Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?

Bei der Auftragsverarbeitung (Art. 28 DSGVO) verarbeitet der Dienstleister Daten nach Ihrer Weisung. Bei gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) bestimmen beide Parteien über Zweck und Mittel. Bei eigenverantwortlicher Verarbeitung handelt der Dienstleister zu eigenen Zwecken (z.B. Steuerberater, Rechtsanwalt).

Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

Ein AVV ist nötig bei IT/Hosting (Cloud, E-Mail-Hosting), Marketing (Newsletter-Dienste, CRM), Analyse/Tracking (Google Analytics, Hotjar), Personalwesen (Lohnabrechnung, Bewerbermanagement) und weiteren Diensten wie Aktenvernichtung oder Cloud-Speicher.

Was sind die häufigsten Fehler bei der Auftragsverarbeitung?

Die 5 häufigsten Fehler: Kein AVV vorhanden, veraltete AVVs (vor 2021), AVV mit dem falschen Dienstleister, ungeprüfte Unterauftragsverarbeiter und fehlende technische und organisatorische Maßnahmen (TOMs).

Recht & Compliance7. Februar 2026· 12 Min. Lesezeit

Auftragsverarbeitung DSGVO — AVV Vertrag einfach erklärt

Auftragsverarbeitung ist eines der wichtigsten Konzepte der DSGVO — und gleichzeitig eines der am häufigsten missverstandenen. Wenn Sie als Unternehmen externe Dienstleister einsetzen, die personenbezogene Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Ohne diesen Vertrag verstoßen Sie gegen Art. 28 DSGVO — und das kann teuer werden.

Ohne AVV drohen Bußgelder

Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes nach Art. 83 Abs. 4 lit. a DSGVO. Dazu kommen Haftungsrisiken und mögliche Abmahnungen.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn eine externe Stelle (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der Verantwortliche bestimmt dabei die Zwecke und Mittel der Verarbeitung — der Auftragsverarbeiter handelt nur nach dessen Anweisungen.

„Auftragsverarbeiter“ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. — Art. 4 Nr. 8 DSGVO

Abgrenzung: Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Nicht jede Zusammenarbeit mit Dienstleistern ist Auftragsverarbeitung. Es gibt drei Konstellationen:

1. Auftragsverarbeitung (Art. 28 DSGVO): Der Dienstleister verarbeitet Daten nach Ihrer Weisung, ohne eigene Entscheidungsbefugnis über Zweck und Mittel.
2. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Beide Parteien bestimmen gemeinsam über Zweck und Mittel. Beispiel: Gemeinsam betriebene Facebook-Fanpage.
3. Eigenverantwortliche Verarbeitung: Der Dienstleister verarbeitet Daten zu eigenen Zwecken. Beispiel: Steuerberater, Rechtsanwalt, Bank.

Wann brauchen Sie einen AVV?

Typische Fälle von Auftragsverarbeitung

IT und Hosting: Cloud-Hosting (AWS, Hetzner, IONOS), E-Mail-Hosting, Managed IT-Services, Backup-Dienste, Content Delivery Networks (CDN).

Marketing und Kommunikation: Newsletter-Dienste (Mailchimp, CleverReach, Sendinblue), CRM-Systeme (HubSpot, Salesforce), Marketing-Automation, Social-Media-Management-Tools.

Analyse und Tracking: Google Analytics, Hotjar, Mouseflow, A/B-Testing-Tools.

Personalwesen: Lohnabrechnung durch externen Dienstleister, Bewerbermanagement-Software, Zeiterfassungssysteme.

Weitere: Aktenvernichtung, Lettershop/Druckdienstleister, Cloud-Speicher (Dropbox, Google Drive).

Wann ist kein AVV erforderlich?

Kein AVV wird benötigt bei Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, Ärzte), Banken und Zahlungsdienstleistern, Postdiensten und eigenverantwortlichen Dienstleistern.

Was muss im AVV stehen?

Art. 28 Abs. 3 DSGVO schreibt verbindlich vor, welche Inhalte ein AVV haben muss:

1. Gegenstand und Dauer der Verarbeitung
2. Art und Zweck der Verarbeitung
3. Art der personenbezogenen Daten
4. Kategorien betroffener Personen
5. Pflichten und Rechte des Verantwortlichen
6. Weisungsgebundenheit (lit. a)
7. Vertraulichkeit (lit. b)
8. Technische und organisatorische Maßnahmen (lit. c)
9. Unterauftragsverarbeiter (lit. d)
10. Unterstützung bei Betroffenenrechten (lit. e)
11. Unterstützung bei Sicherheit und Meldepflichten (lit. f)
12. Löschung oder Rückgabe (lit. g)
13. Nachweispflicht und Kontrollen (lit. h)

Der AVV muss schriftlich abgeschlossen werden — wobei ein elektronisches Format (z.B. PDF oder Online-Vereinbarung) ausreicht (Art. 28 Abs. 9 DSGVO).

Unterauftragsverarbeitung

Nach Art. 28 Abs. 2 DSGVO gibt es zwei Modelle: Allgemeine schriftliche Genehmigung (der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen, muss Sie aber über jede Änderung informieren) und Gesonderte Genehmigung (jeder einzelne Unterauftragsverarbeiter muss von Ihnen genehmigt werden).

Drittlandtransfer und AVV

Wenn Ihr Auftragsverarbeiter Daten außerhalb der EU/des EWR verarbeitet, brauchen Sie zusätzlich eine Rechtsgrundlage für den Drittlandtransfer: Angemessenheitsbeschluss (Art. 45), Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) oder Binding Corporate Rules (Art. 47). In jedem Fall muss ein Transfer Impact Assessment (TIA) durchgeführt werden.

Häufige Fehler bei der Auftragsverarbeitung

1. Kein AVV vorhanden — der häufigste Fehler überhaupt.
2. Veraltete AVVs — AVVs, die noch auf alte EU-Standardvertragsklauseln (vor 2021) verweisen.
3. AVV mit dem falschen Dienstleister — nicht jeder Dienstleister ist ein Auftragsverarbeiter.
4. Ungeprüfte Unterauftragsverarbeiter — Sie müssen die Kontrolle behalten.
5. Fehlende TOMs — technische und organisatorische Maßnahmen müssen konkret und nachprüfbar sein.

Praxis-Tipps für die Umsetzung

1. Bestandsaufnahme machen: Listen Sie alle Dienstleister auf. Nutzen Sie unseren DSGVO-Scanner als Ausgangspunkt.
2. Kategorisieren: Prüfen Sie für jeden Dienstleister die Art der Verarbeitung.
3. AVVs einfordern: Die meisten großen Anbieter stellen AVVs auf ihren Websites bereit.
4. Regelmäßig überprüfen: Mindestens jährlich prüfen.
5. Dokumentieren: Halten Sie alle AVVs zentral fest.

Fazit

Die Auftragsverarbeitung nach der DSGVO ist kein bürokratisches Monster — sie ist ein systematischer Schutz für die Daten Ihrer Kunden und Mitarbeiter. Starten Sie mit einer Bestandsaufnahme und arbeiten Sie die AVVs systematisch ab.

Weiterführende Artikel

Unsicher, ob Sie alle AVVs haben? Jetzt prüfen.

Unser Scanner prüft externe Dienste und zeigt, wo Handlungsbedarf besteht.

Jetzt Website prüfen