Comply/CheckScope prüfen

Art. 28 DSGVO · Template

Stand: Geprüft gegen Art. 28Quelle

AVV-Generator (Auftragsverarbeitung, Art. 28 DSGVO)

Erfassen Sie Verantwortlichen, Auftragsverarbeiter, Vertragsgegenstand, TOM und Sub- Unternehmer. ComplyCheck erzeugt eine vollständige AVV-Vorlage mit allen Pflichtfeldern aus Art. 28 Abs. 3 DSGVO als Markdown. Keine Rechtsberatung.

1. Verantwortlicher
2. Auftragsverarbeiter
3. Gegenstand und Dauer
4. Datenkategorien
5. Weisungen
6. Sub-Auftragsverarbeitung

Genehmigungs-Mechanik

7. Drittland
8. TOM-Standards (Anlage 1)
9. Rückgabe und Nachweise

Frequently Asked Questions

Was ist ein AVV (Auftragsverarbeitungs-Vertrag)?
Ein AVV ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Er regelt, wie ein Dienstleister im Auftrag personenbezogene Daten verarbeiten darf — etwa Hosting-Anbieter, Cloud-Dienste, externe Lohnbuchhaltung, Marketing-Tools. Ohne AVV ist die Weitergabe von Daten an einen Auftragsverarbeiter rechtswidrig.
Wann brauche ich einen AVV?
Immer dann, wenn ein Dienstleister im Auftrag personenbezogene Daten verarbeitet, ohne eigene Zweckbestimmung. Beispiele: Cloud-Hosting (AWS, Azure, Hetzner), CRM (HubSpot, Salesforce), Newsletter (Mailchimp), Steuerberater bei laufender Lohnabrechnung. Kein AVV nötig bei: eigenverantwortlich tätigen Berufsgruppen (Anwalt, Wirtschaftsprüfer, freier Steuerberater bei klassischer Mandatsbeziehung).
Wer muss den AVV bereitstellen?
Praktisch stellt meist der Auftragsverarbeiter eine Standard-Vorlage. Die Verantwortung für DSGVO-Konformität bleibt aber beim Verantwortlichen — er muss prüfen, ob der Vertrag alle Pflichtfelder aus Art. 28 Abs. 3 DSGVO enthält. Wenn der Dienstleister nur einen abgespeckten Vertrag anbietet, ist Nachverhandeln oder Anbieter-Wechsel angezeigt.
Was sind Sub-Auftragsverarbeiter?
Dienstleister, die der Auftragsverarbeiter seinerseits einsetzt — z. B. ein SaaS-Anbieter, der AWS als Hosting nutzt. Art. 28 Abs. 2 DSGVO verlangt eine Genehmigung des Verantwortlichen: entweder allgemein (mit Informationspflicht bei neuen Sub-Unternehmern und Widerspruchsrecht) oder konkret (Liste namentlich genannter Sub-Unternehmer). Die Wahl ist im AVV festzulegen.
Brauche ich für Drittlandübermittlungen zusätzliche Klauseln?
Ja. Sobald der Auftragsverarbeiter oder ein Sub-Unternehmer außerhalb der EU/EWR sitzt, brauchen Sie eine Rechtsgrundlage nach Kapitel V DSGVO — meist EU-Standardvertragsklauseln (SCC) + Transfer Impact Assessment (TIA), bei den USA aktuell auch Data Privacy Framework. Der AVV verweist auf diese als Anlage.
Was gehört in die TOM-Anlage?
Die TOM-Anlage beschreibt technische und organisatorische Maßnahmen nach Art. 32 DSGVO — Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennbarkeitskontrolle. Standard-Anlagen enthalten Häkchen-Listen plus Verweise auf Zertifizierungen (ISO 27001, C5, TISAX). Für ein eigenes TOM-Dokument siehe ComplyCheck TOM-Generator.
Ist diese Vorlage rechtssicher?
Die Vorlage deckt alle Pflichtfelder aus Art. 28 Abs. 3 DSGVO ab. Für rechtsverbindliche Verträge — insbesondere bei besonderen Datenkategorien, hohem Risiko, Konzernkonstellationen oder internationalen Auftragsverarbeitern — empfehlen wir eine Prüfung durch Datenschutzbeauftragte oder Fachanwält:innen. Keine Rechtsberatung iSd § 2 RDG.