Zum Inhalt springen
Biscotti CMP
FunktionenPreise🔍 Cookie-Check♿ Barrierefreiheit📦 DownloadsDokumentationBlog
Anmelden
Startseite›Blog

Der ultimative Leitfaden für AVVs: Warum jeder Datenverarbeiter einen benötigt

7. Juli 2026 · 15 Min. Lesezeit

Der ultimative Leitfaden für AVVs: Warum jeder Datenverarbeiter einen benötigt

Kurzantwort: Ein AVV (Auftragsverarbeitungsvertrag) ist ein gesetzlich vorgeschriebener Vertrag gemäß Artikel 28 DSGVO zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Jede Organisation, die personenbezogene Daten im Auftrag einer anderen Partei verarbeitet, muss einen solchen Vertrag abschließen. Ohne einen AVV setzen sich beide Parteien Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes aus, je nachdem, welcher Betrag höher ist.


Wichtigste Erkenntnisse

  • Ein AVV ist die deutsche Bezeichnung für einen Data Processing Agreement (DPA), der gemäß Artikel 28 DSGVO immer dann erforderlich ist, wenn ein Auftragsverarbeiter personenbezogene Daten für einen Verantwortlichen verarbeitet.
  • Die Vereinbarung muss den Gegenstand, den Zweck, die Dauer, die Datenarten, die technischen und organisatorischen Maßnahmen (TOMs) und die Regeln für Unterauftragsverarbeiter festlegen.
  • Das Fehlen eines gültigen AVV kann zu behördlichen Bußgeldern führen, unabhängig davon, ob eine Datenschutzverletzung stattgefunden hat.
  • Kleine Unternehmen sind nicht ausgenommen: Cloud-Hosting, Lohnbuchhaltungssoftware und E-Mail-Marketing-Tools lösen in der Regel die AVV-Anforderung aus.
  • Ein AVV ist ein Vertrag zwischen zwei Parteien, keine Datenschutzerklärung, und er implementiert selbst keine Sicherheitsmaßnahmen wie Verschlüsselung.
  • AVVs sollten überprüft werden, wenn sich Unterauftragsverarbeiter ändern, Daten in Drittländer übertragen werden oder Verarbeitungsaktivitäten geändert werden.
  • In der DACH-Region (Deutschland, Österreich, Schweiz) sind AVVs Standardpraxis bei SaaS-Anbietern, Hosting-Providern und ERP-Systemen.
  • Vorlagen sind von Compliance-Organisationen und Anbietern erhältlich, aber eine Anpassung an die tatsächlichen Verarbeitungsaktivitäten ist unerlässlich.

Wofür steht AVV in der Datenverarbeitung?

AVV steht für Auftragsverarbeitungsvertrag, ein deutsches Kompositum, das direkt mit "data processing agreement" ins Englische übersetzt wird. Es ist das vertragliche Instrument, das durch Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) vorgeschrieben ist, um die Beziehung zwischen einem Verantwortlichen und einem Auftragsverarbeiter zu regeln.

Der Begriff ist spezifisch für deutschsprachige Jurisdiktionen (Deutschland, Österreich und Schweiz), aber das zugrunde liegende Rechtskonzept gilt universell in der gesamten EU und im EWR. Im englischsprachigen Kontext wird dasselbe Dokument als Data Processing Agreement (DPA) bezeichnet. International tätige Organisationen sollten sicherstellen, dass ihre AVVs in den relevanten Sprachen verfügbar sind, um das Verständnis und die Einhaltung zu erleichtern [5].

Der AVV ist keine Datenschutzerklärung oder ein Cookie-Einwilligungsbanner. Er ist ein verbindlicher bilateraler Vertrag, der festlegt, wie ein Auftragsverarbeiter personenbezogene Daten behandeln darf, unter welchen Bedingungen und mit welchen Schutzmaßnahmen.


Warum benötigen Datenverarbeiter einen AVV?

Ein AVV ist obligatorisch, wenn ein Verantwortlicher einen Auftragsverarbeiter beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten. Dies ist keine optionale Richtlinie; es ist eine zwingende rechtliche Anforderung gemäß Artikel 28 DSGVO [1].

Häufige Szenarien, die die AVV-Anforderung auslösen, sind:

  • Cloud-Hosting und -Infrastruktur (z. B. Server, die Kundendatenbanken speichern)
  • Lohnbuchhaltung, die von einem externen HR-Anbieter durchgeführt wird
  • E-Mail-Marketing-Plattformen, die Abonnentenlisten speichern
  • SaaS-ERP-Anbieter, die auf Geschäfts- und Mitarbeiterdaten zugreifen
  • Analyse- und Tracking-Tools, die Besucher-Verhaltensdaten verarbeiten

Ohne einen AVV haben beide Parteien keine dokumentierte Rechtsgrundlage für die Verarbeitungsbeziehung. Aufsichtsbehörden betrachten das Fehlen eines AVV als eigenständigen Compliance-Verstoß, getrennt von jeder Untersuchung einer Datenschutzverletzung [3].


Ist ein AVV dasselbe wie ein DPA?

Ja, ein AVV und ein DPA beziehen sich auf dasselbe Rechtsdokument. Der AVV ist die deutschsprachige Bezeichnung; DPA ist das englische Äquivalent, das in den meisten anderen EU-Mitgliedstaaten und in internationalen Compliance-Kontexten verwendet wird [5].

Beide Dokumente erfüllen die Anforderungen von Artikel 28 DSGVO und müssen dieselben obligatorischen Elemente enthalten. Wenn ein deutsches Unternehmen einen DPA mit einem US-amerikanischen SaaS-Anbieter unterzeichnet, fungiert dieser DPA als AVV für die DSGVO-Compliance, sofern er alle materiellen Anforderungen erfüllt.

Wichtiger Unterschied, den man sich merken sollte: Die Bezeichnung des Dokuments ist weniger wichtig als sein Inhalt. Ein Dokument mit dem Titel "Data Processing Addendum", "Processing Agreement" oder "AVV" ist rechtlich gleichwertig, solange es alle erforderlichen Elemente abdeckt.


Wer benötigt einen AVV für die DSGVO-Compliance?

Jede Organisation, die ein Verantwortlicher ist und einen Drittanbieterdienst nutzt, der personenbezogene Daten in ihrem Namen verarbeitet, benötigt einen AVV. Dies gilt für Unternehmen jeder Größe in allen Branchen [1].

Verantwortliche, die typischerweise AVVs benötigen:

Szenario Verantwortlicher Auftragsverarbeiter
Unternehmen nutzt Cloud-CRM Unternehmen CRM-Anbieter
Website nutzt Analysen Website-Betreiber Analyse-Anbieter
HR lagert Lohnbuchhaltung aus Arbeitgeber Lohnbuchhaltungsbüro
Online-Shop nutzt E-Mail-Tool Einzelhändler E-Mail-Plattform
Agentur verwaltet Kundenanzeigen Agentur Ad-Tech-Plattform

Wer kein Auftragsverarbeiter ist: Eine Partei, die die Zwecke und Mittel der Verarbeitung selbstständig bestimmt, ist ein eigenständiger Verantwortlicher, kein Auftragsverarbeiter. Gemeinsame Verantwortliche benötigen eine andere Art von Vereinbarung gemäß Artikel 26 DSGVO.

Kleine Unternehmen übersehen diese Anforderung häufig und gehen davon aus, dass sie nur für große Unternehmen gilt. Diese Annahme ist falsch. Jeder Website-Betreiber, der einen Drittanbieter-Hosting-Provider, einen Newsletter-Dienst oder ein Buchungssystem nutzt, benötigt wahrscheinlich mindestens einen AVV [5].


Was sollte in einem AVV enthalten sein?

Ein konformer AVV muss bestimmte obligatorische Elemente enthalten. Das Fehlen auch nur eines einzigen kann die Vereinbarung unter DSGVO-Prüfung als unzureichend erscheinen lassen [2].

Obligatorische Bestandteile:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs), die vom Auftragsverarbeiter implementiert werden
  • Regeln für die Beauftragung von Unterauftragsverarbeitern
  • Verfahren für Anfragen von betroffenen Personen
  • Pflichten zur Benachrichtigung bei Datenschutzverletzungen
  • Rückgabe oder Löschung von Daten bei Vertragsbeendigung
  • Prüfrechte für den Verantwortlichen

Der Abschnitt über TOMs ist besonders wichtig. Obwohl der AVV selbst keine Sicherheitsmaßnahmen implementiert, muss er dokumentieren, welche Maßnahmen der Auftragsverarbeiter getroffen hat, wie z. B. Verschlüsselungsstandards, Zugriffskontrollen und Pseudonymisierungspraktiken [1].


Was passiert, wenn Sie keinen AVV haben?

Der Betrieb ohne einen gültigen AVV setzt sowohl den Verantwortlichen als auch den Auftragsverarbeiter erheblichen behördlichen Strafen aus. Gemäß Artikel 83 Absatz 4 DSGVO können Bußgelder für Verstöße gegen Artikel 28 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen, und gemäß Artikel 83 Absatz 5 für schwerwiegendere Verstöße bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist [3].

Entscheidend ist, dass diese Bußgelder verhängt werden können, unabhängig davon, ob eine Datenschutzverletzung stattgefunden hat. Eine Aufsichtsbehörde, die eine Routineprüfung durchführt oder auf eine Beschwerde reagiert, kann das Fehlen eines AVV feststellen und allein auf dieser Grundlage ein Bußgeld verhängen.

Zusätzliche Konsequenzen sind:

  • Reputationsschaden und Verlust des Kundenvertrauens
  • Vertragliche Haftung zwischen Verantwortlichem und Auftragsverarbeiter
  • Potenzielle Aussetzung der Verarbeitungsaktivitäten bis zur Behebung

AVV vs. Data Processing Agreement: Hauptunterschiede

Der AVV und der DPA sind im Wesentlichen dasselbe Dokument unter verschiedenen Namen. Es gibt jedoch praktische Unterschiede, die für internationale Organisationen beachtenswert sind.

Dimension AVV DPA
Sprache Deutsch Englisch (oder lokal)
Fokus der Gerichtsbarkeit DACH-Region EU/EWR allgemein
Häufiger Nutzungskontext Deutschsprachige Verträge Internationale SaaS-Vereinbarungen
Rechtsgrundlage DSGVO Artikel 28 DSGVO Artikel 28
Inhaltsanforderungen Identisch Identisch

Die DACH-Region (Deutschland, Österreich, Schweiz) hat eine besonders starke Durchsetzungskultur in Bezug auf AVVs, was sie zu einer Standardpraxis in Anbieterverträgen mit Hosting-Providern, SaaS-ERP-Anbietern und anderen Dienstleistungspartnern macht [1].


Wie viel kostet ein AVV?

Die Kosten für einen AVV variieren je nachdem, wie er erstellt und überprüft wird.

  • Vorlagenbasierter AVV: Viele Anbieter stellen ihren eigenen AVV als Teil ihrer Servicebedingungen zur Verfügung, typischerweise ohne zusätzliche Kosten. Organisationen wie NexDeck bieten detaillierte AVV-Vorlagen einschließlich Unterauftragsverarbeiterlisten an [4].
  • Rechtsberatung: Die Erstellung oder Überprüfung eines maßgeschneiderten AVV durch einen Datenschutzanwalt kostet typischerweise zwischen 300 und 2.000 Euro, abhängig von Komplexität und Gerichtsbarkeit.
  • DPO-unterstützte Erstellung: Organisationen mit einem internen oder externen Datenschutzbeauftragten (DPO) können diese Ressource oft nutzen, um AVVs ohne zusätzliche Grenzkosten über das DPO-Honorar hinaus zu erstellen.

Für kleine Unternehmen ist der praktischste Ansatz, mit einer seriösen Vorlage zu beginnen und diese vor der Unterzeichnung von einem qualifizierten Fachmann überprüfen zu lassen.


Wie erstelle ich eine AVV-Vorlage?

Die Erstellung eines AVV beginnt mit der Identifizierung aller Verarbeitungsbeziehungen, bei denen ein Dritter personenbezogene Daten in Ihrem Namen verarbeitet. Von dort aus folgt der Prozess diesen Schritten:

  1. Bestandsaufnahme Ihrer Auftragsverarbeiter: Listen Sie jeden Anbieter, jedes Tool oder jeden Dienst auf, der auf personenbezogene Daten zugreift, die Sie kontrollieren.
  2. AVV einholen oder entwerfen: Viele Auftragsverarbeiter (insbesondere SaaS-Anbieter) stellen ihren eigenen Standard-AVV zur Verfügung. Überprüfen Sie ihn anhand der oben aufgeführten obligatorischen Elemente.
  3. Abschnitt TOMs anpassen: Stellen Sie sicher, dass die technischen und organisatorischen Maßnahmen die tatsächlichen Sicherheitspraktiken des Auftragsverarbeiters widerspiegeln.
  4. Unterauftragsverarbeiter auflisten: Fügen Sie einen Anhang hinzu, der alle Unterauftragsverarbeiter identifiziert, die der Auftragsverarbeiter nutzt, zusammen mit deren Rollen und Standorten.
  5. Mechanismen für Datenübertragungen definieren: Wenn Daten außerhalb der EU/des EWR übertragen werden, geben Sie den rechtlichen Übertragungsmechanismus an (z. B. Standardvertragsklauseln).
  6. Unterzeichnen und aufbewahren: Beide Parteien müssen den AVV unterzeichnen. Bewahren Sie eine Kopie in Ihren Datenverarbeitungsunterlagen auf.

Vorlagen von Compliance-orientierten Organisationen bieten eine solide strukturelle Grundlage, aber jeder AVV sollte auf die spezifische Verarbeitungsaktivität zugeschnitten sein, die er regelt [2].


AVV-Anforderungen für kleine Unternehmen

Kleine Unternehmen sind von der AVV-Anforderung nicht ausgenommen. Jede Organisation, die der DSGVO unterliegt und einen Drittanbieter als Auftragsverarbeiter nutzt, muss einen AVV abschließen, unabhängig von Unternehmensgröße oder Mitarbeiterzahl [1].

Für kleine Unternehmen ist die praktische Belastung geringer, als es scheinen mag:

  • Die meisten großen SaaS-Anbieter (E-Mail-Plattformen, Buchungssysteme, Analysetools) stellen bereits einen Standard-AVV oder DPA als Teil ihrer Nutzungsbedingungen bereit. Die Annahme dieser Bedingungen stellt typischerweise eine gültige Vereinbarung dar.
  • Die Hauptaufgabe besteht darin, sicherzustellen, dass Sie diese Bedingungen tatsächlich überprüft und akzeptiert haben, anstatt davon auszugehen, dass sie existieren.
  • Führen Sie ein einfaches Register Ihrer Auftragsverarbeiter und der entsprechenden AVVs.

Häufiger Fehler: Kleinunternehmer gehen oft davon aus, dass, weil ein Anbieter groß und seriös ist, die rechtlichen Formalitäten automatisch erledigt sind. Die Annahme eines AVV muss ein aktiver, dokumentierter Schritt sein.


AVV-Prüfprotokollanforderungen

Ein AVV muss Bestimmungen enthalten, die dem Verantwortlichen das Recht einräumen, die Einhaltung durch den Auftragsverarbeiter zu prüfen. Dieses Prüfrecht ist ein obligatorisches Element gemäß Artikel 28 Absatz 3 Buchstabe h DSGVO [2].

In der Praxis bedeuten Prüfprotokollanforderungen:

  • Der Auftragsverarbeiter muss Aufzeichnungen über die Verarbeitungsaktivitäten gemäß Artikel 30 Absatz 2 DSGVO führen.
  • Der Verantwortliche hat das Recht, Prüfungen durchzuführen oder Dritte mit der Überprüfung der Einhaltung zu beauftragen.
  • Viele Auftragsverarbeiter erfüllen diese Anforderung durch Zertifizierungen Dritter wie ISO 27001 oder SOC 2, die in vielen Fällen Vor-Ort-Prüfungen ersetzen können.

Der AVV ist direkt relevant für die ISO 27001 Annex A Kontrollen A.5.19 bis A.5.22, die Lieferantenbeziehungen und Informationssicherheit in Lieferketten regeln [2]. Organisationen mit einem formalen Informationssicherheits-Managementsystem (ISMS) sollten sicherstellen, dass ihre AVVs in ihre Lieferantenmanagementprozesse integriert sind.


AVV für internationale Datenübertragungen

Wenn sich ein Auftragsverarbeiter außerhalb der EU/des EWR befindet, muss der AVV den rechtlichen Mechanismus für die Übertragung personenbezogener Daten in dieses Drittland regeln. Standardvertragsklauseln (SCCs) sind der am häufigsten verwendete Mechanismus und werden typischerweise als Anhang zum AVV aufgenommen [2].

Wichtige Überlegungen für internationale AVVs:

  • Prüfen Sie, ob das Land des Auftragsverarbeiters einen Angemessenheitsbeschluss der EU hat.
  • Falls nicht, nehmen Sie die entsprechenden SCCs auf (Verantwortlicher-zu-Auftragsverarbeiter oder Verantwortlicher-zu-Verantwortlicher, je nach Beziehung).
  • Führen Sie gegebenenfalls eine Transfer Impact Assessment (TIA) durch.
  • Stellen Sie sicher, dass der AVV in den Sprachen beider Vertragsparteien verfügbar ist [5].

Wie oft sollten Sie Ihren AVV aktualisieren?

Ein AVV sollte überprüft und aktualisiert werden, wenn wesentliche Änderungen in der Verarbeitungsbeziehung auftreten. Es gibt kein festes gesetzliches Überprüfungsintervall, aber bewährte Praxis deutet auf mindestens eine jährliche Überprüfung hin [2].

Auslöser für eine sofortige AVV-Aktualisierung:

  • Der Auftragsverarbeiter beauftragt einen neuen Unterauftragsverarbeiter oder entfernt einen bestehenden
  • Verarbeitungsaktivitäten ändern sich in Art, Zweck oder Umfang
  • Daten werden in ein neues Drittland übertragen
  • Die TOMs des Auftragsverarbeiters werden erheblich aktualisiert
  • Anwendbares Recht oder behördliche Leitlinien ändern sich

Die proaktive Überprüfung von AVVs ist eine zentrale Compliance-Disziplin. Veraltete Vereinbarungen, die die tatsächlichen Verarbeitungsaktivitäten nicht mehr widerspiegeln, schaffen dieselbe regulatorische Exposition wie das Fehlen eines AVV.


Häufige Fehler beim Einrichten eines AVV

Selbst Organisationen, die die AVV-Anforderung verstehen, machen häufig Fehler bei der Implementierung.

Fehler 1: Die Standardvorlage des Anbieters als automatisch ausreichend behandeln. Eine vom Anbieter bereitgestellte AVV-Vorlage deckt möglicherweise nicht Ihre spezifischen Verarbeitungsaktivitäten ab. Überprüfen Sie sie immer anhand der obligatorischen Elemente.

Fehler 2: TOMs weglassen oder vage beschreiben. Aufsichtsbehörden prüfen den TOMs-Abschnitt genau. Vage Formulierungen wie "angemessene Sicherheitsmaßnahmen" ohne Spezifikationen sind unzureichend.

Fehler 3: Unterauftragsverarbeiter vergessen. Der AVV muss Unterauftragsverarbeiter auflisten. Das Versäumnis, diese Liste zu aktualisieren, wenn ein Auftragsverarbeiter seine Unterauftragsverarbeiter ändert, ist eine häufige Compliance-Lücke [2].

Fehler 4: Unterzeichnete Kopien nicht aufbewahren. Ein AVV, der bei einer Prüfung nicht vorgelegt werden kann, bietet keinen Rechtsschutz. Führen Sie organisierte Aufzeichnungen.

Fehler 5: Den AVV mit einer Datenschutzerklärung verwechseln. Dies sind völlig unterschiedliche Dokumente, die unterschiedlichen Zwecken dienen. Eine Datenschutzerklärung informiert betroffene Personen; ein AVV regelt die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter [1].


Fazit

Der ultimative Leitfaden für AVVs: Warum jeder Datenverarbeiter einen benötigt, läuft letztendlich auf eine einfache Compliance-Realität hinaus: Wenn personenbezogene Daten zwischen einem Verantwortlichen und einem Auftragsverarbeiter ausgetauscht werden, muss ein gültiger AVV vorhanden sein, bevor diese Verarbeitung beginnt. Es gibt keine Größenbefreiungen, keine branchenspezifischen Ausnahmen und keine Schonfristen für Organisationen, die bereits unter der DSGVO tätig sind.

Umsetzbare nächste Schritte für 2026:

  1. Überprüfen Sie jeden Drittanbieter, der auf personenbezogene Daten zugreift, die Sie kontrollieren, und bestätigen Sie, dass für jeden ein AVV vorhanden ist.
  2. Überprüfen Sie bestehende AVVs anhand der Checkliste der obligatorischen Elemente, wobei Sie besonderes Augenmerk auf TOMs und Unterauftragsverarbeiterlisten legen.
  3. Richten Sie eine Kalendererinnerung für jährliche AVV-Überprüfungen und triggerbasierte Aktualisierungen ein, wenn sich Verarbeitungsaktivitäten ändern.
  4. Für Organisationen, die die Einwilligung und Cookie-Compliance zusammen mit ihren AVVs verwalten, sollten Sie Ihre Datenverarbeitungsdokumentation mit einer konformen Consent Management Platform wie Biscotti CMP koppeln, um eine vollständige und verteidigungsfähige Compliance-Position aufrechtzuerhalten.
  5. Konsultieren Sie einen qualifizierten Datenschutzexperten für jeden AVV, der komplexe Verarbeitungsaktivitäten oder internationale Datenübertragungen beinhaltet.

Die Kosten, AVVs richtig zu machen, sind minimal. Die Kosten, sie falsch zu machen, sind es nicht.


FAQ

Was ist ein AVV einfach ausgedrückt? Ein AVV ist ein schriftlicher Vertrag zwischen einem Unternehmen, das personenbezogene Daten besitzt (dem Verantwortlichen), und einem Unternehmen, das diese Daten in seinem Namen verarbeitet (dem Auftragsverarbeiter). Er legt fest, welche Daten verarbeitet werden, warum, wie sie geschützt werden und welche Pflichten beide Parteien haben.

Ist ein AVV für jede Anbieterbeziehung erforderlich? Nur für Anbieter, die personenbezogene Daten in Ihrem Namen verarbeiten. Ein Anbieter, der lediglich ein Tool bereitstellt, das Sie selbst zur Datenverarbeitung nutzen (ohne Zugriff auf die Daten), ist in der Regel kein Auftragsverarbeiter und benötigt keinen AVV.

Kann eine mündliche Vereinbarung einen AVV ersetzen? Nein. Artikel 28 DSGVO verlangt ausdrücklich, dass die Verarbeitungsvereinbarung schriftlich, auch in elektronischer Form, erfolgt.

Schützt ein AVV vor DSGVO-Bußgeldern? Ein gültiger AVV reduziert das regulatorische Risiko erheblich, bietet aber keine absolute Immunität. Bußgelder können weiterhin für andere Verstöße verhängt werden. Ein AVV demonstriert die Einhaltung von Artikel 28 speziell.

Was ist der Unterschied zwischen einem Unterauftragsverarbeiter und einem Auftragsverarbeiter? Ein Auftragsverarbeiter verarbeitet Daten direkt für den Verantwortlichen. Ein Unterauftragsverarbeiter wird vom Auftragsverarbeiter beauftragt, bei dieser Verarbeitung zu unterstützen. Der Verantwortliche muss über Unterauftragsverarbeiter informiert werden, und der Auftragsverarbeiter muss Unterauftragsverarbeiter zu gleichwertigen Pflichten verpflichten.

Wie lange muss ein AVV aufbewahrt werden? Es gibt keine explizite Aufbewahrungsfrist in der DSGVO für AVVs, aber sie sollten für die Dauer der Verarbeitungsbeziehung und für einen angemessenen Zeitraum danach aufbewahrt werden, typischerweise im Einklang mit der Verjährungsfrist für behördliche Maßnahmen in der jeweiligen Gerichtsbarkeit.

Zählt ein mit einem US-Unternehmen unterzeichneter DPA als AVV? Ja, vorausgesetzt, er enthält alle Elemente, die in Artikel 28 DSGVO gefordert werden, und beinhaltet geeignete Übertragungsmechanismen wie Standardvertragsklauseln.

Darf der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke nutzen? Nein. Ein Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen verarbeiten. Die Verarbeitung für eigene Zwecke des Auftragsverarbeiters würde diese Partei als Verantwortlichen neu klassifizieren, mit separaten rechtlichen Pflichten.

Was ist eine TOM im Kontext eines AVV? TOM steht für Technische und Organisatorische Maßnahme. Dies sind die Sicherheitspraktiken, die ein Auftragsverarbeiter implementiert, um personenbezogene Daten zu schützen, wie z. B. Verschlüsselung, Zugriffskontrollen und Pseudonymisierung. Der AVV muss diese Maßnahmen dokumentieren.

Müssen AVVs notariell beglaubigt werden? Nein. Die DSGVO verlangt keine notarielle Beglaubigung. Eine unterzeichnete schriftliche Vereinbarung (einschließlich elektronischer Signaturen) ist ausreichend.


Referenzen

[1] Data Processing Agreement - https://erp-software.org/en/glossary/data-processing-agreement/?utm_source=openai

[2] Auftragsverarbeitungsvertrag - https://cenedril.net/wiki/en/glossar/auftragsverarbeitungsvertrag/?utm_source=openai

[3] Auftragsverarbeitung Art 28 Dsgvo Avv - https://www.ing-ism.de/magazin/auftragsverarbeitung-art-28-dsgvo-avv/?utm_source=openai

[4] nexdeck.app - https://www.nexdeck.app/avv?utm_source=openai

[5] booking-system.info - https://www.booking-system.info/bookingsystem/avv.html?utm_source=openai

← Zurück zum Blog
Biscotti CMP

Consent Management und Legal Text Generator der Campcruisers GmbH. Kann Sie bei Ihrer Webseiten-Compliance unterstützen.

Produkt

🏢 Über unsFunktionenPreiseDokumentation🔍 Cookie-Check📦 Downloads📚 Datenschutz & Consent Wissensdatenbank📝 Blog📖 Cookie-Consent & Datenschutz-Glossar🌍 Jurisdiktionen♿ WCAG 2.2 Barrierefreies Consent-Banner

Rechtliches

ImpressumDatenschutzAGBWiderrufsrechtAVVCookie-Richtlinie

Kontakt

Kontakt
© 2026 Biscotti – Ein Service der Campcruisers GmbH🍪 Cookie-Einstellungen ändern