Wann ist ein AVV gesetzlich erforderlich?

Immer wenn ein Verantwortlicher einen Verarbeiter einsetzt, um personenbezogene Daten von EU- oder EWR-Bürgern zu verarbeiten. Verantwortliche und Verarbeiter außerhalb der EU sind gleichermaßen erfasst, wenn sie Daten von EU-Bürgern verarbeiten. Das Vereinigte Königreich hat ein fast identisches Regime unter der UK GDPR.

Worin unterscheiden sich AVV und Dienstvertrag?

Ein Dienstvertrag (oder Rahmenvertrag) regelt die kommerzielle Beziehung — Umfang, Preis, SLA. Ein AVV regelt spezifisch den Datenschutz und kann eigenständig, als Anlage oder als Abschnitt des Hauptvertrags gestaltet sein. Die meisten ausgereiften SaaS-Anbieter nutzen einen eigenständigen AVV, der durch Verweis einbezogen wird.

Brauche ich für jeden Kunden einen neuen AVV?

Die meisten Anbieter pflegen eine AVV-Vorlage für alle Kunden und verhandeln nur kundenspezifische Anhänge (z. B. eine bestimmte Subunternehmerliste oder Auditfrequenz). Ein Standard-AVV beschleunigt den Einkauf; individualisierte AVVs verlangsamen Deals erheblich.

Auftragsverarbeitungsvertrag (AVV / DPA)

Data Processing Agreement · Art. 28 DSGVO AVV · GDPR DPA

Ein Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement / DPA) ist ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, der regelt, wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden dürfen. Nach Art. 28 DSGVO ist ein AVV verpflichtend, sobald ein Verantwortlicher einen Auftragsverarbeiter einsetzt, und muss Gegenstand, Dauer, Umfang und Pflichten des Verarbeiters regeln.

Was ein AVV tatsächlich leistet

Ein AVV übersetzt die abstrakten Verarbeiterpflichten der DSGVO in konkrete vertragliche Zusagen. Er legt fest, welche Daten verarbeitet werden und warum, wie lange, wer als Unterauftragsverarbeiter gilt und wie er freigegeben wird, welche Sicherheitsmaßnahmen gelten, wie Datenpannen gemeldet werden, wie Auditrechte funktionieren, was bei Vertragsende geschieht und wie internationale Übermittlungen gehandhabt werden. Für jeden SaaS-Anbieter, der personenbezogene Daten für EU-Kunden speichert oder verarbeitet, ist ein konformer AVV eine Vertriebsvoraussetzung — Einkaufsteams unterschreiben sonst nicht. Für Kunden macht der AVV den Anbieter rechtlich verantwortlich für die Sicherheitsversprechen, die die Marketing-Seiten geben.

Warum es wichtig ist

DSGVO-Bußgelder werden als Prozentsatz des globalen Umsatzes berechnet, und AVVs sind der vertragliche Haupthebel, mit dem Verantwortliche Compliance-Risiko allokieren. Ein schwacher AVV lässt den Verantwortlichen ungeschützt, wenn der Verarbeiter Daten falsch behandelt; ein starker AVV erzwingt konkrete Sicherheitszusagen, Auditrechte und schnelle Meldung. Für Anbieter ist AVV-Qualität ein Prädiktor der Dealgröße: Enterprise-Kunden fordern ausgereifte AVVs mit konkreter Subunternehmerliste, Auditrechten und definierten Meldefristen. Eine generische Vorlage besteht den Enterprise-Einkauf nicht mehr.

Häufige Fallstricke

1.Unterauftragsverarbeiterliste fehlt oder ist veraltet — die DSGVO verlangt, dass der Verantwortliche weiß, wer tatsächlich an seinen Daten arbeitet.
2.Meldefrist bei Datenpannen ist vage — "so bald wie möglich" wird in ausgereiften AVVs durch konkrete Stundenangaben (24, 48, 72) ersetzt.
3.Auditrechte fehlen oder sind rein hypothetisch — Verantwortliche brauchen typischerweise entweder Vor-Ort-Audit oder einen aktuellen SOC-2-/ISO-27001-Bericht.
4.Übermittlungsmechanismus für internationale Transfers fehlt — nach Schrems II müssen AVVs den Mechanismus (SCCs, Angemessenheitsbeschluss) nennen und ergänzende Maßnahmen abdecken.
5.Rückgabe oder Löschung der Daten bei Vertragsende ist optional — die DSGVO macht dies zur Pflicht; der AVV sollte spezifizieren welches und bis wann.

Häufig gestellte Fragen

Wann ist ein AVV gesetzlich erforderlich?: Immer wenn ein Verantwortlicher einen Verarbeiter einsetzt, um personenbezogene Daten von EU- oder EWR-Bürgern zu verarbeiten. Verantwortliche und Verarbeiter außerhalb der EU sind gleichermaßen erfasst, wenn sie Daten von EU-Bürgern verarbeiten. Das Vereinigte Königreich hat ein fast identisches Regime unter der UK GDPR.
Worin unterscheiden sich AVV und Dienstvertrag?: Ein Dienstvertrag (oder Rahmenvertrag) regelt die kommerzielle Beziehung — Umfang, Preis, SLA. Ein AVV regelt spezifisch den Datenschutz und kann eigenständig, als Anlage oder als Abschnitt des Hauptvertrags gestaltet sein. Die meisten ausgereiften SaaS-Anbieter nutzen einen eigenständigen AVV, der durch Verweis einbezogen wird.
Brauche ich für jeden Kunden einen neuen AVV?: Die meisten Anbieter pflegen eine AVV-Vorlage für alle Kunden und verhandeln nur kundenspezifische Anhänge (z. B. eine bestimmte Subunternehmerliste oder Auditfrequenz). Ein Standard-AVV beschleunigt den Einkauf; individualisierte AVVs verlangsamen Deals erheblich.

Ihr AVV mit Attorly ist prüfbereit

Attorly liefert einen Art.-28-DSGVO-konformen AVV mit Verschlüsselung im Ruhezustand und bei Übertragung, Bring-Your-Own-Key auf Enterprise und Meldung innerhalb von 72 Stunden.

Attorlys AVV ansehen

Auftragsverarbeitungsvertrag (AVV / DPA)

Was ein AVV tatsächlich leistet

Warum es wichtig ist

Häufige Fallstricke

Verwandte Begriffe

Häufig gestellte Fragen

Ihr AVV mit Attorly ist prüfbereit

Auftragsverarbeitungsvertrag (AVV / DPA)

Was ein AVV tatsächlich leistet

Warum es wichtig ist

Häufige Fallstricke

Verwandte Begriffe

Häufig gestellte Fragen

Ihr AVV mit Attorly ist prüfbereit