Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Auftragsverarbeitungsvertrag (AVV): Pflichten, Muster & Hilfe
AVV / VerträgeZuletzt aktualisiert: 2026-06-23

Auftragsverarbeitungsvertrag (AVV): Pflichten, Inhalte und Muster

Ein Auftragsverarbeitungsvertrag (AVV) regelt, was ein Dienstleister mit Ihren personenbezogenen Daten tun darf – und was nicht. Er ist nach Art. 28 DSGVO Pflicht, sobald Sie einen externen Anbieter mit der Verarbeitung personenbezogener Daten beauftragen, vom Cloud-Hosting über das Newsletter-Tool bis zur Lohnbuchhaltung. Diese Seite erklärt verständlich, wer einen AVV braucht, welche Inhalte gesetzlich vorgeschrieben sind und worauf es 2026 in der Praxis ankommt – und Sie können sich direkt unser AVV-Muster herunterladen.

Zuletzt aktualisiert: 23.06.2026

AVV-Muster herunterladen

Inhaltsverzeichnis

Was ist ein Auftragsverarbeitungsvertrag? {#definition}

Ein Auftragsverarbeitungsvertrag ist eine schriftliche oder elektronische Vereinbarung zwischen Ihnen als Verantwortlichem und einem Auftragsverarbeiter, der in Ihrem Auftrag und nach Ihren Weisungen personenbezogene Daten verarbeitet. Rechtsgrundlage ist Art. 28 Abs. 3 DSGVO. Der Vertrag legt verbindlich fest, zu welchem Zweck, in welchem Umfang und mit welchen Schutzmaßnahmen der Dienstleister Ihre Daten verarbeiten darf.

Der Kerngedanke ist einfach: Sie bleiben für die Daten verantwortlich, auch wenn jemand anderes sie technisch verarbeitet. Der AVV ist das Instrument, mit dem Sie diese Verantwortung absichern – er „verlängert" Ihre Datenschutzpflichten zum Dienstleister. Ohne ihn dürften Sie personenbezogene Daten gar nicht erst an einen Auftragsverarbeiter weitergeben.

Wichtig ist die Abgrenzung von zwei Begriffen:

  • Auftragsverarbeitung liegt vor, wenn ein Dienstleister Daten für Sie und nach Ihren Weisungen verarbeitet, ohne eigene Zwecke zu verfolgen – etwa Ihr Cloud-Hoster, das CRM-System oder der IT-Dienstleister mit Fernzugriff. Hier ist ein AVV Pflicht.
  • Gemeinsame Verantwortlichkeit oder eigenständige Verantwortung liegt vor, wenn der Partner über Zweck und Mittel der Verarbeitung (mit-)entscheidet – etwa eine Steuerberatung oder ein Inkassobüro, das eigene gesetzliche Pflichten erfüllt. Hier ist kein klassischer AVV, sondern eine andere Vereinbarung das richtige Instrument.

Genau diese Einordnung wird in der Praxis häufig falsch getroffen – und ist der erste Punkt, den eine fundierte Datenschutzberatung für Sie klärt.

Wer braucht einen AVV – und wer nicht? {#wer-betroffen}

Ein Auftragsverarbeitungsvertrag ist Pflicht, sobald Sie als Unternehmen, Verein oder Behörde personenbezogene Daten durch einen externen Dienstleister verarbeiten lassen. Das betrifft praktisch jedes Unternehmen, unabhängig von der Größe – die DSGVO kennt hier keine Bagatellgrenze.

Typische Fälle, in denen Sie einen AVV brauchen:

  • Cloud- und Hosting-Dienste – Ihre Website-, E-Mail- oder Server-Infrastruktur liegt bei einem externen Anbieter.
  • Software-as-a-Service (SaaS) – CRM, Newsletter-Tools, Projektmanagement, Buchhaltungssoftware, Ticketsysteme.
  • IT-Dienstleister & Fernwartung – externe Administration, Support mit Zugriff auf Ihre Systeme.
  • Marketing & Webanalyse – Tracking-Tools, Werbeplattformen, Agenturen mit Datenzugriff.
  • Personal & Verwaltung – externe Lohn- und Gehaltsabrechnung, Bewerbermanagement-Systeme.
  • Aktenvernichtung & Archivierung – soweit personenbezogene Daten betroffen sind.

Wann Sie keinen AVV brauchen: Wenn der Dienstleister keine personenbezogenen Daten verarbeitet oder als eigenständig Verantwortlicher handelt (z. B. Steuerberatung, Rechtsanwaltskanzlei, Banken im Zahlungsverkehr). Auch ein reiner Wartungseinsatz, bei dem ein Datenzugriff technisch ausgeschlossen ist, fällt nicht automatisch unter Art. 28 DSGVO – die Bewertung hängt vom Einzelfall ab.

Der AVV verpflichtet beide Seiten: Sie als Verantwortlicher müssen den Dienstleister sorgfältig auswählen und kontrollieren, der Auftragsverarbeiter muss die vereinbarten Schutzmaßnahmen einhalten. Genau diese Auftragsverarbeiter-Kontrolle nach Art. 28 DSGVO war einer der Punkte im bislang höchsten deutschen DSGVO-Bußgeld: 45 Mio. Euro gegen Vodafone (BfDI, 03.06.2025). Ein sauberer AVV ist also kein Formalismus, sondern Risikovermeidung.

Pflichtinhalte nach Art. 28 DSGVO {#pflichtinhalte}

Ein wirksamer Auftragsverarbeitungsvertrag muss bestimmte Mindestinhalte enthalten. Fehlen sie, ist der Vertrag unvollständig – und damit die gesamte Datenweitergabe angreifbar. Art. 28 Abs. 3 DSGVO schreibt diese Punkte vor:

  1. Gegenstand und Dauer der Verarbeitung.
  2. Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen.
  3. Weisungsgebundenheit – der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen.
  4. Vertraulichkeit – die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
  5. Technische und organisatorische Maßnahmen (TOM) zur Sicherheit der Verarbeitung nach Art. 32 DSGVO.
  6. Regelungen zu Unterauftragsverarbeitern (Subunternehmern) – einschließlich Zustimmungs- bzw. Informationspflicht.
  7. Unterstützungspflichten – der Auftragsverarbeiter hilft bei der Erfüllung von Betroffenenrechten und bei Meldepflichten (z. B. Datenpannen nach Art. 33/34 DSGVO).
  8. Löschung oder Rückgabe der Daten nach Abschluss der Verarbeitung.
  9. Nachweis- und Kontrollrechte – der Auftragsverarbeiter stellt alle Informationen bereit und ermöglicht Audits.

In der Praxis kommen oft weitere sinnvolle Regelungen hinzu, etwa zu Haftung, Drittlandtransfers (z. B. in die USA) und zur konkreten Ausgestaltung der Weisungsbefugnisse. Genau hier trennt sich ein belastbarer Vertrag von einem AVV-Muster, das nur formal die Häkchen setzt. Wie sich solche Verträge sauber prüfen, freigeben und über ihren Lebenszyklus steuern lassen, lesen Sie auf unserer Seite zum Vertragsmanagement.

AVV richtig umsetzen: in fünf Schritten {#schritte}

Ein AVV ist kein einmaliges Dokument zum Abheften, sondern Teil eines lebendigen Dienstleistermanagements. So gehen Sie strukturiert vor:

  1. Dienstleister erfassen: Erstellen Sie eine vollständige Liste aller externen Anbieter, die mit personenbezogenen Daten in Berührung kommen – inklusive der eingesetzten SaaS-Tools, die im Tagesgeschäft oft übersehen werden.
  2. Rolle bestimmen: Klären Sie pro Dienstleister, ob eine Auftragsverarbeitung, eine gemeinsame oder eine eigenständige Verantwortlichkeit vorliegt. Davon hängt ab, ob ein AVV oder eine andere Vereinbarung nötig ist.
  3. Verträge schließen und prüfen: Holen Sie für jeden Auftragsverarbeiter einen AVV ein – entweder auf Basis Ihres eigenen Musters oder durch Prüfung des vom Dienstleister bereitgestellten Vertrags. Achten Sie besonders auf die TOM, Subunternehmer und Drittlandtransfers.
  4. Dokumentieren: Verknüpfen Sie die AVV mit Ihrem Verzeichnis von Verarbeitungstätigkeiten und legen Sie sie nachvollziehbar ab. Diese Dokumentation ist Ihr Nachweis gegenüber der Aufsichtsbehörde.
  5. Aktuell halten: Überprüfen Sie AVV regelmäßig – etwa bei neuen Tools, geänderten Subunternehmern oder neuen Datenverarbeitungen. Ein AVV von 2019 passt selten noch zur Realität von 2026.

AVV-Muster herunterladen

AVV in der Praxis: Standardfälle und Stolperfallen 2026 {#praxis}

Die DSGVO gilt seit Jahren – und doch ist die Auftragsverarbeitung weiterhin eines der häufigsten und teuersten Datenschutz-Themen. Diese Entwicklungen sollten Sie 2026 im Blick behalten:

  • Auftragsverarbeitung steht im Fokus der Aufsicht: Der deutsche Bußgeldrekord von 45 Mio. Euro gegen Vodafone (BfDI, 03.06.2025) betraf unter anderem die Kontrolle von Auftragsverarbeitern nach Art. 28 DSGVO. Die Botschaft der Behörden ist klar: Es reicht nicht, einen AVV zu unterschreiben – Sie müssen die Einhaltung auch tatsächlich kontrollieren. DSGVO-Bußgelder summieren sich in Deutschland kumuliert auf rund 6,1 Mrd. Euro (CMS Enforcement Tracker, Stand 03/2026).
  • Drittlandtransfers bleiben möglich – aber begründungspflichtig: Viele gängige Tools verarbeiten Daten in den USA. Das EU-US Data Privacy Framework ist weiterhin gültig (EuG, 03.09.2025); die Grundlage Ihrer Transfers sollten Sie dennoch im AVV und in Ihrer Dokumentation sauber abbilden.
  • KI-Tools sind oft Auftragsverarbeiter: Wer KI-Anwendungen einsetzt, gibt häufig personenbezogene Daten an den Anbieter weiter – mit eigenem AVV-Bedarf und zusätzlichen Transparenzpflichten. Datenschutz und KI-Compliance greifen hier ineinander.
  • Standardverträge der Anbieter sind nicht automatisch ausreichend: SaaS-Anbieter stellen oft eigene AVV-Vorlagen bereit. Diese sind meist zu ihren Gunsten formuliert – etwa bei Subunternehmern oder Audit-Rechten. Eine Prüfung lohnt sich, bevor Sie unterschreiben.

Ein Hinweis zur Einordnung der Rechtslage: Der sogenannte „Digital Omnibus" zur DSGVO ist derzeit nur ein Entwurf und kein geltendes Recht. Wir beraten Sie auf Basis der aktuell gültigen Vorschriften und behandeln angekündigte Änderungen erst dann als verbindlich, wenn sie tatsächlich in Kraft sind.

AVV-Muster herunterladen {#avv-muster}

Sie möchten direkt loslegen? Unser AVV-Muster bietet Ihnen eine saubere, an Art. 28 DSGVO ausgerichtete Vorlage mit allen Pflichtbestandteilen – inklusive Platzhaltern für TOM, Subunternehmer und die Beschreibung der Verarbeitung. So haben Sie eine belastbare Grundlage, statt bei null anzufangen.

Bitte beachten Sie: Ein Muster ist ein guter Startpunkt, ersetzt aber keine individuelle Prüfung. Je nach Branche, Datenintensität und Dienstleister sind Anpassungen sinnvoll – insbesondere bei Drittlandtransfers, sensiblen Daten oder KI-Tools.

AVV-Muster herunterladen

Sie sind unsicher, ob Ihr AVV vollständig und tragfähig ist? In unserer Datenschutzberatung prüfen TÜV-zertifizierte Datenschutzbeauftragte und Wirtschaftsjuristinnen Ihre Verträge – risikobasiert statt formalistisch.

Häufige Fragen zum Auftragsverarbeitungsvertrag {#faq}

Was ist ein Auftragsverarbeitungsvertrag (AVV)? Ein Auftragsverarbeitungsvertrag ist die nach Art. 28 DSGVO vorgeschriebene Vereinbarung zwischen einem Verantwortlichen und einem Dienstleister, der in dessen Auftrag personenbezogene Daten verarbeitet. Er legt fest, zu welchem Zweck, in welchem Umfang und mit welchen Schutzmaßnahmen der Dienstleister die Daten verarbeiten darf, und sichert so Ihre Datenschutzverantwortung über die Unternehmensgrenze hinaus ab.

Ist ein AVV gesetzlich verpflichtend? Ja. Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet, ist ein AVV nach Art. 28 Abs. 3 DSGVO Pflicht – unabhängig von der Unternehmensgröße. Ohne wirksamen AVV ist die Datenweitergabe rechtswidrig und kann mit Bußgeldern geahndet werden.

Reicht das AVV-Muster des Dienstleisters aus? Oft ist es ein brauchbarer Ausgangspunkt, aber nicht automatisch ausreichend. Anbieter formulieren ihre Vorlagen häufig zu eigenen Gunsten, etwa bei Subunternehmern oder Audit-Rechten. Prüfen Sie insbesondere die technischen und organisatorischen Maßnahmen, die Regelungen zu Unterauftragsverarbeitern und mögliche Drittlandtransfers, bevor Sie unterschreiben.

Was muss in einem AVV mindestens stehen? Art. 28 Abs. 3 DSGVO verlangt unter anderem: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten und Kategorien Betroffener, Weisungsgebundenheit, Vertraulichkeit, technische und organisatorische Maßnahmen, Regelungen zu Subunternehmern, Unterstützung bei Betroffenenrechten und Meldepflichten, Löschung oder Rückgabe der Daten sowie Nachweis- und Kontrollrechte.

Brauche ich auch für KI-Tools einen AVV? In der Regel ja. KI-Anwendungen, die personenbezogene Daten verarbeiten, sind häufig Auftragsverarbeiter – mit eigenem AVV-Bedarf und zusätzlichen Transparenzpflichten. Wir prüfen die Datenverarbeitungsprozesse Ihrer KI-Tools und verbinden Datenschutz- und KI-Compliance zu einer praxistauglichen Lösung.

Was passiert ohne gültigen AVV? Fehlt ein erforderlicher AVV, ist die Datenweitergabe an den Dienstleister rechtswidrig. Aufsichtsbehörden können dies mit Bußgeldern ahnden; im Schadensfall drohen zudem Haftung und Reputationsverlust. Dass die Auftragsverarbeiter-Kontrolle ernst genommen wird, zeigt das deutsche Rekordbußgeld von 45 Mio. Euro gegen Vodafone (BfDI, 03.06.2025).

AVV-Muster sichern und Verträge prüfen lassen {#kontakt}

Laden Sie sich unser AVV-Muster herunter – und sprechen Sie mit uns, wenn Sie Ihre Auftragsverarbeitung rechtssicher und nachweisbar aufstellen wollen. In einem kostenlosen Erstgespräch klären wir Ihren Ist-Stand und welche Bausteine zu Ihnen passen. Pragmatisch, unverbindlich und auf den Punkt.

AVV-Muster herunterladen

Kontakt vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.