitung verarbeitet werden.

10.6

"Standardklauseln" sind die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (gem. Beschluss 2010/87/EU) für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum an Auftragsverarbeiter in Drittstaaten – einschließlich der ergänzenden Angaben zu Art der Datenverarbeitung und den getroffenen technischen und organisatorischen Maßnahmen.

10.7

"Unterauftragnehmer" bezeichnet Drittparteien, die der Auftragsverarbeiter zur Durchführung von Leistungen einsetzt, welche in direktem Zusammenhang mit der Hauptleistung stehen. Nicht erfasst sind Dienstleister für unterstützende Aufgaben wie Telekommunikation, Transport, Entsorgung, Wartung oder Sicherheitsmaßnahmen zur Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Datenverarbeitungssysteme.

10.8

"Nutzungsdaten" sind Daten und Informationen über Bereitstellung, Nutzung und Leistung des Cloud Services und verwandter Angebote, basierend auf der Nutzung durch den Kunden.

10.9

"Verantwortlicher", "Betroffene Person", "Verletzung des Schutzes personenbezogener Daten", "Auftragsverarbeiter" und "Verarbeiten" entsprechen den Definitionen der DSGVO.

Rechtliches

Impressum Nutzungsbedingungen Datenschutz Cookie-Richtlinie

Cookie-Einstellungen

Unternehmen

Blog Kontakt

Produkt

Vorlagen Changelog

Social