```html

Auftragsverarbeitung: Wann braucht man einen AV-Vertrag?

Seit Inkrafttreten der DSGVO im Mai 2018 gehört der Auftragsverarbeitungsvertrag (AVV oder AV-Vertrag) zum festen Pflichtprogramm im B2B-Datenschutz. Doch in der Praxis herrscht nach wie vor erhebliche Unsicherheit: Wann ist ein AV-Vertrag im Rahmen der Auftragsverarbeitung wirklich notwendig – und wann handelt es sich stattdessen um eine eigenständige Datenverarbeitung? Diese Frage ist keine akademische Übung. Wer hier falsch einordnet, riskiert Bußgelder, Abmahnungen und Vertrauensverluste bei Geschäftspartnern. Dieser Artikel gibt Ihnen eine klare Orientierung, zeigt konkrete Beispiele und liefert handlungsrelevante Tipps für Ihren Unternehmensalltag.

Was ist Auftragsverarbeitung nach der DSGVO?

Auftragsverarbeitung liegt gemäß Art. 28 DSGVO dann vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines anderen Unternehmens (des Verantwortlichen) verarbeitet. Entscheidend ist: Der Auftragsverarbeiter handelt nicht selbst verantwortlich für den Zweck der Datenverarbeitung – er führt lediglich eine technische oder organisatorische Dienstleistung aus, bei der Daten anfallen oder verarbeitet werden.

Klassische Beispiele für Auftragsverarbeitung sind:

  • Cloud-Speicherdienste (z. B. Microsoft Azure, Google Cloud, AWS)
  • Externe IT-Dienstleister mit Fernzugriff auf Systeme
  • E-Mail-Marketingplattformen (z. B. Mailchimp, HubSpot)
  • Lohnbuchhaltungsdienstleister
  • Druckdienstleister, die Kundenadressen verarbeiten
  • Externe Callcenter, die im Namen des Auftraggebers agieren

In all diesen Fällen muss zwingend ein schriftlicher AV-Vertrag abgeschlossen werden – bevor die Datenverarbeitung beginnt. Ein mündlicher Vertrag oder eine informelle Absprache genügt nicht.

Wann ist ein AV-Vertrag notwendig – und wann nicht?

Die Frage „Auftragsverarbeitung AV-Vertrag wann notwendig" lässt sich nicht pauschal beantworten. Sie müssen für jede Dienstleisterbeziehung einzeln prüfen, ob eine Auftragsverarbeitung vorliegt oder ob der externe Partner als eigenständiger Verantwortlicher handelt.

Kein AV-Vertrag erforderlich ist, wenn der Dienstleister die Daten für eigene Zwecke nutzt oder selbst über Mittel und Zwecke der Verarbeitung entscheidet. Typische Beispiele:

  • Steuerberater und Wirtschaftsprüfer (unterliegen berufsrechtlichen Verschwiegenheitspflichten und sind eigenverantwortlich tätig)
  • Banken und Kreditinstitute bei der Abwicklung von Zahlungen
  • Rechtsanwälte bei der Mandatsbearbeitung
  • Postdienstleister beim reinen Transport von Briefen

Graubereiche entstehen zum Beispiel bei Übersetzungsdienstleistern, Unternehmensberatern oder Recruitingagenturen. Hier lohnt eine genaue Vertragsanalyse – im Zweifel sollte ein AV-Vertrag abgeschlossen werden, da das Fehlen eines solchen Vertrags ein klarer DSGVO-Verstoß ist.

Pflichtinhalte eines rechtssicheren AV-Vertrags

Art. 28 Abs. 3 DSGVO definiert, was ein AV-Vertrag mindestens enthalten muss. Fehlen wesentliche Klauseln, ist der Vertrag unwirksam – mit allen datenschutzrechtlichen Konsequenzen. Folgende Punkte sind verpflichtend:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Pflichten zur Vertraulichkeit
  • Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
  • Regelungen zur Einschaltung von Unterauftragsverarbeitern
  • Unterstützungspflichten bei Betroffenenanfragen
  • Löschung oder Rückgabe der Daten nach Auftragsende
  • Audit- und Kontrollrechte des Verantwortlichen

Viele Anbieter stellen eigene AVV-Vorlagen bereit. Prüfen Sie diese sorgfältig – nicht jede Standardvorlage erfüllt alle Anforderungen. Empfehlenswert ist eine juristische Überprüfung, insbesondere wenn sensible Datenkategorien gemäß Art. 9 DSGVO verarbeitet werden.

Besonderheiten im B2B-Umfeld: Internationale Dienstleister und Datentransfers

Im B2B-Bereich werden personenbezogene Daten häufig an Dienstleister in Drittländern außerhalb der EU/des EWR übermittelt – etwa an US-amerikanische SaaS-Anbieter. Hier reicht ein einfacher AV-Vertrag nicht aus. Zusätzlich müssen geeignete Garantien für den Drittlandtransfer vorliegen, zum Beispiel:

  • EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO
  • Angemessenheitsbeschluss der EU-Kommission (z. B. EU-U.S. Data Privacy Framework)
  • Verbindliche interne Datenschutzvorschriften (BCR)

Unternehmen, die im europäischen B2B-Zahlungsverkehr tätig sind und regelmäßig Unternehmensidentitäten prüfen müssen, nutzen häufig externe Verifikationsdienste. Auch bei solchen Tools ist zu prüfen, ob personenbezogene Daten verarbeitet werden. Ein Dienst wie VAT Verifizierung zur Umsatzsteuer-ID-Prüfung etwa greift auf öffentlich zugängliche EU-Register (VIES) zu – hier ist die datenschutzrechtliche Einordnung je nach Implementierung individuell zu bewerten.

Praktische Checkliste: So gehen Sie strukturiert vor

Um Ihre Dienstleisterlandschaft systematisch auf AVV-Pflichten zu prüfen, empfehlen wir folgendes Vorgehen:

  • Inventur aller externen Dienstleister, die im Rahmen Ihrer Geschäftstätigkeit Zugang zu personenbezogenen Daten haben
  • Kategorisierung: Auftragsverarbeiter, gemeinsam Verantwortliche oder eigenständige Verantwortliche?
  • Prüfung bestehender Verträge auf DSGVO-konforme AVV-Klauseln
  • Nachfordern fehlender AVVs – möglichst schriftlich mit Fristsetzung
  • Dokumentation im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Regelmäßige Überprüfung der TOMs des Dienstleisters, mindestens jährlich