Was ein AVV ist und warum er Pflicht ist
Ein Auftragsverarbeitungsvertrag (AVV) regelt das Verhältnis zwischen einem Verantwortlichen (Ihrem Unternehmen) und einem Auftragsverarbeiter (dem Dienstleister, der in Ihrem Auftrag Daten verarbeitet). Art. 28 Abs. 3 DSGVO schreibt die Schriftform vor — und macht einen gültigen AVV zur Voraussetzung für die rechtmäßige Auftragsverarbeitung.
Ohne AVV ist die Datenübermittlung an den Dienstleister eine unzulässige Datenweitergabe — selbst wenn der Anbieter technisch DSGVO-konform aufgestellt ist.
Wer ist Auftragsverarbeiter?
Ein Auftragsverarbeiter ist ein Dritter, der personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeitet. Merkmale:
- Verarbeitung im Namen des Verantwortlichen
- Kein eigener Entscheidungsspielraum über Zweck und Mittel
- Vertragliche Bindung an Weisungen
Typische Auftragsverarbeiter für SaaS-Unternehmen:
- Hosting-Provider (Vercel, AWS, Hetzner, Supabase)
- E-Mail-Dienstleister (Resend, Postmark, SendGrid)
- Analytics (PostHog, Matomo mit eigenem Hosting)
- CRM-Systeme (HubSpot, Salesforce — je nach Nutzung)
- Support-Tools (Intercom, Freshdesk)
- Cloud-Speicher (Backblaze B2, AWS S3)
Nicht Auftragsverarbeiter:
- Stripe (für Zahlungsabwicklung — eigenständig Verantwortlicher)
- Steuerberater (eigenständig Verantwortlicher für steuerliche Beratung)
- Banken (für eigene Geschäftsprozesse)
Was ein gültiger AVV enthalten muss
Nach Art. 28 Abs. 3 DSGVO muss der Vertrag mindestens regeln:
Gegenstand und Dauer
Art der Daten, Kategorien der Betroffenen, Zweck der Verarbeitung, Laufzeit.
Weisungsgebundenheit
Der Auftragsverarbeiter darf Daten nur auf Weisung des Verantwortlichen verarbeiten. Ausnahmen: rechtliche Verpflichtungen.
Technische und organisatorische Maßnahmen
Verweis auf TOMs-Anlage oder konkrete Beschreibung der Sicherheitsmaßnahmen (Art. 32 DSGVO).
Unterstützungspflichten
Auftragsverarbeiter muss bei Betroffenenrechtsanfragen (Auskunft, Löschung) helfen.
Meldepflichten
Datenpannen sind vom Auftragsverarbeiter unverzüglich zu melden — damit der Verantwortliche die 72-Stunden-Frist nach Art. 33 DSGVO einhalten kann.
Löschung oder Rückgabe
Nach Vertragsende müssen Daten gelöscht oder zurückgegeben werden.
Unterauftragsverarbeiter
Auftragsverarbeiter dürfen Unterauftragsverarbeiter nur mit Ihrer Genehmigung einsetzen. Viele große Anbieter haben eine "Generalgenehmigung" mit Änderungsbenachrichtigungspflicht vereinbart.
Prüfungsrecht
Verantwortliche müssen den Auftragsverarbeiter prüfen dürfen — entweder durch Audit oder durch Zertifizierungsnachweise (ISO 27001, SOC 2).
Wo Sie AVVs finden
Große Cloud-Anbieter haben den AVV als Standarddokument in den Nutzungsbedingungen integriert oder als separates Onlinedokument zugänglich:
- Vercel: DPA unter vercel.com/legal/dpa, akzeptierbar ohne separate Unterschrift
- Supabase: DPA unter supabase.com/privacy, erfordert bei manchen Plänen separate Anforderung
- AWS: AWS Data Processing Addendum automatisch aktiviert nach Aktivierung der Dienste
- Resend: DPA auf Anfrage via E-Mail
Kleinere Anbieter haben manchmal keinen standardisierten AVV. Hier müssen Sie aktiv nachfragen oder eine eigene Vorlage einbringen.
Musterklauseln der Aufsichtsbehörden
Wenn kein AVV-Vorlage vorhanden ist, können Sie die Standardvertragsklauseln (SCCs) der Europäischen Kommission für Auftragsverarbeitung (Annex II der Durchführungsbeschlüsse) als Basis verwenden. Alternativ stellen die deutschen Datenschutzkonferenzen Musterdokumente bereit.