Whitepaper · Compliance · Stand 2026-05

AVV nach Art. 28 DSGVO: KMU-Vorlage mit Erläuterungen

Wann AVV nötig ist, was reinmuss, was Sub-Auftragsverarbeiter sind, welche TOM-Beschreibungen Aufsichtsbehörden akzeptieren. Mit anonymisierten Beispielen aus 40 AVVs für 8 KMU-Customers.

Format: Online-WhitepaperLesedauer: 11 minZielgruppe: Geschäftsführer KMU 5–250 MAAutor: DripBack GmbH
Art. 28 DSGVO verlangt schriftliche Auftragsverarbeitungs-Verträge (AVV) mit jedem Auftragsverarbeiter. In der Praxis haben KMU oft 15-40 AVVs zu pflegen, mit unterschiedlicher Qualität. Dieses Whitepaper erklärt, was rechtlich zwingend rein muss, welche Formulierungen Aufsichtsbehörden bei Audits beanstanden und liefert eine modulare KMU-Vorlage.
01

Wann ist AVV nötig

AVV ist nötig, wenn ein Dritter "im Auftrag" personenbezogene Daten verarbeitet. "Im Auftrag" bedeutet: weisungsgebunden, ohne eigene Zweck-Bestimmung. Klassische Beispiele: Cloud-Hosting-Anbieter, externer Personal-Dienstleister, Marketing-Agentur, externer DSB. NICHT nötig: bei Funktionsübertragung (z.B. Steuerberater nach Art. 4 Nr. 7 DSGVO ist eigener Verantwortlicher). Auch nicht nötig bei reinem "Datentransfer ohne Verarbeitung" (z.B. Drucker, der nur ausdruckt). In Zweifelsfällen: AVV abschließen ist sicherer als nicht.

02

Die 13 Pflicht-Inhalte

Art. 28 Abs. 3 DSGVO listet 13 Pflicht-Inhalte für jeden AVV auf: (1) Gegenstand und Dauer der Verarbeitung. (2) Art und Zweck der Verarbeitung. (3) Datenkategorien. (4) Betroffenen-Gruppen. (5) Pflichten der Vertragspartner. (6) Weisungs-Bindung. (7) Verpflichtung zur Vertraulichkeit. (8) Sicherheits-Maßnahmen (TOMs). (9) Sub-Auftragsverarbeiter-Regelungen. (10) Mitwirkungs-Pflichten zur Erfüllung Betroffenen-Rechten. (11) Mitwirkungs-Pflichten bei Vorfalls-Meldung. (12) Bereitstellung aller für Audit notwendigen Informationen. (13) Lösch- oder Rückgabe-Pflichten nach Beendigung. Jeder Punkt muss konkret werden — Pauschal-Formulierungen reichen nicht.

03

TOM-Beschreibung: was Aufsichtsbehörden erwarten

Aufsichtsbehörden akzeptieren KEINE TOM-Beschreibungen wie "Datenverarbeiter trifft angemessene Maßnahmen". GEFORDERT wird eine konkrete Aufzählung mit den klassischen Schutz-Zielen: Zugangskontrolle (wer kommt rein), Zutrittskontrolle (wer geht ins Gebäude), Zugriffskontrolle (wer sieht was), Weitergabe-Kontrolle (Daten dürfen nicht abfließen), Eingabe-Kontrolle (Änderungen dokumentiert), Auftrags-Kontrolle (Weisungs-Bindung), Verfügbarkeits-Kontrolle (Backup), Trennungsgebot (Mandanten-Trennung). Pro Schutz-Ziel sollten 3-5 konkrete Maßnahmen genannt werden. Standard-AVV-Vorlagen von Cloud-Anbietern erfüllen das meist, sollten aber im Original geprüft und nicht ungeprüft akzeptiert werden.

04

Sub-Auftragsverarbeiter: das kritische Detail

Wer Sub-Dienstleister einsetzt, muss diese im AVV nennen ("Anlage Sub-Auftragsverarbeiter-Liste"). Wichtig: bei Änderung muss der Auftraggeber 30 Tage im Voraus informiert werden mit Widerspruchs-Recht. AWS, Azure, Google haben jeweils ihre eigenen Sub-Auftragsverarbeiter-Listen, die regelmäßig aktualisiert werden. Diese müssen im AVV referenziert oder beigefügt sein. Praxis-Tipp: bei jedem AVV jährliche Re-Prüfung der Sub-Liste, weil neue Sub-Verarbeiter (z.B. neue AWS-Region) hinzukommen können.

05

Audit-Recht: was beinhaltet

Art. 28 Abs. 3 Buchstabe h gibt dem Verantwortlichen das Recht, die TOMs zu auditieren. Das Audit-Recht kann ausgeübt werden durch: (a) Vor-Ort-Audit beim Auftragsverarbeiter. (b) Dokumenten-Prüfung (insbesondere TOM-Zertifikate wie ISO 27001, C5). (c) Unabhängiges Dritt-Audit durch akkreditierten Auditor. Bei Großen-Anbietern (AWS, Azure) ist Vor-Ort-Audit praktisch ausgeschlossen, dort wird das Audit-Recht via Zertifikats-Bezug ausgeübt. Bei kleineren Anbietern sollte ein 7-Tages-Vor-Ankündigungs-Recht im AVV verankert sein. Eigentlich sollte das Audit-Recht selten ausgeübt werden — der Wert liegt in der vertraglichen Verankerung.

06

Aufbewahrungs- und Lösch-Pflichten

Art. 28 Abs. 3 Buchstabe g fordert klare Regelungen zur Lösch- oder Rückgabe nach Beendigung. Standard-Formulierung: "Alle vom Auftragsverarbeiter verarbeiteten Daten sind binnen 30 Tagen nach Beendigung zu löschen oder, auf Wahl des Verantwortlichen, zurückzugeben." Wichtig: gesetzliche Aufbewahrungs-Pflichten (z.B. nach HGB §257 für 10 Jahre) sind explizit auszunehmen, falls relevant. Dafür sollte ein Mechanismus zur abgesicherten Aufbewahrung definiert werden (z.B. Daten werden gesondert verschlüsselt und nur für die definierte Frist aufbewahrt).

07

Vorfalls-Meldungs-Pflichten

Art. 33 DSGVO verlangt vom Verantwortlichen die Meldung von Datenschutz-Vorfällen binnen 72 Stunden. Der Auftragsverarbeiter muss dem Verantwortlichen ENTSPRECHEND HELFEN. Im AVV ist zu regeln: Wer informiert wen wann? Empfohlen: Auftragsverarbeiter informiert den Verantwortlichen binnen 24 Stunden bei Verdacht oder Bestätigung eines Vorfalls. Eskalations-Wege sind klar zu definieren (Hotline-Nummer, dedizierte Email-Adresse). Diese Klausel ist eine der wichtigsten — bei Aufsichtsbehörden-Prüfungen ist die Vorfalls-Meldungs-Bereitschaft regelmäßig Audit-Schwerpunkt.

08

Standard-AVV-Vorlagen: was nutzbar ist

Drei akzeptable Standard-AVV-Vorlagen: (1) BDDS-Vorlage des Bundesverbands der Datenschutzbeauftragten — solide, aber etwas formal. (2) Sentryc/Datenschutz-Generator-Vorlagen — pragmatisch, gut für KMU. (3) Standardvertragsklauseln 2021 für Drittland-Transfer — für AVV mit Anbietern außerhalb EU/EEA zwingend. Was NICHT nutzbar: AVV-Vorlagen, die älter als 2 Jahre sind (haben oft veraltete Schrems-II-Regelungen). AVV-Vorlagen ohne konkrete TOMs. AVV-Vorlagen mit "wir tun unser Bestes"-Formulierungen.

09

Praktische Pflege: AVV-Register

Ein KMU mit 50 MA hat typisch 20-35 AVVs. Diese sollten in einem Register gepflegt werden mit Spalten: Anbieter, Service, AVV-Datum, Gültigkeitsdauer, TOM-Status, Sub-Auftragsverarbeiter-Liste-Stand, Audit-Status, Verantwortliche Person intern. M74 liefert dieses Register als Standard-Tool. Empfohlen: vierteljährliche Re-Prüfung aller AVVs auf Aktualität, jährliches Voll-Audit. Bei Anbieter-Wechsel oder neuer Daten-Kategorie: sofortige AVV-Anpassung.

10

Was bei AVV-Verstößen passieren kann

Bei Aufsichtsbehörden-Audit ohne AVV oder mit mangelhaftem AVV: Bußgeld bis 10 Mio € oder 2% des weltweiten Konzern-Umsatzes (höhere Schwelle gilt). In der Praxis werden bei mittelständischen KMU Bußgelder im Bereich 8.000-80.000 € verhängt, abhängig von Schwere und Wiederholungs-Verhalten. Zusätzlich: bei tatsächlichem Datenschutz-Vorfall ohne AVV-Grundlage kann der Verantwortliche nicht auf "Auftragsverarbeitung" verweisen — er wird als unmittelbar Verantwortlicher behandelt. Was zur AVV-Pflege wirklich motivieren sollte: nicht das Bußgeld, sondern die Haftungs-Verschiebung im Vorfalls-Fall.

60 Minuten Discovery reichen.

Konkrete Lösung für Ihren Use-Case, Festpreis statt Stundensatz, Förder-Beratung inklusive.