Aktualisiert: März 2026 · Lesezeit: 8 Min.
Wenn jemand anderes Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen AVV. Klingt erst mal abstrakt. Konkreter: Ihr Webhoster speichert die IP-Adressen Ihrer Besucher. Ihr Newsletter-Dienst verwaltet E-Mail-Adressen. Ihr Cloud-Anbieter hostet Kundendaten. All diese Dienstleister sind Auftragsverarbeiter nach Art. 28 DSGVO — und für jeden einzelnen brauchen Sie einen Vertrag.
Warum? Weil Sie als Websitebetreiber oder Unternehmer der „Verantwortliche" bleiben. Sie bestimmen Zweck und Mittel der Datenverarbeitung. Der Dienstleister handelt nur auf Ihre Weisung. Und damit er das auch nachweisbar tut, schreibt die DSGVO diesen Vertrag vor.
Meiner Erfahrung nach ist der AVV einer der am häufigsten ignorierten DSGVO-Pflichten. Nicht aus bösem Willen — die meisten wissen schlicht nicht, dass sie einen brauchen. Ein Webdesigner in Frankfurt baut eine Website, nutzt dabei Hosting bei IONOS, Tracking über Google, Newsletter über Mailchimp. Drei Auftragsverarbeiter, drei AVVs nötig. Hat er? In neun von zehn Fällen: nein.
Immer dann, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Die entscheidende Frage: Wer bestimmt den Zweck? Wenn Sie es sind, ist der Dienstleister Auftragsverarbeiter.
Typische Fälle, die einen AVV erfordern: Webhoster (Hetzner, IONOS, ALL-INKL, Strato), E-Mail-Marketing (Mailchimp, CleverReach, Sendinblue), Analyse-Tools (Google Analytics, Matomo Cloud), CRM-Systeme (HubSpot, Salesforce), Cloud-Speicher (Dropbox, Google Drive, OneDrive), Buchhaltungssoftware als SaaS (Lexoffice, sevDesk).
Kein AVV nötig ist hingegen bei eigenverantwortlicher Datenverarbeitung. Wenn Sie einen Steuerberater beauftragen, verarbeitet dieser die Daten auf eigene Verantwortung, nicht als Ihr Auftragsverarbeiter. Ähnlich bei Rechtsanwälten, Wirtschaftsprüfern oder Inkassounternehmen.
Die Abgrenzung ist manchmal knifflig. Eine Druckerei, die Ihre Kundenbriefe druckt und dafür eine Adressliste bekommt? Auftragsverarbeitung. Ein Übersetzer, der einen Vertrag mit Kundendaten übersetzt? Eher eigenverantwortliche Tätigkeit. Im Zweifel: lieber einen AVV zu viel als einen zu wenig.
Art. 28 Abs. 3 DSGVO listet die Pflichtinhalte auf.
Gegenstand und Dauer der Verarbeitung. Was wird verarbeitet und wie lange? „Hosting der Website domain.de ab 01.01.2026 bis zur Kündigung des Hosting-Vertrags" — so konkret sollte es sein.
Art und Zweck der Verarbeitung. Speicherung, Übermittlung, Löschung? Für welchen Zweck? „Bereitstellung und technischer Betrieb der Website, einschließlich Speicherung von Server-Logfiles" zum Beispiel.
Art der personenbezogenen Daten und Kategorien der Betroffenen. IP-Adressen, E-Mail-Adressen, Namen? Von Websitebesuchern, Kunden, Mitarbeitern?
Technische und organisatorische Maßnahmen (TOMs). Der Auftragsverarbeiter muss nachweisen, dass er die Daten angemessen schützt. Verschlüsselung, Zugangskontrollen, Backup-Konzepte — dokumentiert als Anlage zum AVV.
Regelungen zu Unterauftragsverarbeitern. Darf Ihr Dienstleister weitere Dienstleister einschalten? Bei großen Cloud-Anbietern ist das Standard — Google nutzt Unterauftragsverarbeiter, AWS ebenso. Sie müssen dem zustimmen können oder zumindest informiert werden.
Pflichten nach Beendigung. Was passiert mit den Daten, wenn der Vertrag endet? Löschung? Rückgabe? In welchem Format und innerhalb welcher Frist?
Die gute Nachricht: Die meisten großen Anbieter stellen fertige AVVs bereit. Bei Google finden Sie ihn in der Cloud Console. Bei Hetzner im Robot-Interface. Bei Mailchimp im Account unter „Legal". Bei IONOS im Kundencenter.
Oft müssen Sie den AVV nur digital akzeptieren — ein Klick und die Sache ist erledigt. Manchmal ein PDF herunterladen, ausfüllen, unterschreiben und zurücksenden. Lästig, aber notwendig.
Bei kleineren Anbietern — dem lokalen IT-Dienstleister in Dortmund oder dem Freelancer, der Ihr Social Media managt — müssen Sie den AVV oft selbst stellen. Vorlagen gibt es kostenlos bei den Datenschutzaufsichtsbehörden. Die bayerische Datenschutzbehörde (BayLDA) bietet eine besonders praxistaugliche Vorlage.
Fehler eins: Überhaupt keinen AVV haben. Das betrifft die Mehrheit der kleinen Unternehmen. Ein Onlineshop in Essen mit Shopify-Hosting, Mailchimp-Newsletter, Stripe-Zahlungen und Google Analytics braucht mindestens vier AVVs. Haben die wenigsten.
Fehler zwei: Einen generischen AVV verwenden, der nicht passt. Wenn der AVV von „Personalverwaltung" spricht, aber eigentlich Website-Hosting gemeint ist, dann ist der Vertrag faktisch wertlos.
Fehler drei: Den AVV nie aktualisieren. Wechseln Sie den Hoster, brauchen Sie einen neuen AVV. Fügen Sie einen Dienst hinzu, ebenfalls. Die Verträge müssen mit Ihrer tatsächlichen Datenverarbeitung übereinstimmen — immer.
Listen Sie alle externen Dienste auf, die Zugriff auf personenbezogene Daten haben. Hoster, E-Mail, Analytics, CRM, Payment, Cloud-Speicher. Prüfen Sie für jeden Dienst, ob ein AVV existiert. Bei großen Anbietern im Kundenkonto nachschauen, meist unter „Datenschutz" oder „Legal". Bei kleineren Anbietern aktiv nachfragen, ggf. eine Vorlage mitschicken.
Dokumentieren Sie, welche AVVs Sie abgeschlossen haben — Datum, Dienstleister, Version. Das gehört in Ihr Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Setzen Sie sich einen jährlichen Reminder, die Liste zu überprüfen.