Auftragsverarbeitungs-Vertrag (AVV) – So kommst du DSGVO-konform ans Ziel

Bist du dir sicher, dass alle deine Dienstleister datenschutzkonform arbeiten und du deiner Verantwortung nachkommst? Wenn du zum Beispiel einen Hosting-Anbieter, ein Payment-Tool oder eine Newsletter-Software nutzt, speichern diese in deinem Auftrag Kundendaten oder Website-Logs. Genau hierfür schreibt die DSGVO eine verbindliche Grundlage vor: den Auftragsverarbeitungsvertrag (AVV). In diesem Blogbeitrag zeigen wir dir, wie einfach es ist, einen rechtssicheren AVV abzuschließen – und gebe dir konkrete Tipps, damit du datensicher aufgestellt bist.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag – häufig auch Data Processing Agreement (DPA) genannt – ist eine schriftliche Vereinbarung zwischen dir als Verantwortlichem und deinem Dienstleister, der für dich personenbezogene Daten verarbeitet. Beispiele hierfür sind:

• Webhosting (deine Website-Daten und Logfiles)
• Newsletter-Provider (E-Mail-Adressen deiner Abonnenten)
• Buchhaltungstools oder CRM-Systeme

Warum das wichtig ist?

Du bist im Besitz sensibler Informationen, wenn du Daten von Kunden, Mitarbeitern, Webseitenbesuchern verarbeitest. Für den Schutz dieser Daten bist du verantwortlich. Und zwar auch, wenn jemand anderes in deinem Auftrag Zugriff auf die Daten hat. Das ist Gesetz.

Sobald ein Dienstleister Zugang zu personenbezogenen Daten hat, die du erhoben hast, musst du laut DSGVO (Art. 28) sicherstellen, dass er die Daten nur nach deinen Vorgaben verarbeitet und sie ausreichend schützt. Das alles regelt der AVV.

Wie erkennst du, ob Auftragsverarbeitung vorliegt?

Nicht jeder externe Dienstleister braucht automatisch einen AVV. Hier geht es um Dienstleister, die nach deinen Weisungen personenbezogene Daten verarbeiten und keine eigenen Zwecke verfolgen. Du hast die Hoheit über die Daten, während der Dienstleister nur „verlängerter Arm“ ist.

Typische Beispiele für eine Auftragsverarbeitung (mit AV-Vertrag)

Newsletter-Dienste (z. B. Brevo/Sendinblue, CleverReach)

• Du lieferst die E-Mail-Listen (personenbezogene Daten), und der Dienstleister verschickt in deinem Auftrag Newsletter an deine Abonnenten.
• Entscheidungsgewalt über Inhalt, Empfänger, Zeitplan liegt bei dir, der Anbieter stellt nur die Plattform bereit.

Hosting-Provider / Server-Provider

• Speichert oder betreibt deine Website(s), Online-Shops oder andere Datenbanken.
• Handelt nur in deinem Auftrag, hat keine eigenen Zwecke, sondern folgt deiner Konfiguration (z. B. wie lange Logfiles aufbewahrt werden).

Buchhaltung & Lohnbuchhaltung

• Externe Dienstleister (z. B. Lohnbüro, Buchhaltungssoftware oder Steuerberater) verarbeiten personenbezogene Daten wie Gehälter, Kontodaten oder Rechnungsangaben in deinem Auftrag.
• Wenn sie nur das tun, was du vorgibst (z. B. Abrechnung, Belegerfassung), ist ein AV-Vertrag nötig.
• Viele Anbieter (z. B. Lexoffice, sevDesk, DATEV) stellen diesen automatisch bereit.

Analytics-/Tracking-Tools (insofern sie nur für dich Daten sammeln)

• Wenn du ein eigenes „self-hosted“ Analysetool (beispielsweise Matomo) oder einen Dienst nutzt, der ausschließlich in deinem Namen verarbeitet – ohne eigenes Interesse an den Daten.
• Beispiel: Ein externer Anbieter stellt dir ein Dashboard bereit, du bestimmst den konkreten Einsatzzweck.

Cloud-Speicher / Online-Dokumentenverwaltung

• Z. B. Dropbox Business, OneDrive oder Google Workspace, sofern sie wirklich nur deine Daten hosten und nicht zu eigenen Marketingzwecken nutzen.
• Üblicherweise bieten diese Dienste einen AV-Vertrag (Data Processing Addendum) an.

Agenturen, Webdesigner oder Virtual Assistants

wenn sie intern auf deine Daten zugreifen

• Beispiel: Eine Agentur, die deine Kundendaten in einem CRM pflegt und Newsletter-Rundmails für dich erstellt. Solange diese Agentur in deinem Auftrag ohne eigene Datenhoheit arbeitet, braucht ihr einen AV-Vertrag.

CRM-Systeme (z. B. HubSpot, Pipedrive, Salesforce)

• Du gibst Leads und Kundendaten ein, das CRM verarbeitet sie nur in deinem Auftrag und nach deinen Vorgaben.
• Die meisten renommierten Anbieter haben fertige AV-Verträge im Admin-Bereich.

Bewertungs-Widgets, wenn sie nur deine Daten hosten

• Beispielsweise ein Dienst, bei dem du Kundendaten hochlädst (Name, E-Mail), um Bewertungseinladungen zu verschicken. Handelt der Anbieter vollständig in deinem Auftrag, ist er Auftragsverarbeiter.
• Aber Vorsicht: Manche Bewertungsportale (z. B. Google Reviews, Trustpilot) agieren auch eigenständig als Verantwortliche (siehe weiter unten).

Typische Beispiele für keine Auftragsverarbeitung

In diesen Fällen brauchst du in der Regel keinen AVV

Dein Dienstleister trifft eigene Entscheidungen über den Zweck und die Mittel der Datenverarbeitung oder verfolgt eigene rechtliche Interessen – du hast keine (oder nur sehr beschränkte) Weisungsbefugnis:

Zahlungsdienstleister (z. B. PayPal, Klarna, Stripe als PSP, Amazon Pay)

• Häufig kein AV-Verhältnis, da sie eigene Zwecke haben (z. B. Betrugsprävention, Bonitätsprüfungen), eigenverantwortlich Daten speichern und über die Abwicklung entscheiden.
• Als Händler kannst du PayPal & Co. beispielsweise nicht vorschreiben, von welchem Zahlungsmittel die Kosten eingezogen werden oder ob und wie sie Bonitätsdaten einholen. Es fehlt also die „Weisungsgebundenheit“.
• In diesem Fall handelt der Zahlungsdienstleister meist als eigener Verantwortlicher (oder ggf. gemeinsam Verantwortlicher), nicht als Auftragsverarbeiter.

Dropshipping-Anbieter (Eigenverantwortung beim Versand)

• Wenn du Bestellungen lediglich weiterleitest, damit der Dropshipper verpackt und liefert, ist dieser in der Regel eigener Verantwortlicher für die Datenverarbeitung beim Versand.
• Das Gleiche kann für Fulfillment-Dienstleister gelten, die selbst entscheiden, wie sie Adressdaten verarbeiten.

Versanddienstleister (z. B. DHL, Hermes, UPS)

• Grundsätzlich keine Auftragsverarbeitung, weil DHL & Co. eigene Pflichten, Prozesse und Zwecke (Sendungsverfolgung, Transportlogistik) haben.
• Du kannst ihnen nicht vorschreiben, wie sie z. B. Trackinginformationen verarbeiten; sie handeln nicht bloß nach deinen Weisungen.

Banken, Steuerberater, Versicherungen

• Ebenfalls eigene Verantwortliche oder aufgrund von Berufsrecht an gesonderte Verpflichtungen gebunden.
• Du kannst ihnen nicht vorgeben, wie sie Daten verarbeiten oder aufbewahren.

Bewertungsportale (z. B. Google Reviews, Trustpilot, Kununu)

• Meist kein Auftragsverhältnis, da die Portale Nutzerbewertungen veröffentlichen und selbst entscheiden, wie sie Daten moderieren oder anonymisieren.
• Sie handeln als eigene Verantwortliche oder gemeinsam Verantwortliche. Ein AV-Vertrag ist normalerweise nicht nötig.

Marktplätze (z. B. Etsy, eBay, Amazon)

• Auch hier hat die Plattform eigene Interessen (Käuferschutz, Bonitätsprüfungen, Analytics etc.).
• Als Händler lieferst du zwar Daten (Bestellinfos, Produktbeschreibungen), aber der Marktplatz entscheidet selbst, welche Daten er abfragt und wie er sie verarbeitet. Das ist keine reine weisungsabhängige Datenverarbeitung.

Social Media-Plattformen (z. B. Facebook, Instagram, TikTok)

• Sie nutzen Daten ihrer User u. a. für eigene Zwecke (Personalisierung, Werbung etc.). Du kannst nicht die alleinige Verwendung „anweisen“.
• D. h. kein AV-Vertrag, sondern eher gemeinsame Verantwortung oder eigenständige Verantwortung der Plattform.

Apropos Social Media... Hier brauchst du zwar keinen AVV. Verbraucherschutzrechte und die DSGVO musst du natürlich trotzdem beachten. In diesem Artikel erklären wir dir alles, was du brauchst, um rechtssicher auf Social Media unterwegs zu sein.

Sonderfälle & Tipps

Payment-Tools vs. Payment-Plugin

Wenn du ein Plugin nutzt, das z. B. die Kreditkartendaten nur auf deiner Seite zwischenpuffert, kann es sein, dass dein Plugin-Entwickler als (Unter-)Auftragsverarbeiter agiert. Sprich das am besten direkt mit dem Pluginanbieter durch. Oft hosten sie gar keine Daten, sondern leiten nur an den PSP (Payment Service Provider) weiter.

Fulfillment-Unternehmen

Manche Fulfillment-Dienstleister arbeiten streng nach deinen Vorgaben (z. B. Lagerhaltung, Versand – alles rein „White Label“). Ob das schon AV-Verhältnis ist, muss man im Einzelfall klären. Häufig haben Fulfillment-Dienstleister eigene Prozesse, so dass sie eher Mit-Verantwortliche sind.

Externe Kundensupport-Dienstleister

Wenn ein Support-Callcenter oder Chatdienst direkt in deinem Namen Kundendaten erhebt, handelt es sich oft um Auftragsverarbeitung (du bestimmst Inhalt, Abläufe).

Kooperationen mit anderen Händlern

Falls du Daten austauschst (z. B. E-Mail-Listen) für gemeinsame Kampagnen, seid ihr meist gemeinsam Verantwortliche oder beide eigenständig Verantwortliche. Ein AV-Vertrag ergibt nur Sinn, wenn der andere Händler Daten ausschließlich in deinem Auftrag nutzt, was selten der Fall ist.

So findest du im Zweifel die richtige Einordnung

Frag dich: „Kann ich dem Dienstleister wirklich Weisungen geben, was er wann, wie und warum mit meinen Kundendaten tut?“

Oder anders gefragt: „Kann ich vom Auftragnehmer verlangen, dass die Daten, die er für mich verarbeitet, von ihm vollständig gelöscht werden?“

Falls ja → Auftragsverarbeitung (AV-Vertrag nötig).

Falls nein → eigenständige Verantwortlichkeit des Anbieters.

Check die AGB & Datenschutzerklärung des Dienstleisters

Viele Anbieter erklären bereits, ob sie als „Controller“ (eigener Verantwortlicher) oder als „Processor“ (Verarbeiter) auftreten.

Lieber einmal zu viel nachfragen, ob ein DPA/AV-Vertrag existiert, als später ein Bußgeld zu riskieren, weil es tatsächlich Auftragsverarbeitung war.

So kommst du an deinen AVV – Schritt-für-Schritt

Schritt 1: Check, wer deine Daten verarbeitet

Mache eine Liste aller Dienste, die in irgendeiner Form Kundendaten, Nutzerlogs oder andere persönliche Informationen deiner Website-Besucher verarbeiten. Dazu zählen beispielsweise Brevo, Lexware, Fastbill, etracker, userlike und viele weitere.

Schritt 2: AVV vom Anbieter holen

Die meisten seriösen Services stellen einen fertigen Auftragsverarbeitungsvertrag (englisch: Data Processing Agreement) bereit, oft in deinem Account-Bereich oder per Download. Wenn du diese nicht findest, wende dich an den Support – gerade europäische und DSGVO-orientierte Anbieter kennen das Prozedere gut.

Schritt 3: Prüfe die Inhalte

In einem korrekten AVV sollten u. a. folgende Punkte klar geregelt sein:

• Gegenstand und Dauer der Verarbeitung (z. B. Webhosting für deine Firmenwebsite)
• Umfang, Art und Zweck (Speicherung, E-Mail-Versand, Wartung)
• Kategorien von Daten und betroffenen Personen (z. B. Kundendaten, Interessent*innen)
• Technische und organisatorische Schutzmaßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen)
• Weisungsrecht: Du als Verantwortlicher kannst dem Dienstleister Anweisungen geben, was mit den Daten passiert.
• Unterauftragsverhältnisse: Darf dein Dienstleister weitere Sub-Dienstleister beauftragen?
• Regelungen zu den Vertraulichkeitspflichten von Beschäftigten des Auftragsverarbeiters
• Regelungen zur Unterstützung des Auftraggebers (dir) bei der Geltendmachung von Rechten der betroffenen Personen
• Regelungen zu deinen Kontrollrechten gegenüber dem Auftragsverarbeiter
• Regelungen zu Informationspflichten des Auftragsverarbeiters dir gegenüber bei Datenschutzverstößen
• Regelungen zur Rückgabe und Löschung der verarbeiteten Daten bei Auftragsbeendigung

Schritt 4: Elektronisch oder schriftlich unterschreiben

Du kannst den AVV in klassischer Papierform abschließen oder ihn online signieren. In vielen Tools gibt es ein „Clickwrap-Verfahren“, bei dem du per Klick bestätigst, die AVV zu akzeptieren. Das ist DSGVO-konform und ersetzt die handschriftliche Unterschrift.

Schritt 5: Dokumentieren und aufbewahren

Speichere den unterzeichneten AVV (digital oder ausgedruckt) und notiere, wann du ihn abgeschlossen hast. So bist du im Falle einer Datenschutzprüfung gerüstet und kannst zeigen, dass du dich um ein rechtskonformes Vorgehen kümmerst.

Dokumentiere in einer Liste, welche deiner beauftragten Anbieter eigene Interessen oder Entscheidungshoheit haben. Notiere, dass sie eigenständig verantwortlich sind.

Laufende Kontrolle: Keine Einmal-Aktion

Die DSGVO verpflichtet dich, deine Auftragsverarbeiter im Blick zu behalten. Das heißt nicht, dass du wöchentliche Audits machen musst. Aber informiere dich, wenn dein Anbieter Subunternehmer wechselt oder grundlegende Änderungen vornimmt. Meist wirst du per E-Mail benachrichtigt und kannst zustimmen oder widersprechen. Spätestens alle paar Monate lohnt es sich, einen kleinen DSGVO-Check zu machen:

• Passt der AVV noch zu deinem tatsächlichen Datenvolumen und Zweck?
• Hast du neue Dienstleister eingebunden, für die du noch keinen AVV hast?

Fazit: AVV – Kleine Formalie mit großer Wirkung

Damit du dein Business rechtssicher aufstellst, solltest du genau prüfen, wer nur Daten in deinem Auftrag verarbeitet – und wer eigene Interessen oder Entscheidungshoheit hat. Für Letztere brauchst du keinen AV-Vertrag, sondern dokumentierst nur, dass sie eigenständig verantwortlich sind.

Gut zu wissen: Wenn du unsicher bist, lohnt sich ein kurzer Check bei deinem Dienstleister selbst – viele haben inzwischen klare FAQs und Vorlagen.

Du willst dein Business rechtlich absichern – ohne Jurastudium?

Dann bist du bei uns richtig. Wir von onwalt.de versorgen dich mit fundierten Rechtstipps für dein Online-Business und stellen dir rechtssichere, praxiserprobte AGB, Datenschutzerklärungen und weitere Rechtstexte bereit – speziell für Onlinehändler und Plattform-Verkäufer.

So sparst du Zeit, vermeidest Abmahnrisiken – und kannst dich auf das konzentrieren, was wirklich zählt: dein Geschäft. 👉 Jetzt passende Rechtstexte entdecken