DSGVO2026-04-175 min Lesezeit

AVV DSGVO: Mustervertrag, Pflichtinhalte und die häufigsten Fehler (2026)

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Wann brauche ich einen AVV?
  2. 022. Die 12 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
  3. 033. Muster-Struktur eines AVV (12 Abschnitte)
  4. 044. Die TOM-Anlage ist der Kern
  5. 055. Die fünf häufigsten Fehler
  6. 066. AVV-Audit: Die Jahres-Checkliste
  7. 077. AVV und KI: Ein Sonderfall
  8. 08Fazit

AVV DSGVO: Mustervertrag, Pflichtinhalte und die häufigsten Fehler

Der Auftragsverarbeitungsvertrag (AVV, auch AV-Vertrag oder Data Processing Agreement, DPA) nach Art. 28 DSGVO ist eine der am häufigsten verletzten Pflichten unter der europäischen Datenschutzgrundverordnung. Jedes Unternehmen, das personenbezogene Daten durch einen Dienstleister verarbeiten lässt, braucht einen AVV — egal ob Cloud-Hosting, Steuerberater, Mailversand oder KI-Tool.

Dieser Artikel zeigt die Pflichtinhalte, liefert eine Muster-Struktur und warnt vor den fünf häufigsten Fehlern, die beim AVV teuer werden können.

1. Wann brauche ich einen AVV?

Ein AVV ist immer erforderlich, wenn personenbezogene Daten durch einen externen Dienstleister im Auftrag des Verantwortlichen verarbeitet werden. Typische Fälle:

  • Cloud-Hosting (AWS, Azure, Google Cloud, Hetzner)
  • E-Mail-Dienste (Microsoft 365, Google Workspace)
  • CRM- und Marketing-Tools (Salesforce, HubSpot, Mailchimp, Brevo)
  • Zahlungsdienstleister (Stripe, Mollie, PayPal)
  • Lohnbuchhaltung (DATEV, SAP, Steuerberater)
  • KI-Tools (OpenAI ChatGPT Business, Anthropic Claude, Azure OpenAI)
  • Videokonferenz (Zoom, Teams, Webex)
  • Support- und Helpdesk-Tools (Zendesk, Freshdesk, Intercom)

Kein AVV erforderlich: eigenständige Verantwortliche (z.B. Steuerberater, wenn er nach BOStB eigene Pflichten erfüllt), Joint Controller (Art. 26 DSGVO, anderes Rechtsinstrument) und Übermittlung in öffentliche Register.

2. Die 12 Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Ein AVV muss mindestens folgende Inhalte enthalten:

  1. Gegenstand der Verarbeitung — was wird verarbeitet?
  2. Dauer der Verarbeitung — Laufzeit, ggf. automatische Verlängerung
  3. Art und Zweck der Verarbeitung — z.B. "Hosting von Kundendaten im Shop"
  4. Art der personenbezogenen Daten — Namen, E-Mail-Adressen, IP-Adressen etc.
  5. Kategorien der Betroffenen — Kunden, Mitarbeitende, Lieferanten
  6. Weisungsgebundenheit — Auftragnehmer verarbeitet nur auf Weisung
  7. Vertraulichkeitsverpflichtung der eingesetzten Personen
  8. Technische und organisatorische Maßnahmen (TOM) — konkret aufgelistet
  9. Regelung zu Subunternehmern — Zustimmung, Transparenz
  10. Unterstützung bei Betroffenenrechten — Auskunft, Löschung
  11. Unterstützung bei Sicherheitsverletzungen — Meldepflicht nach Art. 33/34
  12. Löschung oder Rückgabe bei Vertragsende

Fehlt auch nur ein Pflichtinhalt, gilt der AVV als unvollständig — und damit als nicht existent.

3. Muster-Struktur eines AVV (12 Abschnitte)

Präambel
§ 1 Gegenstand und Dauer des Vertrags
§ 2 Art und Zweck der Verarbeitung
§ 3 Art der Daten und Kategorien der Betroffenen
§ 4 Weisungsrecht und Weisungsgebundenheit
§ 5 Pflichten des Auftragsverarbeiters
    - Vertraulichkeit
    - TOMs
    - Mitwirkung bei Betroffenenrechten
    - Unterstützung bei Meldungen
§ 6 Unterauftragsverhältnisse
§ 7 Drittlandsübermittlungen
§ 8 Kontrollrechte des Verantwortlichen
§ 9 Meldung von Datenschutzverletzungen
§ 10 Löschung oder Rückgabe
§ 11 Haftung
§ 12 Schlussbestimmungen

Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Anlage 2: Liste der Subunternehmer

4. Die TOM-Anlage ist der Kern

Die technischen und organisatorischen Maßnahmen (TOM) sind der inhaltliche Kern jedes AVV. Sie beschreiben konkret, wie der Auftragnehmer die Daten schützt.

Pflicht-Kategorien nach Art. 32 DSGVO:

  • Pseudonymisierung und Verschlüsselung
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
  • Wiederherstellung der Verfügbarkeit bei Zwischenfällen
  • Regelmäßige Überprüfung und Bewertung

Praktisch werden die TOMs oft als Tabelle aufgebaut: Schutzziel → Maßnahme → Umsetzung. Beispiel: "Verschlüsselung bei Übertragung → TLS 1.3 → erzwungen auf allen API-Endpunkten".

Eine moderne Compliance-Plattform wie Matproof bietet TOM-Templates und pflegt sie automatisch bei Änderungen.

5. Die fünf häufigsten Fehler

Fehler 1: AVV-Pflicht "vergessen"

Viele Unternehmen haben AVVs mit AWS, aber nicht mit dem kleinen Dienstleister für Newsletter-Versand, dem externen Buchhaltungsbüro oder dem KI-Tool. Bei einem DSGVO-Audit wird jeder Dienstleister geprüft.

Fehler 2: Ungeprüfter AVV-Entwurf des Anbieters akzeptiert

Viele US-Anbieter liefern AVVs, die nur minimal die Art.-28-Anforderungen erfüllen und hauptsächlich ihre eigenen Interessen schützen. Wichtig: Prüfung durch Ihren DPO oder externen Datenschutzexperten.

Fehler 3: Fehlende Drittlands-Absicherung

Bei Übermittlung in Drittländer (USA, Indien, UK in Teilen) sind zusätzliche Garantien nötig: EU-Standardvertragsklauseln, Data Privacy Framework (USA), BCR, oder konkrete Schutzmaßnahmen. Ein AVV allein reicht nicht.

Fehler 4: TOMs nicht aktualisiert

TOMs, die 2018 beim ersten AVV festgelegt wurden, sind oft überholt. Wer keine Aktualisierungen nachhält, hat bei einem Audit ein Problem.

Fehler 5: Subunternehmer nicht gelistet

Die Pflicht, Subunternehmer transparent zu machen, wird oft überspielt. Amazon nutzt seinen CDN-Provider, der wiederum ein Rechenzentrum nutzt — und Sie wissen nicht, wo Ihre Daten liegen. Art. 28 Abs. 2 fordert Transparenz und Zustimmungsrechte.

6. AVV-Audit: Die Jahres-Checkliste

Einmal pro Jahr sollten Sie:

  1. Dienstleister-Inventar aktualisieren — mit Einkauf und Buchhaltung abgleichen
  2. Jeden AVV prüfen — gültig, aktuell, vollständig?
  3. TOMs abgleichen — stimmen sie noch mit der Realität überein?
  4. Subunternehmer-Listen — Updates erhalten?
  5. Drittlands-Übermittlungen — noch zulässig (DPF-Status, SCC-Version)?

Matproof automatisiert diesen Prozess: Dienstleister-Register aus SSO/ERP-Daten, AVV-Ablage mit Versionskontrolle, automatische Alerts bei ablaufenden Verträgen oder veralteten TOMs.

7. AVV und KI: Ein Sonderfall

Bei ChatGPT, Claude und Co. ist der AVV besonders heikel:

  • Consumer-Versionen (kostenlose ChatGPT, Claude.ai Free) haben keinen AVV
  • Business-/Enterprise-Versionen bieten AVV an (OpenAI, Anthropic haben offizielle DPA-Vorlagen)
  • Azure OpenAI ist für deutsche Unternehmen oft die sauberste Lösung: gleiche Modelle, EU-Rechenzentren, Microsoft-DPA

Siehe auch: ChatGPT Datenschutz.

Fazit

Der AVV ist kein Formular zum Abhaken, sondern der rechtliche Rahmen für Ihren Datenfluss zu Dritten. Ein lückenhaft oder fehlerhaft aufgesetzter AVV ist bei der nächsten Datenschutzprüfung die erste Schwachstelle, die gefunden wird.

Mit einer zentralen Compliance-Plattform werden AVVs, TOMs und Subunternehmer-Listen automatisch gepflegt — und Sie sehen auf einen Blick, wo die nächste Aktualisierung fällig ist. Das ist keine Datenschutz-Romantik, sondern Risikomanagement.

Weiterführend:

AVV DSGVOAVV MusterAV-VertragAuftragsverarbeitungsvertragAVV VorlageArt 28 DSGVOAVV Pflichtinhalte

GDPR Readiness Assessment

Evaluate your data protection compliance

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern