Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht

Wenn Unternehmen über DSGVO reden, fallen meist die großen Schlagworte: Datenschutzerklärung, Einwilligung, Verarbeitungsverzeichnis. Der Auftragsverarbeitungsvertrag – kurz AVV – landet dabei regelmäßig auf dem letzten Platz. Dabei ist er in der Prüfungspraxis einer der häufigsten Stolpersteine. Und er betrifft nicht nur die Endkunden. Gerade IT-Dienstleister und Systemhäuser sind gleich doppelt in der Pflicht.

Typische Lücken im AVV

Was ist ein AVV überhaupt? (Art. 28 DSGVO, einfach erklärt)

Ein Auftragsverarbeitungsvertrag ist ein schriftlicher Vertrag zwischen einem Unternehmen (dem sogenannten Verantwortlichen) und einem Dienstleister (dem Auftragsverarbeiter), der personenbezogene Daten im Auftrag verarbeitet.

Konkret bedeutet das: Immer dann, wenn ein externer Anbieter Zugriff auf personenbezogene Daten eines Unternehmens hat – und das im Auftrag des Unternehmens tut –, ist ein AVV gesetzlich vorgeschrieben.

Rechtsgrundlage: Art. 28 DSGVO. Fehlt der Vertrag, ist das eine bußgeldbewehrte Ordnungswidrigkeit – unabhängig davon, ob tatsächlich ein Datenschutzvorfall passiert ist oder nicht.

Wann brauche ich einen AVV? Die häufig übersehenen Fälle

Viele Unternehmen denken bei Auftragsverarbeitung an klassische Szenarien wie Lohnabrechnung oder Newsletter-Versand. In der Praxis ist die Liste deutlich länger:

• Cloud-Dienste: Microsoft 365, Google Workspace, Dropbox, OneDrive – wer darüber personenbezogene Daten speichert oder verarbeitet, braucht einen AVV mit dem Anbieter.
• CRM- und HR-Software: Kundendaten, Bewerberdaten, Mitarbeiterdaten in SaaS-Systemen – fast immer AVV-pflichtig.
• IT-Wartung und Fernwartung: Das ist der Punkt, der am häufigsten übersehen wird. Wenn der IT-Dienstleister per Fernzugriff auf Systeme zugreift, auf denen sich personenbezogene Daten befinden, ist ein AVV erforderlich – auch wenn der Dienstleister die Daten gar nicht aktiv nutzt.
• E-Mail-Marketing-Plattformen: Mailchimp, Brevo, CleverReach & Co. verarbeiten Kontaktdaten – AVV ist Standard, aber nicht immer vorhanden.
• Rechenzentrum und Hosting: Liegt der Server bei einem externen Anbieter und sind dort personenbezogene Daten gespeichert, gilt dasselbe Prinzip.

Die Faustregel: Wer als Dienstleister Zugriff auf Daten hat, die seinem Kunden gehören, ist in der Regel Auftragsverarbeiter. Und dann braucht es einen Vertrag.

Warum sind IT-Dienstleister und Systemhäuser besonders betroffen?

Hier liegt ein oft übersehener Doppelaspekt:

Als Dienstleister ihrer Kunden

IT-Systemhäuser erbringen typischerweise Leistungen wie Managed Services, Fernwartung, Netzwerkbetreuung oder Backup-Management. In all diesen Fällen berühren sie in der Regel personenbezogene Daten des Kunden – und sind damit Auftragsverarbeiter. Fehlt der AVV mit dem Kunden, sind beide Seiten im Risiko.

Als Unternehmen selbst

Systemhäuser setzen ihrerseits externe Tools ein: Cloud-Plattformen, Ticketsysteme, Dokumentationstools, Buchhaltungssoftware. Auch hier entstehen Auftragsverarbeitungsverhältnisse – und der eigene AVV mit den eigenen Dienstleistern fehlt oft.

Das Systemhaus ist also gleichzeitig Auftragsverarbeiter (nach außen zu seinen Kunden) und Verantwortlicher (intern mit seinen eigenen Dienstleistern). Beide Richtungen brauchen geregelte AVVs.

Typische Lücken – was in der Praxis am häufigsten schiefläuft

In Datenschutz-Audits und Bestandsaufnahmen begegnen uns immer wieder dieselben Muster:

1. Der AVV fehlt komplett

Besonders bei langjährigen Dienstleistern, die schon vor der DSGVO tätig waren: Es gibt einen Dienstleistungsvertrag, aber keinen expliziten AVV. Das ist nicht ausreichend.

2. Der AVV ist veraltet

Ein Vertrag aus 2018 – dem Einführungsjahr der DSGVO – deckt oft nicht mehr die aktuellen Verarbeitungstätigkeiten oder eingesetzten Sub-Auftragsverarbeiter ab. Subunternehmer müssen übrigens explizit benannt oder zumindest kategorisch genehmigt sein.

3. Der AVV ist unterschrieben, aber nicht gelebt

Auf dem Papier steht, der Dienstleister hält bestimmte technisch-organisatorische Maßnahmen (TOMs) ein. Eine Überprüfung hat aber nie stattgefunden. Die DSGVO verlangt, dass Verantwortliche ihre Auftragsverarbeiter kontrollieren – nicht nur einmalig, sondern regelmäßig.

4. Sub-Auftragsverarbeiter nicht erfasst

Der Hauptdienstleister hat selbst Cloud-Dienste im Einsatz, die zur Leistungserbringung genutzt werden. Diese Sub-Auftragsverarbeiter müssen im AVV entweder namentlich oder kategorisch genehmigt sein. Häufig fehlt diese Liste komplett.

5. Kein Prozess für AVV-Pflege

Kein Inventar, kein Verantwortlicher, kein Wiedervorlage-Datum. Der AVV wird einmal abgeheftet und nie wieder angefasst – bis zur Prüfung.

Für Endkunden und Systemhäuser: Warum das Thema jetzt relevant ist

Datenschutzbehörden prüfen AVV-Strukturen zunehmend aktiv – insbesondere im Rahmen von Beschwerden oder als Teil von Querschnittsprüfungen bestimmter Branchen. Die Bußgelder für fehlende oder mangelhafte AVVs sind real.

Gleichzeitig steigt der Druck von Kunden und Geschäftspartnern: Immer mehr Unternehmen verlangen im Rahmen von Lieferantenaudits oder Ausschreibungen den Nachweis, dass AVVs vorhanden und aktuell sind. Wer jetzt seine AVV-Struktur prüft, schützt sich nicht nur vor Bußgeldern – er positioniert sich auch als verlässlicher Partner.

Wir helfen Ihnen dabei - Jetzt Kontakt aufnehmen.