Sobald ein anderer Dienstleister personenbezogene Daten in Deinem Auftrag verarbeitet, verlangt die DSGVO einen Vertrag dafür. Dieser Vertrag heißt Auftragsverarbeitungsvertrag, kurz AVV. Viele Selbständige haben ihn nie bewusst abgeschlossen und merken erst bei einer Anfrage, dass er fehlt.
Die gute Nachricht ist, dass die meisten seriösen Anbieter den AVV längst vorbereitet haben. Du musst ihn in den meisten Fällen nur abrufen und sicher ablegen.
Eine Vorbemerkung gehört dazu, weil sie wichtig ist. Dieser Text gibt Dir eine allgemeine Orientierung und ersetzt keine verbindliche Rechtsberatung. Bei konkreten Zweifeln fragst Du einen Datenschutzbeauftragten oder eine Anwältin.
Was ein AVV eigentlich regelt
Auftragsverarbeitung bedeutet, dass ein externer Dienstleister Daten genau nach Deiner Weisung verarbeitet, ohne selbst über Zweck und Mittel zu entscheiden. Du bleibst die verantwortliche Stelle, der Dienstleister handelt in Deinem Auftrag. Genau dieses Verhältnis hält der AVV schriftlich fest.
Der Vertrag legt fest, welche Daten betroffen sind, zu welchem Zweck sie verarbeitet werden und wie lange. Er verpflichtet den Dienstleister zu technischen und organisatorischen Schutzmaßnahmen und regelt, was bei einer Datenpanne passiert. So ist klar dokumentiert, wer wofür haftet.
Ohne diesen Vertrag fehlt Dir der Nachweis, dass die Datenverarbeitung sauber geregelt ist. Bei einer Prüfung durch die Aufsichtsbehörde oder einer Beschwerde stehst Du dann mit leeren Händen da, obwohl technisch vielleicht alles in Ordnung war. Der AVV ist also weniger Bürokratie als Absicherung für Dich selbst.
Wann Du einen AVV brauchst
Die Faustregel ist einfach. Immer wenn ein Dienstleister in Deinem Auftrag Zugriff auf personenbezogene Daten hat, brauchst Du einen AVV. Personenbezogen sind schon Namen, E-Mail-Adressen, IP-Adressen oder Bestelldaten Deiner Kundschaft.
Drei Fälle treffen fast jede Webseite. Dein Hoster speichert die Daten Deiner Website und damit auch alles, was Besucher über Formulare senden. Dein Newsletter-Dienst verwaltet die E-Mail-Adressen Deiner Empfänger. Ein Statistik-Tool wertet das Verhalten Deiner Besucher aus.
Typische Auftragsverarbeiter im Alltag sind unter anderem:
- Hosting-Anbieter: speichern Deine Website samt Datenbank und Formularzusendungen.
- Newsletter-Dienste: verwalten Adresslisten und versenden Mailings in Deinem Namen.
- Analyse-Werkzeuge: erfassen Besuchszahlen, Klickpfade und Geräteinformationen.
- Cloud-Speicher und Formular-Dienste: nehmen Dateien oder Anfragen Deiner Kundschaft entgegen.
Keinen AVV brauchst Du dagegen für Partner, die eigenverantwortlich handeln. Ein Steuerberater oder eine Bank entscheidet selbst über die Verarbeitung und ist kein Auftragsverarbeiter. Dort gelten andere Regeln, und ein AVV wäre der falsche Vertragstyp. Wenn Du gleich klären willst, ob Du überhaupt eine zentrale Datenschutz-Rolle benennen musst, hilft Dir der Beitrag dazu, wann ein Datenschutzbeauftragter Pflicht ist.
Im Zweifel hilft eine einzige Frage. Entscheidet der Dienstleister selbst, was mit den Daten passiert, oder folgt er nur Deinen Vorgaben? Folgt er Deinen Vorgaben, liegt eine Auftragsverarbeitung vor und Du brauchst den Vertrag.
Was im Vertrag stehen muss
Artikel 28 der DSGVO gibt vor, welche Punkte ein AVV abdecken muss. Du musst den Text nicht selbst formulieren, aber Du solltest die Bestandteile erkennen, damit Du eine lückenhafte Vorlage bemerkst.
Diese Punkte gehören hinein:
- Gegenstand und Dauer: welche Verarbeitung über welchen Zeitraum läuft.
- Art und Zweck: wofür die Daten genutzt werden und um welche Kategorien von Betroffenen es geht.
- Weisungsbindung: der Dienstleister verarbeitet nur nach Deiner Anweisung.
- Schutzmaßnahmen: technische und organisatorische Vorkehrungen gegen Datenverlust und Zugriff.
- Unterauftragnehmer: ob und wie weitere Dienstleister eingebunden werden dürfen.
- Löschung und Rückgabe: was am Ende mit den Daten geschieht.
Ein guter AVV nennt außerdem konkrete Schutzmaßnahmen statt leerer Floskeln. Verschlüsselung, Zugriffsbeschränkungen und geregelte Backups sind ein gutes Zeichen. Wenn ein Anbieter Server außerhalb der EU nutzt, sollte der Vertrag erklären, wie der Transfer rechtlich abgesichert ist.
Besonders der Punkt Unterauftragnehmer lohnt einen zweiten Blick. Viele Anbieter setzen selbst weitere Dienste ein, etwa für Rechenzentrum oder Versand. Ein sauberer AVV listet diese auf oder verpflichtet den Anbieter, Dich über neue Unterauftragnehmer zu informieren.
Wo Du den AVV bekommst und ablegst
Bei den meisten Anbietern findest Du den AVV im Kundenkonto oder auf der Rechtsseite der Website, oft als PDF zum Herunterladen oder als Online-Abschluss mit einem Klick. Manche Anbieter binden ihn direkt in die Allgemeinen Geschäftsbedingungen ein. Suchst Du nichts, fragst Du den Support gezielt nach dem Vertrag zur Auftragsverarbeitung.
Wichtig ist, dass Du den abgeschlossenen Vertrag herunterlädst und sicher speicherst, statt ihn nur online zu bestätigen. Lege für jeden Dienstleister eine Kopie ab, am besten zusammen mit dem Datum des Abschlusses. So hast Du im Fall einer Anfrage sofort alles griffbereit.
Hilfreich ist eine kleine Übersicht aller Dienste, die Daten für Dich verarbeiten. Diese Liste gehört ohnehin in Dein Verzeichnis der Verarbeitungstätigkeiten, das die DSGVO für die meisten Betriebe verlangt. Ein Eintrag pro Dienstleister mit Name, Zweck und abgelegtem AVV reicht als Anfang.
Wer das Thema Pflichtseiten und Datenschutzerklärung noch nicht aufgeräumt hat, findet in den Pflichtseiten zu Impressum und Datenschutz den passenden Einstieg. Welcher Hoster überhaupt zu Dir passt und wie Du seinen Umgang mit Daten einschätzt, klärt der Beitrag Was ist Hosting. Für den Versand selbst lohnt ein Blick in die Newsletter Grundlagen.
Fazit
Ein AVV klingt nach trockener Bürokratie, ist aber schnell erledigt. Du zählst auf, welche Dienste Daten für Dich verarbeiten, holst bei jedem den Vertrag ab und legst ihn sicher ab.
Damit hast Du den wichtigsten Teil schon geschafft und stehst bei einer Anfrage ruhig da. Den Rest planst Du am besten zusammen mit Deiner Datenschutzerklärung, dann passt beides zueinander.