- Bedeutung
- Auftragsverarbeitungsvertrag
- Rechtsgrundlage
- Art. 28 DSGVO
- Wann nötig
- Dienstleister verarbeitet Daten im Auftrag
- Bezug zu NIS2
- Teil des Dienstleister-Managements
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein AVV?
Ein AVV (Auftragsverarbeitungsvertrag) regelt verbindlich, wie ein Dienstleister – etwa ein Cloud-, IT- oder Lohnabrechnungs-Anbieter – mit personenbezogenen Daten umgehen darf, die er im Auftrag eines Unternehmens verarbeitet. Anders als die meisten Begriffe dieses Clusters ist der AVV ein vertragliches Instrument aus dem Datenschutzrecht: Er ist nach Art. 28 DSGVO zwingend vorgeschrieben. Der Auftraggeber bleibt dabei für die Daten verantwortlich; der Dienstleister handelt nur auf Weisung. Ohne gültigen AVV ist die Datenweitergabe an den Dienstleister rechtswidrig – unabhängig davon, wie sicher er technisch arbeitet.
Was im AVV geregelt wird
- Gegenstand, Dauer und Zweck der Verarbeitung
- Technische und organisatorische Maßnahmen (TOMs)
- Pflichten bei Datenpannen und Löschung
- Regeln für den Einsatz von Subunternehmern (Unter-Auftragsverarbeiter)
- Rechte zur Kontrolle und zum Audit des Dienstleisters
Etwa: Ein Unternehmen führt ein cloudbasiertes Bewerbermanagement-Tool ein. Da der Anbieter dabei Namen, Lebensläufe und Kontaktdaten der Bewerber speichert, verarbeitet er personenbezogene Daten im Auftrag. Bevor die Software produktiv geht, schließen beide Seiten einen AVV ab, in dem die Speicherorte (EU-Hosting), die TOMs und eine Löschfrist nach Abschluss des Verfahrens festgehalten werden. Erst damit ist der Einsatz datenschutzkonform.
AVV und Lieferkettensicherheit
Der AVV ist ein klassisches Werkzeug des Dienstleister-Managements. Er ergänzt die von NIS2 geforderte Lieferkettensicherheit, indem er Sicherheitsanforderungen für Partner verbindlich und durchsetzbar festschreibt. Damit wird ein einzelner Vertrag zu einem konkreten Steuerungshebel für das Third Party Risk eines Dienstleisters.
DSGVO und NIS2 zusammen denken
Während der AVV aus dem Datenschutz stammt, verlangt NIS2 (in Kraft seit 06.12.2025) das Management der gesamten Supply Chain. Beide Regelwerke greifen ineinander: Wer einen AVV ohnehin abschließen muss, kann darin gleich Meldepflichten und Sicherheitsanforderungen verankern, die auch die NIS2-Anforderungen an Dienstleister abdecken. Verträge sind so ein wirksamer Hebel, um Risiken durch Dritte rechtssicher zu steuern.
Weiterführende Quelle: DSGVO (EU) 2016/679, Art. 28 (EUR-Lex)
Häufige Fragen
Wann braucht man einen AVV?
Einen AVV (Auftragsverarbeitungsvertrag) braucht man immer dann, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und auf Weisung eines Unternehmens verarbeitet – etwa Cloud-, IT- oder Lohnabrechnungs-Anbieter. Der Auftraggeber bleibt dabei für die Daten verantwortlich, der Dienstleister handelt nur auf Weisung. Ohne gültigen AVV ist die Datenweitergabe an den Dienstleister rechtswidrig, unabhängig davon, wie sicher dieser technisch arbeitet.
Auf welcher Rechtsgrundlage beruht der AVV?
Der AVV beruht auf Artikel 28 der DSGVO. Diese Vorschrift schreibt verbindlich vor, welche Inhalte ein Auftragsverarbeitungsvertrag regeln muss: unter anderem Gegenstand, Dauer und Zweck der Verarbeitung, die technischen und organisatorischen Maßnahmen (TOMs), die Pflichten bei Datenpannen und Löschung, Regeln für den Einsatz von Subunternehmern sowie Kontroll- und Auditrechte. Erst mit einem solchen Vertrag ist der Einsatz eines Dienstleisters datenschutzkonform.
Was hat der AVV mit NIS2 zu tun?
Der AVV ist ein vertraglicher Hebel, um Sicherheitsanforderungen und Meldepflichten gegenüber Dienstleistern verbindlich und durchsetzbar festzuschreiben. Während der AVV aus dem Datenschutzrecht stammt, verlangt die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie das Management der gesamten Lieferkette. Beide Regelwerke greifen ineinander: Wer ohnehin einen AVV abschließt, kann darin gleich NIS2-Sicherheitsanforderungen verankern und so das Third Party Risk eines Dienstleisters rechtssicher steuern.