AVV-Checkliste — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Der Auftragsverarbeitungsvertrag (AVV) ist Pflicht bei jeder Auftragsverarbeitung. Als externer DSB prüfen Sie dutzende AVVs pro Mandant — von Cloud-Anbietern über Newsletter-Tools bis zu Lohnbuchhaltung. Diese Checkliste hilft Ihnen, keinen Prüfpunkt zu vergessen.

Wann braucht man einen AVV?

Ein AVV ist immer dann erforderlich, wenn ein Unternehmen (der Verantwortliche) einen Dienstleister (den Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt. Typische Beispiele: Cloud-Hosting, E-Mail-Marketing, Lohnbuchhaltung, CRM-Systeme, Analyse-Tools und IT-Support mit Fernzugriff. Wichtig: Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Berufsgeheimnisträger (Anwälte, Steuerberater) handeln in eigener Verantwortung, ebenso wie Banken bei der Zahlungsabwicklung. Hier ist kein AVV nötig — aber die Abgrenzung ist in der Praxis oft schwierig und eine klassische DSB-Aufgabe.

Pflichtinhalte nach Art. 28 DSGVO

Art. 28 Abs. 3 DSGVO definiert die Mindestinhalte: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen, Weisungsgebundenheit, Vertraulichkeit, technische und organisatorische Maßnahmen (TOM), Regelung zu Subunternehmern, Unterstützung bei Betroffenenanfragen, Löschung/Rückgabe nach Ende der Verarbeitung und Kontrollrechte. Prüfen Sie bei jedem AVV diese Punkte ab. Ein unvollständiger AVV ist im Grunde kein gültiger AVV — und das Fehlen eines AVV ist ein eigenständiger DSGVO-Verstoß, unabhängig davon, ob tatsächlich ein Datenschutzproblem aufgetreten ist.

Häufige Fehler bei AVVs

Die häufigsten Fehler in der AVV-Praxis: Kein AVV vorhanden (besonders bei SaaS-Tools, die „einfach so" genutzt werden), veraltete AVVs nach der BDSG-alt-Version statt DSGVO, fehlende oder unvollständige TOM-Dokumentation, keine Regelung zu Subunternehmern und fehlende Drittlandtransfer-Regelungen nach Schrems II. Besonders problematisch: Viele SaaS-Anbieter stellen einen AVV als PDF zum Download bereit — aber der Mandant hat ihn nie unterschrieben oder akzeptiert. Ein AVV, der nur auf der Website des Anbieters existiert, ohne dass der Mandant ihn aktiv abgeschlossen hat, ist rechtlich fragwürdig.

AVV-Management für mehrere Mandanten

Mit 15 Mandanten und je 10-20 Auftragsverarbeitern pro Mandant verwalten Sie 150-300 AVVs. Die Herausforderung: Ablaufdaten überwachen, TOM-Updates nachhalten, Subunternehmer-Listen prüfen und den Überblick behalten, welcher Mandant welche Dienstleister nutzt. Trustee.eu ermöglicht es, AVVs zentral zu verwalten, mit den zugehörigen Verarbeitungstätigkeiten im VVT zu verknüpfen und Ablaufdaten automatisch zu überwachen. So sehen Sie auf einen Blick, welche AVVs fehlen, welche auslaufen und wo Handlungsbedarf besteht.

Praxis-Tipp

Erstellen Sie pro Mandant eine Liste aller Dienstleister und prüfen Sie bei jedem, ob eine Auftragsverarbeitung vorliegt und ob ein AVV existiert. Diese „AVV-Inventur" ist der erste Schritt — und deckt erfahrungsgemäß bei jedem Mandanten 2-5 fehlende AVVs auf.

AVVs mit Trustee.eu verwalten
Was ist ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO? Betroffenenanfragen (DSAR) — Leitfaden für externe DSBs Alle Features für externe Datenschutzbeauftragte