SimpleAct Logo
DSGVO · Art. 28

Auftragsverarbeitung & AVV

Sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet – Cloud, Newsletter-Tool, Lohnabrechnung – verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). SimpleAct verwaltet alle AVV, Nachweise und Unterauftragsverarbeiter zentral.

Kostenlos starten DSGVO-Compliance ansehen

Was ist ein AVV?

Ein Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch einen Dienstleister (Auftragsverarbeiter) im Auftrag und nach Weisung des Verantwortlichen. Er ist nach Art. 28 DSGVO verpflichtend, sobald ein externer Anbieter Zugriff auf personenbezogene Daten hat. Ohne gültigen AVV ist die Datenweitergabe an den Dienstleister rechtswidrig – unabhängig davon, wie sicher der Anbieter ist.

Pflichtinhalte eines AVV

Gegenstand & Weisungsbindung
Art, Zweck und Dauer der Verarbeitung sowie die Bindung an dokumentierte Weisungen des Verantwortlichen.
Vertraulichkeit & TOM
Verpflichtung zur Vertraulichkeit und zu technischen und organisatorischen Maßnahmen nach Art. 32.
Unterauftragsverarbeiter
Regeln für den Einsatz weiterer Dienstleister – inklusive Genehmigung und Weitergabe der Pflichten.
Löschung & Rückgabe
Pflicht zur Löschung oder Rückgabe der Daten nach Ende der Leistung sowie Unterstützung bei Betroffenenrechten.

AVV rechtssicher verwalten

  • Alle Dienstleister mit Datenzugriff identifizieren
  • Je Dienstleister einen AVV nach Art. 28 abschließen
  • Unterauftragsverarbeiter erfassen und genehmigen
  • TOM-Nachweise des Auftragsverarbeiters einholen
  • Drittland-Transfers im AVV prüfen (SCC erforderlich?)
  • AVV mit dem Verarbeitungsverzeichnis verknüpfen
  • Verträge versionieren und Fristen im Blick behalten

Häufige Fragen zur Auftragsverarbeitung

Wann brauche ich einen AVV?

Immer dann, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet – z. B. Hosting, E-Mail-Marketing, CRM, Buchhaltung oder Support-Tools.

Ist ein AVV dasselbe wie eine Datenübermittlung an Dritte?

Nein. Bei der Auftragsverarbeitung handelt der Dienstleister weisungsgebunden für Sie. Eine Übermittlung an einen eigenständig Verantwortlichen folgt anderen Regeln und braucht eine eigene Rechtsgrundlage.

Wer haftet bei einem Datenschutzverstoß des Dienstleisters?

Grundsätzlich bleibt der Verantwortliche in der Pflicht. Der Auftragsverarbeiter haftet mit, wenn er gegen spezifische Pflichten oder die Weisungen verstößt.

Reicht der Standard-AVV des Anbieters?

Oft ja – aber er muss alle Pflichtinhalte des Art. 28 abdecken und zu Ihrer tatsächlichen Nutzung passen. Prüfen Sie insbesondere Unterauftragsverarbeiter und Drittland-Transfers.

Auftragsverarbeitung mit SimpleAct

AVV, Unterauftragsverarbeiter und TOM-Nachweise zentral verwalten – verknüpft mit dem Verarbeitungsverzeichnis und jederzeit auditfähig.

Jetzt kostenlos starten

Weiterführende Themen

DSGVO-ComplianceVerarbeitungsverzeichnisTOMDrittlandtransferDSGVO-Modul
Yannick Heisler

Yannick Heisler

Vertrieb · Persönliche Beratung

Auftragsverarbeitung & AVV nach Art. 28 DSGVO – Pflichtinhalte | SimpleAct | SimpleAct