AVV (Auftragsverarbeitungsvertrag), im Compliance-Kontext.
AVV regelt Verarbeitung personenbezogener Daten durch externen Dienstleister. Pflicht-Vertrag bei jedem SaaS-Anbieter mit Datenkontakt.
Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist die rechtliche Grundlage, wenn ein Dienstleister im Auftrag personenbezogene Daten verarbeitet. Pflicht bei: Cloud-Hosting, SaaS-Tools, externes CRM, Email-Marketing-Anbieter, Analytics-Anbieter. Inhalt: Zweck der Verarbeitung, Datenkategorien, technische und organisatorische Maßnahmen (TOM), Subunternehmer-Klausel, Löschpflichten, Auditrechte. AVV ist beidseitig zu unterzeichnen. Standard-AVV-Templates bieten alle großen SaaS-Anbieter an.
Beispiele aus dem Mittelstand
- Ein KMU schließt AVV mit Supabase für EU-Hosting, mit Anthropic für Claude-API, mit Resend für Transaktions-Mails.
- Eine Marketing-Agentur dokumentiert AVV mit Klienten als Auftragsverarbeiter, plus Sub-AVVs mit allen verwendeten Tools.
Folge-Fragen
Standard-AVV oder eigene?
Standard-AVV der Anbieter reicht meistens. Bei kritischen Daten (Gesundheit, Finanzen) eigene Klauseln prüfen lassen.
Wo lagern AVVs?
Im Verarbeitungsverzeichnis verlinkt, in Volltext bei Anbieter und in eigener Doku. Audit-fähig.
Was bei Sub-Verarbeitung?
Anbieter listet alle Subunternehmer plus Region. Pflicht-Klausel: Recht auf Widerspruch bei neuem Sub-Verarbeiter.
Verwandte Begriffe
AVV (Auftragsverarbeitungsvertrag) in der Praxis.
Wo dieser Begriff in deinem Geschäft konkret wird, beginnt die Arbeit. Wir nennen klar, ob die Idee in unser Studio passt.
Datenschutz