Magazin
Auftragsverarbeitungsvertrag nach DSGVO: Wann Sie ihn brauchen und was drinsteht

Auftragsverarbeitungsvertrag nach DSGVO: Wann Sie ihn brauchen und was drinsteht

Letztes Update:
08.04.2026
Lesezeit:
0
Min
Sollen externe Dienstleister im Auftrag Ihres Unternehmens personenbezogene Daten verarbeiten, müssen Sie mit Ihrem Auftragnehmer einen Vertrag abschließen, der Bedingungen und Regeln dafür festlegt – das schreibt die DSGVO vor. Erfahren Sie, was in einem Auftragsverarbeitungsvertrag, kurz AV-Vertrag, steht und wann Sie darauf nicht verzichten sollten.
Auftragsverarbeitungsvertrag nach DSGVO: Wann Sie ihn brauchen und was drinsteht
Die wichtigsten Erkenntnisse
  • Ein AVV ist erforderlich, wenn ein Dienstleister personenbezogene Daten weisungsgebunden im Auftrag verarbeitet.
  • Der Auftraggeber bleibt Verantwortlicher und trägt die Hauptverantwortung für die Datenverarbeitung.
  • Kein AVV liegt typischerweise vor, wenn der Empfänger als eigenständiger Verantwortlicher oder als Fachleistung selbst über Zwecke/Mittel entscheidet.
  • Der AVV muss nach Art. 28 Abs. 3 DSGVO u. a. Zweck/Art der Verarbeitung, TOMs, Subunternehmer und Löschung regeln.
  • Bei Verstößen können Verantwortlicher und Auftragsverarbeiter haften, jeweils im Rahmen ihrer Pflichten und Verantwortungsbereiche.

Was ist ein Auftragsverarbeitungsvertrag?

Einen Auftragsverarbeitungsvertrag müssen Unternehmen mit Dienstleistern abschließen, wenn die externen Anbieter Daten im Auftrag und auf Weisung des Unternehmens verarbeiten sollen.

Vor Einführung der Datenschutzgrundverordnung (DSGVO) hieß der Vertrag Auftragsdatenverarbeitungsvertrag (ADV-Vertrag). Ein wichtiger Unterschied zur alten Rechtslage ist, dass der Auftragsverarbeiter heute ein Verarbeitungsverzeichnis führen muss.

Welche Verarbeitungen betrifft der AV-Vertrag?

Im Sinne der DSGVO liegt eine Auftragsverarbeitung vor, wenn Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen (Auftraggeber) verarbeiten (Art. 4 Nr. 8 DSGVO und Art. 28 Abs. 1 DSGVO). Eine Verarbeitung stellt gemäß Art. 4 Nr. 2 DSGVO unter anderem das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten dar.  

Typische Anwendungen sind beispielsweise die Abwicklung der Lohnabrechnung über einen externen Dienstleister sowie die Beauftragung von Webhostern, Newsletter-Dienstleistern oder Marketing-Agenturen.

Welche Bedeutung hat der AV-Vertrag für Unternehmen?

Mit einem AV-Vertrag erhalten sowohl Auftraggeber als auch Auftragnehmer Klarheit über Befugnisse und Weisungen sowie über den Gegenstand und Zweck der Verarbeitung. Rechte und Pflichten der jeweiligen Auftragsverarbeitung sind in einem AV-Vertrag eindeutig festgelegt.

Außerdem geben AV-Verträge Unternehmen eine gewisse Sicherheit: Sie können im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachweisen, dass die Verantwortung in dessen Aufgabenbereich lag.  

Vorsicht: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO. Der externe Dienstleister ist nur unterstützend tätig und somit der „verlängerte Arm“ seines Auftraggebers.

Wann liegt keine Auftragsverarbeitung vor?

Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit („Joint Controllership“) nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen.

  • Reine Datenübermittlung: Übermittelt ein Verantwortlicher einem anderen personenbezogene Daten, ist hierfür kein AV-Vertrag erforderlich. Es bedarf aber eines Erlaubnistatbestandes für die Übermittlung sowie für die Verarbeitung der Daten beim anderen Verantwortlichen.
  • Gemeinsame Verantwortlichkeit: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten fest, so sind sie gemeinsam verantwortlich und müssen in einer „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO festlegen, wer welcher DSGVO-Pflicht nachkommt.  

Auftragsverarbeitung erkennen

Als Hilfe bei der Abgrenzung zur Auftragsverarbeitung hilft folgende Frage: Lässt sich der angestrebte Zweck der Datenverarbeitung auch ohne den Dritten verfolgen?  

Können Sie die Frage mit einem Ja beantworten und ist der Dritte somit problemlos austauschbar, ist das ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit einem Nein, spricht dies gegen eine reine Auftragsverarbeitung und dafür, dass eine gemeinsame Verantwortlichkeit vorliegen kann.

In der Praxis: Wer braucht einen Auftragsverarbeitungsvertrag?

Ob ein Auftragsverarbeitungsvertrag erforderlich ist, hängt davon ab, in welcher Rolle der Dienstleister personenbezogene Daten verarbeitet.

Kurz gesagt: Ein AVV ist nötig, wenn ein externer Dienstleister personenbezogene Daten im Auftrag Ihres Unternehmens und weisungsgebunden verarbeitet. Dann bleiben Sie Verantwortlicher im Sinne der DSGVO und der Dienstleister handelt als Auftragsverarbeiter – also als „verlängerter Arm“ Ihres Unternehmens.

Bei der Beantwortung der Frage, ob es sich um eine Auftragsverarbeitung handelt und somit ein AV-Vertrag geschlossen werden muss, spielt vor allem die Weisungsgebundenheit eine Rolle: Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie Verantwortlicher im Sinne der DSGVO bleiben und einen Auftragsverarbeitungsvertrag schließen müssen.

Wann muss ein AVV geschlossen werden?

Ein AVV ist abzuschließen, wenn alle folgenden Punkte zutreffen:

  • Sie beauftragen einen externen Dienstleister und dabei werden personenbezogene Daten verarbeitet.
  • Der Dienstleister verarbeitet diese Daten im Auftrag Ihres Unternehmens (Art. 4 Nr. 8 DSGVO).
  • Der Dienstleister ist dabei weisungsabhängig: Je stärker Sie Zweck, Ablauf und Rahmen der Verarbeitung vorgeben, desto eher liegt Auftragsverarbeitung vor.

In diesen Fällen müssen Sie als Verantwortlicher über den Auftragsverarbeitungsvertrag sicherstellen, dass der Dienstleister ein angemessenes Datenschutzniveau einhält. Eine zusätzliche Rechtsgrundlage nur für die Tätigkeit des Auftragsverarbeiters brauchen Sie nicht. Maßgeblich bleibt die Rechtsgrundlage, auf die Sie Ihre Verarbeitung stützen.

Wichtig: Unternehmen sollten ihre Auftragsverarbeiter regelmäßig kontrollieren und prüfen, ob das Datenschutzniveau nach wie vor eingehalten wird.

Beispiel: Bei Tools wie Google Analytics ist in der Regel ein AVV erforderlich, weil dabei personenbezogene Daten verarbeitet und übermittelt werden. Ein AVV ersetzt jedoch nicht die Prüfung der Rechtsgrundlage.

Verträge für Auftragsverarbeitungen effizient managen

Mit einer Datenschutzsoftware erstellen und verwalten Sie Ihre AV-Verträge an einem zentralen Ort. Vorlagen und automatisierte Prozesse stellen sicher, dass Sie datenschutzrechtlich auf der sicheren Seite sind.

AV-Verwaltung kennenlernen

Wann ist in der Regel kein AVV nötig?

Keine Auftragsverarbeitung liegt typischerweise vor, wenn Sie personenbezogene Daten an Dienstleister geben, die eine eigenständige Fachleistung erbringen und dabei nicht weisungsgebunden handeln. In diesen Konstellationen tragen die Dienstleister für ihre Verarbeitung regelmäßig selbst die Verantwortung.

Dazu zählen zum Beispiel:

  • Steuerberater
  • Rechtsanwälte
  • Wirtschaftsprüfer
  • Bankinstitute
  • Postdienste
  • Inkassobüros mit Forderungsübertragung

Was sind wichtige Bestandteile eines AV-Vertrags?

Um Auftragsverarbeitungsverträge DSGVO-konform abzuschließen, sind gemäß Art. 28 Abs. 3 DSGVO verschiedene Aspekte vertraglich zu regeln. Dazu gehören:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
  • Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
  • Anforderungen an die Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener, der Sicherheit der Verarbeitung, der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Regelung, wie der Nachweis der Einhaltung der genannten Pflichten erfolgt

Tipp: Sie möchten Ihren AV-Vertrag DSGVO-konform aufsetzen? Nutzen Sie unsere kostenlose AV-Vertrag-Vorlage.

Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag

Bei Datenschutzverstößen können sowohl der Verantwortliche als auch der Auftragsverarbeiter haftbar sein. Der Auftragsverarbeiter haftet dabei insbesondere für Verstöße, die in seinem Verantwortungsbereich liegen, etwa wenn er Weisungen nicht befolgt oder seine eigenen Pflichten als Auftragsverarbeiter verletzt.  

Beide Seiten können sich entlasten, wenn sie nachweisen, dass sie für den Schaden nicht verantwortlich sind. Für Betroffene bleibt in der Regel der Verantwortliche der wichtigste Ansprechpartner.

Fazit: AV-Verträge sicher aufsetzen und entspannt zusammenarbeiten

Bei der Fremdverarbeitung personenbezogener Daten geben Sie den Takt an und der AV-Vertrag sorgt für Harmonie in der Zusammenarbeit mit Ihrem externen Dienstleister. Damit Auftragsverarbeitungen nach geltendem Datenschutzrecht vertraglich korrekt dokumentiert werden, müssen die Verträge sauber aufgesetzt werden. Die Datenschutzexperten von Proliance und die Software Proliance 360 unterstützen Sie dabei mit Know-how und Automatisierungen.

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Keine passenden Inhalte gefunden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
DSGVO & Recht
Datenschutz­management
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Datensicherheit einfach erklärt
08.04.2026
Unterschied zwischen Datenschutz und Datensicherheit einfach erklärt
Datensicherheit und Datenschutz sind keine Synonyme, sondern zwei wichtige Aufgaben für Unternehmen. Erfahren Sie, wie Sie beide Bereiche sauber unterscheiden und effizient umsetzen können.
Bundesdatenschutzgesetz (BDSG): Was müssen Unternehmen zur aktuellen Fassung wissen?
08.04.2026
Bundesdatenschutzgesetz (BDSG): Was müssen Unternehmen zur aktuellen Fassung wissen?
Seit 2018 müssen Unternehmen in Deutschland nicht nur die Vorgaben der DSGVO beachten, sondern sollten auch wissen, wann die Regeln des Bundesdatenschutzgesetzes für sie relevant sind. Erfahren Sie, welche Funktion das BDSG hat und was es für Ihr Unternehmen bedeutet.
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
08.04.2026
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
Wenn es um den Datenschutz geht, müssen Unternehmen sich mit DSGVO und BDSG auseinandersetzen. Was sind die Unterschiede zwischen den Verordnungen und wann gilt was? Dieser Artikel beleuchtet die wichtigsten Aspekte mit praxisnahen Beispiele und liefert Tipps zur Einhaltung beider Gesetze.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
12.03.2026
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Wer sie verarbeitet, braucht nicht nur eine saubere Rechtsgrundlage, sondern auch Prozesse, die im Alltag funktionieren (von der Anmeldung über IT-Systeme bis zur Zusammenarbeit mit Dienstleistern). In diesem Beitrag schauen wir darauf, welche Regeln gemäß DSGVO für Gesundheitsdaten gelten – und welche praktischen Maßnahmen euch helfen, typische Risiken schnell in den Griff zu bekommen.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Datenschutzhinweise für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
newsletters

Don't miss out on anything — subscribe to your exclusive data protection newsletter now!