AVV (Auftragsverarbeitungsvertrag)
Ein Vertrag zwischen einem Unternehmen und einem Dienstleister (z.B. Hosting-Anbieter, E-Mail-Tool), der regelt, wie personenbezogene Daten verarbeitet werden dürfen.
Ein Auftragsverarbeitungsvertrag (AVV) ist ein DSGVO-Pflichtvertrag, den du mit jedem Dienstleister abschließen musst, der in deinem Auftrag personenbezogene Daten verarbeitet. Das betrifft: Hosting-Anbieter, E-Mail-Marketing-Tools, CRM-Systeme, Cloud-Speicher, Analyse-Tools und Zahlungsdienstleister.
Der AVV regelt: Welche Daten werden verarbeitet? Zu welchem Zweck? Wie werden sie geschützt? Wo werden sie gespeichert? Was passiert bei einer Datenpanne? Wie werden Daten nach Vertragsende gelöscht?
In der Praxis bieten die meisten seriösen Dienstleister (Vercel, Hetzner, Mailchimp, etc.) einen Standard-AVV zum Download an. Du musst ihn nur abschließen und archivieren. Klingt banal, wird aber oft vergessen — und ist ein häufiger Punkt bei DSGVO-Prüfungen.
Besonders kritisch: Dienstleister mit Sitz in den USA. Seit dem Schrems-II-Urteil ist die Datenübertragung in die USA nur unter strengen Bedingungen erlaubt. Der EU-US Data Privacy Framework bietet seit 2023 wieder eine Rechtsgrundlage, aber nicht alle US-Anbieter sind zertifiziert.
Praxis-Beispiel
Ein Unternehmen nutzt 12 verschiedene Online-Tools — von Hosting über E-Mail bis CRM. Für jedes Tool braucht es einen AVV. Bei einer DSGVO-Prüfung stellt sich heraus: Für 8 von 12 Tools fehlt der AVV. Die Nacharbeit plus Beratungskosten: 3.000 Euro.
Warum ist das wichtig?
Ohne AVVs bist du bei einer DSGVO-Prüfung sofort angreifbar. Die gute Nachricht: Die meisten Anbieter stellen AVVs kostenlos bereit. Du musst sie nur abschließen und aufbewahren.
Verwandte Begriffe