Auftragsverarbeitungsvertrag (AVV): Was ist das und wann ist er Pflicht?
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist ein nach Art. 28 DSGVO vorgeschriebener Vertrag, wenn ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt. Er regelt Daten, Zweck, Sicherheit und Rechte des Auftraggebers.
- Ein AVV nach Art. 28 DSGVO ist bei jeder Auftragsverarbeitung gesetzlich vorgeschrieben.
- Der Vertrag muss Gegenstand, Dauer, Art, Zweck, Datenkategorien und Pflichten des Auftragsverarbeiters regeln.
- Fehlt ein AVV, drohen DSGVO-Bussgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag zwischen einem Unternehmen als Verantwortlichem und einem externen Dienstleister als Auftragsverarbeiter, der personenbezogene Daten im Auftrag dieses Unternehmens verarbeitet. Art. 28 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, diesen Vertrag vor Beginn der Datenverarbeitung abzuschliessen. Ohne gültigen AVV ist jede Datenübermittlung an den Dienstleister rechtswidrig — unabhängig davon, ob es sich um ein KI-Tool, einen Cloud-Anbieter oder einen klassischen IT-Dienstleister handelt.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist mehr als eine formale Pflichterfüllung. Er dokumentiert die Grundlage, auf der ein externer Dienstleister Daten für Ihr Unternehmen verarbeiten darf. Das Kernelement ist die Weisungsgebundenheit: Der Dienstleister handelt nicht eigenständig, sondern ausschliesslich nach Ihren Anweisungen und darf Daten nicht für eigene Zwecke nutzen.
Aus DSGVO-Sicht bleibt das beauftragende Unternehmen immer der Verantwortliche — es trägt die datenschutzrechtliche Gesamtverantwortung gegenüber den betroffenen Personen. Der externe Dienstleister ist Auftragsverarbeiter: verlängerter Arm Ihres Unternehmens, nicht eigenständige datenverarbeitende Stelle.
Dieses Prinzip hat praktische Konsequenzen. Wenn Ihr KI-Anbieter eine Datenpanne erleidet, sind Sie als Verantwortlicher gegenüber Betroffenen und Aufsichtsbehörden in der Pflicht — egal ob der Anbieter seinen Sitz in Hamburg oder San Francisco hat. Der AVV stellt sicher, dass Sie den Anbieter rechtlich in die Pflicht nehmen können.
Wann ist ein AVV gesetzlich vorgeschrieben?
Ein AVV ist immer dann erforderlich, wenn drei Bedingungen gleichzeitig erfüllt sind:
- Ein externes Unternehmen (kein interner Mitarbeiter) verarbeitet personenbezogene Daten
- Diese Verarbeitung erfolgt im Auftrag und nach Weisung Ihres Unternehmens
- Die Daten betreffen natürliche Personen (Kunden, Mitarbeiter, Nutzer, Bewerber usw.)
In der Praxis bedeutet das: Fast jedes digitale Business-Tool, das Sie einsetzen, löst eine AVV-Pflicht aus. E-Mail-Marketing-Plattformen, CRM-Systeme, HR-Tools, Cloud-Speicher und KI-Assistenten verarbeiten personenbezogene Daten — und damit brauchen Sie einen AVV, bevor Sie diese Dienste nutzen.
Kein AVV erforderlich ist hingegen, wenn:
- Ausschliesslich anonymisierte oder aggregierte Daten übermittelt werden, die keinen Personenbezug mehr aufweisen
- Der Dienstleister die Daten für eigene Zwecke nutzt (dann liegt gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eigenständige Verarbeitung vor)
- Es sich um interne Mitarbeiter handelt, die im Rahmen ihres Beschäftigungsverhältnisses tätig sind
Gerade bei KI-Tools ist die Abgrenzung nicht immer eindeutig. Wenn ein Anbieter Eingabedaten zum Training seiner Modelle nutzt, kann das die Grenze zur eigenständigen Verarbeitung überschreiten. In solchen Fällen reicht ein AVV allein nicht aus — es braucht eine eigenständige Rechtsgrundlage nach Art. 6 DSGVO.
Was muss ein AVV enthalten? (Art. 28 DSGVO Mindestinhalt)
Art. 28 Abs. 3 DSGVO schreibt den Mindestinhalt verbindlich vor. Der Vertrag muss folgende Punkte regeln:
Pflichtangaben zum Verarbeitungsgegenstand:
- Gegenstand der Verarbeitung (z.B. Speicherung von Kundendaten, Analyse von Kommunikationsinhalten)
- Dauer der Verarbeitung (Vertragslaufzeit, Löschfristen nach Vertragsende)
- Art und Zweck der Verarbeitung (konkrete Tätigkeiten und Verwendungszwecke)
- Art der personenbezogenen Daten (z.B. Name, E-Mail-Adresse, IP-Adresse, Zahlungsdaten)
- Kategorien betroffener Personen (z.B. Kunden, Mitarbeiter, Websitebesucher)
Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 lit. a–h DSGVO):
- Vertraulichkeit: Nur autorisiertes Personal mit schriftlicher Verschwiegenheitspflicht darf auf Daten zugreifen
- Technische und organisatorische Massnahmen (TOMs): Sicherheit nach Art. 32 DSGVO (Verschlüsselung, Zugangskontrolle, Verfügbarkeit, Integrität)
- Unterauftragsverarbeiter: Neue Sub-Prozessoren nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen; der Auftragsverarbeiter bleibt haftbar
- Betroffenenrechte: Unterstützung bei Auskunfts-, Lösch-, Berichtigungs- und Portabilitätsanfragen
- Meldepflichten: Unverzügliche Information des Verantwortlichen bei Datenpannen und Datenschutzverletzungen
- Löschung oder Rückgabe: Nach Vertragsende müssen alle Daten zurückgegeben oder sicher und nachweisbar gelöscht werden
- Nachweis- und Auditrechte: Der Verantwortliche muss Kontrollen, Audits und Inspektionen durchführen können
Ein AVV, dem einzelne dieser Elemente fehlen, ist unvollständig und begründet Compliance-Risiken — auch wenn der Anbieter einen Standardvertrag anbietet.
AVV und KI-Tools: Was deutsche Unternehmen prüfen müssen
Beim Einsatz von KI-Software in deutschen Unternehmen stellen sich über den Mindestinhalt des AVV hinaus spezifische Fragen.
Verarbeitungszweck und Weisungsgebundenheit
Der KI-Anbieter darf Ihre Unternehmensdaten nicht zum Training eigener Modelle verwenden, ohne dass Sie dem ausdrücklich zugestimmt haben. Prüfen Sie in den Vertragsbedingungen:
- Darf der Anbieter Eingabedaten oder Gesprächsverläufe für das Modelltraining nutzen?
- Gibt es eine Option, das Training mit Ihren Daten zu deaktivieren (typischerweise bei Enterprise-Tarifen)?
- Ist der Verarbeitungszweck klar auf den Betrieb des Dienstes beschränkt?
Datenübertragung in Drittländer (SCCs, Standardvertragsklauseln)
Die meisten KI-Anbieter haben ihren Sitz in den USA oder anderen Drittländern ausserhalb des Europäischen Wirtschaftsraums (EWR). Für diese Datentransfers ist ein zusätzliches Instrument erforderlich. In der Praxis sind das überwiegend Standardvertragsklauseln (SCCs) gemäss Art. 46 Abs. 2 lit. c DSGVO.
Prüfen Sie:
- Sind SCCs im AVV enthalten oder separat vereinbart?
- Liegt ein Transfer Impact Assessment (TIA) vor, das die konkreten Risiken des Drittlandtransfers bewertet?
- Bietet der Anbieter EU-Rechenzentren an, um Drittlandtransfers zu minimieren?
Unterauftragsverarbeiter und Sub-DPA-Ketten
Komplexe SaaS-Dienste nutzen selbst wieder Unterauftragsverarbeiter (Sub-Prozessoren) für Hosting, Analyse, Support oder Infrastruktur. Jeder Sub-Prozessor, der auf Ihre Daten zugreifen kann, muss im AVV oder in einer öffentlich zugänglichen Sub-Prozessor-Liste aufgeführt sein. Ihr Vertrag muss sicherstellen, dass:
- Sie über neue Sub-Prozessoren informiert werden und ein Widerspruchsrecht haben
- Sub-Prozessoren denselben Datenschutzstandards unterliegen wie der Hauptauftragsverarbeiter
- Die Haftung des Hauptauftragsverarbeiters bei Verstössen der Sub-Prozessoren nicht eingeschränkt wird
AVV-Übersicht: Diese KI-Tools stellen einen Vertrag bereit
Die folgende Tabelle gibt einen Überblick über gängige KI-Tools und SaaS-Dienste. Alle verlinkten Detailseiten enthalten eine konkrete Prüfung des jeweiligen AVV.
| Tool | AVV verfügbar | Detailanalyse |
|---|---|---|
| Claude Enterprise | Ja | Claude AVV prüfen |
| ChatGPT Enterprise | Ja | Detailseite |
| OpenAI API | Ja | Detailseite |
| Cursor | Ja | Detailseite |
| Notion AI | Ja | Detailseite |
| ElevenLabs | Ja | Detailseite |
| Canva AI | Ja | Detailseite |
| Grammarly | Ja | Detailseite |
| HubSpot | Ja | Detailseite |
| Whisper | Ja | Detailseite |
| Zapier | Ja | Detailseite |
| Slack | Ja | Detailseite |
| Make.com | Ja | Detailseite |
| Zendesk | Ja | Detailseite |
| Perplexity | Ja | Detailseite |
| Descript | Ja | Detailseite |
| Figma AI | Ja | Detailseite |
| DeepL | Ja | Detailseite |
| Intercom | Ja | Detailseite |
| AWS Bedrock | Ja | Detailseite |
| Airtable | Ja | Detailseite |
| Asana | Ja | Detailseite |
Hinweis: Ob ein vorliegender AVV für Ihren konkreten Anwendungsfall ausreicht, hängt von Ihren Datenflüssen, den verarbeiteten Datenarten und Ihren internen Compliance-Anforderungen ab. Diese Übersicht ersetzt keine individuelle Rechtsprüfung.
Was tun, wenn ein Anbieter keinen AVV bereitstellt?
Gelegentlich verweigern Anbieter — insbesondere kleinere oder nicht-europäische Dienste — den Abschluss eines AVV. In diesem Fall haben Sie mehrere Optionen:
1. Nutzung aussetzen oder beenden. Wenn ein Tool personenbezogene Daten verarbeitet und kein AVV abgeschlossen werden kann, ist die Nutzung rechtswidrig. Die sicherste Option ist die Einstellung des Einsatzes.
2. Datenschutzfreundliche Alternative prüfen. Oft gibt es europäische oder datenschutzkonformere Dienste, die einen vollständigen AVV anbieten und EU-Hosting bereitstellen.
3. Datenmenge minimieren. Falls ein Tool unverzichtbar ist, prüfen Sie, ob der Dateneinsatz so reduziert werden kann, dass keine personenbezogenen Daten mehr übermittelt werden — etwa durch Pseudonymisierung vor der Übertragung.
4. Rechtliche Prüfung im Einzelfall. In Ausnahmefällen lässt sich prüfen, ob die Verarbeitung auf eine andere Rechtsgrundlage gestützt werden kann — etwa auf die ausdrückliche Einwilligung jeder betroffenen Person. Das ist aufwendig und selten praxistauglich.
Ohne AVV weiterzumachen und darauf zu hoffen, dass es gut geht, ist keine Compliance-Strategie. Aufsichtsbehörden wie der Berliner Beauftragte für Datenschutz, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) oder die Hamburgische Datenschutzbehörde kontrollieren die Einhaltung aktiv.
AVV-Checkliste vor dem Tool-Einsatz
Bevor Sie ein neues Tool in Betrieb nehmen, das personenbezogene Daten verarbeitet:
- AVV vom Anbieter angefordert und erhalten?
- AVV enthält alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO?
- Verarbeitungszweck klar definiert und auf den Dienstbetrieb beschränkt?
- SCCs oder anderes Transferinstrument für Drittlandtransfer vorhanden?
- Sub-Prozessor-Liste geprüft und akzeptiert?
- AVV im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert?
- Technische und organisatorische Massnahmen (TOMs) beschrieben und ausreichend?
- Regelung für Datenpannen und Meldepflichten vorhanden?
- Löschregelung nach Vertragsende vereinbart?
So unterstützt Compound Law
Compound Law prüft AVVs für den konkreten Einsatzkontext — nicht nur, ob ein AVV formal vorhanden ist, sondern ob er zu Ihren tatsächlichen Datenflüssen, Mitarbeiter- oder Kundendaten und Compliance-Anforderungen passt.
Typische Leistungen:
- AVV-Prüfung: Vollständigkeit, Drittlandtransfer, Sub-Prozessor-Ketten
- Muster-AVV: Erstellung eines maßgeschneiderten Vertrags für Ihre Auftragsverarbeiter
- Verarbeitungsverzeichnis: Dokumentation aller Auftragsverarbeitungen nach Art. 30 DSGVO
- DSGVO-Beratung: Überblick über alle relevanten Pflichten für Ihr Unternehmen
Nehmen Sie Kontakt auf — wir prüfen, ob Ihre KI-Tools und SaaS-Dienste DSGVO-konform abgesichert sind.
Häufig gestellte Fragen zum Auftragsverarbeitungsvertrag
Wann brauche ich einen AVV?
Ein AVV ist erforderlich, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Das betrifft alle SaaS-Dienste, Cloud-Anbieter und KI-Tools, die auf Kunden-, Mitarbeiter- oder Nutzerdaten zugreifen — unabhängig davon, ob die Nutzung kostenpflichtig ist.
Ist ein mündlicher AVV nach DSGVO gültig?
Nein. Art. 28 Abs. 9 DSGVO schreibt die Schriftform ausdrücklich vor. Die Schriftform kann elektronisch erfüllt werden (z.B. durch Akzeptanz eines Online-Vertrags), ein mündlicher AVV ist jedoch rechtlich unwirksam.
Was passiert, wenn ich keinen AVV habe?
Ohne AVV ist die Datenverarbeitung durch den Dienstleister rechtswidrig. Aufsichtsbehörden können Bussgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Hinzu kommen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO.
Muss ich einen AVV mit jedem SaaS-Anbieter abschliessen?
Ja, wenn der Anbieter personenbezogene Daten Ihrer Kunden, Nutzer oder Mitarbeiter verarbeitet. Das gilt für CRM-Systeme, E-Mail-Marketing, HR-Software, Cloud-Speicher und KI-Assistenten gleichermassen.
Gilt der AVV auch für kostenlose Tools?
Ja. Die DSGVO-Pflicht hängt nicht davon ab, ob ein Dienst kostenpflichtig ist. Auch bei kostenlosen Tools, die Datenzugang haben, brauchen Sie einen AVV — sofern der Anbieter einen solchen anbietet, was bei kostenlosen Diensten oft nicht der Fall ist.
Wie lange muss ich den AVV aufbewahren?
Den AVV sollten Sie mindestens für die Dauer der Zusammenarbeit und darüber hinaus für die Dauer etwaiger Verjährungsfristen aufbewahren, in der Regel drei bis fünf Jahre nach Vertragsende.
