AVV nach Art. 28 DSGVO: was darin stehen muss
Wer einen externen Dienstleister nutzt, der personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das gilt für Tracking-Tools genauso wie für Email-Provider, Cloud-Hoster oder CRM-Systeme. Was so ein Vertrag enthalten muss, wo die häufigsten Fallstricke liegen und wann ein zusätzlicher Vertrag wie die Standardvertragsklauseln dazukommt, beantwortet dieser Artikel.
Worum es geht
Auftragsverarbeitung ist nach DSGVO Art. 28 eine spezielle Konstellation: Ein Anbieter (der Auftragsverarbeiter) verarbeitet personenbezogene Daten ausschließlich nach Weisung des Auftraggebers (des Verantwortlichen). Für diese Konstellation verlangt die DSGVO einen schriftlichen Vertrag, den Auftragsverarbeitungsvertrag (AVV) oder international Data Processing Agreement (DPA).
Der Vertrag erfüllt zwei Funktionen. Erstens dokumentiert er, dass beide Parteien die rechtliche Konstellation verstanden haben und die DSGVO-Pflichten teilen. Zweitens schützt er den Verantwortlichen vor Haftung für Verarbeitungs-Verstöße des Auftragsverarbeiters, solange dieser sich an die Weisungen hält und der AVV die Pflichten korrekt überträgt.
Ohne AVV ist die Datenübertragung an den Dienstleister rechtlich angreifbar. Bei einer Datenschutzbeschwerde oder einem Audit fehlt die zentrale Vertragsbasis. Im schlimmsten Fall werden Bußgelder verhängt oder Schadensersatz-Ansprüche nach Art. 82 DSGVO durchgesetzt.
Zurück zum Überblick: DSGVO-konformes Tracking, der vollständige Leitfaden.
Auftragsverarbeitung versus Joint Controller
Nicht jede Konstellation, in der Daten an einen externen Anbieter fließen, ist Auftragsverarbeitung. Es gibt drei klar abgegrenzte Rollen.
Auftragsverarbeitung nach Art. 28
Der Anbieter verarbeitet die Daten ausschließlich nach Weisung des Werbetreibenden. Er bestimmt weder Mittel noch Zwecke der Verarbeitung selbst. Klassische Beispiele: Cloud-Hosting, Tracking-Plattformen, Helpdesk-Software, Email-Versand. Hier ist ein AVV nach Art. 28 die richtige Vertragsbasis.
Gemeinsame Verantwortung (Joint Controller) nach Art. 26
Beide Parteien bestimmen gemeinsam Mittel und Zwecke der Verarbeitung. Klassisches Beispiel: Meta-Pixel-Einbindungen, weil Meta die Daten nicht nur im Auftrag des Werbetreibenden verarbeitet, sondern auch für eigene Analytics-Zwecke nutzt. Hier braucht es eine zusätzliche Vereinbarung über die gemeinsame Verantwortung, die sogenannten Joint-Controller-Klauseln, die die DSGVO-Pflichten zwischen den Parteien aufteilen.
Übermittlung an einen eigenen Verantwortlichen
Wenn die Daten an einen Empfänger gehen, der sie selbstständig für eigene Zwecke nutzt, ist das eine Übermittlung an einen anderen Verantwortlichen. Beispiel: Wenn du Lead-Daten an einen Vertriebspartner verkaufst, ist der Partner kein Auftragsverarbeiter, sondern eigener Verantwortlicher. Hier braucht es eine separate Rechtsgrundlage, meistens die Einwilligung des Betroffenen.
Die Abgrenzung ist nicht immer trivial. Bei vielen Standard-Cloud- und Werbe-Diensten ist die Konstellation Joint Controller (Meta, manche Google-Services), nicht reine Auftragsverarbeitung. Wer sich nicht sicher ist, sollte den Anbieter konkret fragen.
Die Pflicht-Inhalte nach Art. 28
DSGVO Art. 28 (3) listet acht Pflicht-Bestandteile auf, die jeder AVV enthalten muss. Fehlt einer davon, ist der Vertrag formell unvollständig.
1. Gegenstand und Dauer der Verarbeitung
Beschreibt, welche Dienstleistung erbracht wird und wie lange der Vertrag läuft. Bei laufenden SaaS-Verträgen typischerweise „auf unbestimmte Zeit" oder „für die Dauer des Hauptvertrags".
2. Art und Zweck der Verarbeitung
Was wird mit den Daten konkret gemacht (Speicherung, Analyse, Übermittlung) und warum? Bei Tracking-Tools etwa „Erhebung und Auswertung von Conversion-Daten zur Marketing-Optimierung".
3. Kategorien der Betroffenen
Welche Personen sind betroffen? Typischerweise „Besucher der Website", „Newsletter-Empfänger", „registrierte Kunden". Möglichst konkret formulieren.
4. Kategorien der verarbeiteten Daten
Welche Daten-Typen werden verarbeitet? Etwa IP-Adressen, Tracking-IDs, E-Mail, Kaufverhalten. Sensible Daten nach Art. 9 (Gesundheits-, Sexualdaten und ähnliche) sind gesondert auszuweisen.
5. Pflichten und Rechte des Verantwortlichen
Bestätigt, dass der Verantwortliche weisungsbefugt ist, Audits durchführen darf und Verarbeitung jederzeit beenden kann. Definiert auch, dass der Anbieter Auskunfts- und Löschpflichten gegenüber Betroffenen unterstützt.
6. Pflichten des Auftragsverarbeiters
Vertraulichkeit, Mitarbeiter-Verpflichtungen nach Art. 28 (3) b, Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32, Unterstützung bei Datenpannen.
7. Sub-Auftragsverarbeitung
Regelt, wie der Anbieter mit weiteren Dienstleistern umgeht, die er für die Verarbeitung einsetzt. Mehr dazu im nächsten Abschnitt.
8. Löschung oder Rückgabe der Daten nach Vertragsende
Was passiert mit den Daten nach Ende der Geschäftsbeziehung? Die DSGVO verlangt Löschung oder Rückgabe; eine pauschale Daten-Weiterverwendung durch den Anbieter nach Vertragsende ist nicht zulässig.
Sub-Auftragsverarbeiter
Die meisten SaaS-Anbieter nutzen wiederum eigene Dienstleister: Cloud-Hoster, Email-Versender, Analytics-Provider. Diese sogenannten Sub-Auftragsverarbeiter müssen im AVV transparent gemacht werden.
Üblicherweise enthält der AVV eine Liste aktueller Sub-Auftragsverarbeiter als Anhang. Neue Sub-Anbieter werden vorab angekündigt, mit einer Frist von typischerweise 30 Tagen, in der der Werbetreibende widersprechen kann. Wer widerspricht, kann den Hauptvertrag kündigen. Wer nicht widerspricht, akzeptiert den neuen Sub-Anbieter stillschweigend.
Aus DSGVO-Sicht problematisch wird es, wenn auf der Sub-Auftragsverarbeiter-Liste US-Cloud-Anbieter ohne EU-Datenresidenz stehen. Beispiel: Wenn dein deutscher Tracking-Anbieter Amazon Web Services in der Region us-east-1 nutzt, hast du eine Drittland-Konstellation, auch wenn der Vertragspartner selbst deutsch ist. In dem Fall braucht es zusätzliche Standardvertragsklauseln und eine Transfer-Impact-Assessment.
Empfehlung für die Praxis: Sub-Auftragsverarbeiter-Liste explizit anfragen, prüfen ob alle in der EU sitzen, und Änderungen aktiv verfolgen. Manche Anbieter haben die Liste auf einer öffentlichen Trust-Page (etwa subprocessors.stripe.com, usercentrics.com/sub-processors), was Audits erleichtert.
Datenpannen-Meldung und Audit-Recht
Zwei AVV-Klauseln werden bei Audits besonders genau geprüft.
Datenpannen-Meldung
Nach Art. 33 DSGVO muss der Verantwortliche eine Datenpanne innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Damit das funktioniert, muss der Auftragsverarbeiter ihn unverzüglich informieren. Der AVV legt fest, was „unverzüglich" konkret heißt, typischerweise 24 oder 48 Stunden, und welche Informationen mitgeliefert werden müssen (Art der Panne, betroffene Datenkategorien, eingeleitete Gegenmaßnahmen).
Audit-Recht
Der Werbetreibende muss das Recht haben, die Einhaltung des AVV zu prüfen. In der Praxis sind drei Audit-Formen üblich. Erstens: Selbstauskunft des Anbieters über einen Fragebogen. Zweitens: Vorlage von Zertifikaten (ISO 27001, SOC 2). Drittens: Vor-Ort-Audit, das in den allermeisten Fällen nicht durchgeführt wird, aber im Vertrag möglich sein muss.
Wichtig: Wenn ein Vertrag das Audit-Recht explizit ausschließt oder nur gegen unverhältnismäßig hohe Gebühren erlaubt, ist das ein Verstoß gegen Art. 28 (3) h. Solche Klauseln sollten vor Vertragsabschluss nachverhandelt werden.
Typische Fallstricke
Klick-und-akzeptiere-AVVs ohne Prüfung
Viele SaaS-Anbieter integrieren den AVV in das Onboarding als Checkbox. Das ist rechtlich gültig, führt aber dazu, dass Werbetreibende den Vertrag nie lesen und Sub-Auftragsverarbeiter-Listen nicht prüfen. Bei einem Audit wird das beanstandet. Empfehlung: Auch bei Klick-Akzeptanz den AVV ausdrucken oder als PDF archivieren und einmal durchlesen.
Veraltete Verträge ohne TIA
AVVs aus Vor-Schrems-II-Zeiten (vor Juli 2020) enthalten oft keine Transfer-Impact-Assessment und keine aktualisierten Standardvertragsklauseln. Bei US-Anbietern reicht das nicht mehr. Wer noch alte AVVs hat, sollte die Anbieter zu einem Update auffordern, was bei den meisten heute standardmäßig verfügbar ist.
Fehlende Joint-Controller-Klausel bei Meta
Wer Meta-Pixel einbindet, hat technisch Joint Controllership, kein reines Auftragsverarbeitungs-Verhältnis. Die Meta-Standardverträge enthalten die nötigen Klauseln, müssen aber im Business-Manager separat akzeptiert werden. Wer nur einen normalen AVV unterzeichnet hat, ist nicht ausreichend abgedeckt.
Mehrere Anbieter, ein generischer AVV
Manche Werbetreibende nutzen einen selbst geschriebenen Standard-AVV und versuchen, ihn allen Anbietern aufzudrücken. Das funktioniert nur, wenn der Anbieter zustimmt, was die meisten Standard-SaaS-Anbieter ablehnen. Praktisch besser: Den AVV des Anbieters nutzen, aber inhaltlich gegen die Art. 28-Pflichten prüfen.
Wann ein zusätzlicher Vertrag nötig wird
Der AVV alleine reicht in zwei Konstellationen nicht.
Drittland-Übertragung: Standardvertragsklauseln (SCCs)
Wenn Daten in ein Land außerhalb der EU/EWR übermittelt werden, das keinen Angemessenheitsbeschluss hat (insbesondere die USA), greifen Kapitel V der DSGVO. Zur Absicherung werden die EU-Standardvertragsklauseln (SCCs) genutzt, ergänzt durch ein Transfer-Impact-Assessment (TIA). Beides ist Bestandteil moderner AVVs bei internationalen Anbietern, sollte aber explizit geprüft werden.
Joint Controllership: Art. 26-Vereinbarung
Wenn beide Parteien Mittel und Zwecke gemeinsam bestimmen (Meta-Pixel, Google-Audience-Sharing in manchen Konstellationen), ist nicht ein AVV nötig, sondern eine Vereinbarung über die gemeinsame Verantwortung. Diese definiert, wer welche DSGVO-Pflichten wahrnimmt (Auskunftserteilung, Löschung, Datenpannen-Meldung). Für Standard-Werbe-Plattformen werden diese Verträge oft zusammen mit den AGB akzeptiert.
Häufige Fragen zum AVV nach Art. 28
Brauche ich für jeden Tool-Anbieter einen eigenen AVV?
Ja, immer wenn der Anbieter personenbezogene Daten in deinem Auftrag verarbeitet. Das gilt für Tracking-Tools, Email-Provider, CRM-Systeme, Cloud-Hoster, Helpdesk-Software und im Grunde alles, was nicht reine Datenanonymisierung leistet. Für viele Standardanbieter sind die AVVs vorgefertigt und müssen nur unterschrieben werden.
Reicht ein einmal unterschriebener AVV für die ganze Vertragslaufzeit?
Nein. Der AVV muss aktuell gehalten werden. Wichtigste Änderungs-Trigger: neue Sub-Auftragsverarbeiter, geänderte Datenkategorien, neue Verarbeitungs-Zwecke, geänderte Standorte. Seriöse Anbieter informieren proaktiv über Änderungen und verlangen eine neue Zustimmung. Wer 5-jährige AVVs ohne Updates hat, hat ein Audit-Problem.
Was passiert, wenn ich keinen AVV mit einem Dienstleister habe?
Die Datenverarbeitung ist dann rechtlich nicht abgesichert. Bei einer DSGVO-Prüfung gilt das als Verstoß gegen Art. 28, der mit Bußgeld geahndet werden kann. Praktisch riskanter ist meistens nicht die direkte Geldstrafe, sondern die Schadensersatz-Ansprüche von Betroffenen, falls es zu einem Datenleck kommt und kein AVV vorhanden ist.
Muss ein AVV in deutscher Sprache sein?
Die DSGVO schreibt keine Sprache vor, aber die Aufsichtsbehörden empfehlen deutsche oder englische AVVs für Verträge mit deutschen Werbetreibenden. Bei US-Anbietern ist Englisch der Standard, was juristisch akzeptabel ist, solange der Vertrag inhaltlich vollständig und für den Werbetreibenden verständlich ist.
Kann ein AVV elektronisch unterzeichnet werden?
Ja. Elektronische Signaturen über DocuSign, Adobe Sign oder vergleichbare Plattformen sind in der EU rechtsgültig (eIDAS-Verordnung). Wichtig ist nur, dass der Unterzeichnende vertretungsberechtigt ist und der Vertragsinhalt unverändert dokumentiert wird. Eine reine Checkbox-Zustimmung in einem Tool-Dashboard reicht nicht.
Wie unterscheiden sich Standardvertragsklauseln vom AVV?
Standardvertragsklauseln (SCCs) sind ein Vertrags-Add-On für Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss, etwa in die USA. Der AVV regelt die generelle Auftragsverarbeitung, die SCCs ergänzen das um die spezielle Drittland-Komponente. Bei US-Anbietern brauchst du beides.