Einleitung

Moderne Unternehmen verarbeiten personenbezogene Daten fast immer über externe Dienstleister: Cloud-Anbieter, SaaS-Tools, IT-Wartung, spezialisierte Outsourcing-Services. Wann immer diese Dienstleister personenbezogene Daten weisungsgebunden verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verpflichtend.

In der Praxis zeigt sich jedoch, dass die AVV-Prüfung zu den anstrengendsten, zeitkritischsten und fehleranfälligsten Aufgaben im Datenschutz- und Compliance-Alltag gehört. Ursache dafür sind komplexe technologische Anhänge, fehlende interne Standards, knappe Zeitfenster und heterogene Vertragstexte.

Dieser Artikel behandelt:

• Was ein AVV ist und wann er notwendig ist
• Welche gesetzlichen Mindestanforderungen bestehen
• Typische Fehlerquellen in der AVV-Prüfung
• Welche Risiken sich aus unzureichenden AVVs ergeben
• Dokumentierte realistische Fälle europäischer Behörden
• Beispiele kritischer Klauseln aus der Praxis
• wie eine KI-assistiere AVV-Prüfung die Fehlerquote signifikant reduziert
  —--

Wenn Sie Ihren AVV schnell, strukturiert und risikobewusst prüfen möchten - buchen Sie eines unserer Best Practice Packages!

1. Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) – auch „AV-Vertrag“, „Auftragsverarbeitungsvereinbarung“ oder englisch Data Processing Agreement (DPA) – ist eine gesetzlich vorgeschriebene Vereinbarung zwischen:

• dem Verantwortlichen (Unternehmen, das über Zweck und Mittel entscheidet) und 
• dem Auftragsverarbeiter (Dienstleister, der die Daten im Auftrag verarbeitet)

Der AVV dient der kontrollierten Weitergabe von personenbezogenen Daten und regelt Mindestanforderungen nach Art. 28 DSGVO. Er stellt sicher, dass personenbezogene Daten unter klar definierten Bedingungen, mit angemessenen Sicherheitsmaßnahmen und mit kontrollierbaren Verantwortlichkeiten verarbeitet werden.

2. Wann ist ein Auftragsverarbeitungsvertrag nach DSGVO erforderlich?

Ein AVV ist immer dann notwendig, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden verarbeitet. Häufige Beispiele:

• cloudbasierte Software (CRM, HR-Systeme, Collaboration-Tools)
• Hosting- oder Infrastrukturservices
• IT-Wartung & Remote-Support
• Lohn- und Gehaltsabrechnung
• Kundensupport oder Callcenter
• Datenvernichtung oder Archivierung

Wichtig: Der AVV muss vor Beginn der Verarbeitung abgeschlossen werden.

—

Prüfen Sie ab sofort AVVs mit Legartis - einfach, schnell und nach Best Practicse Standards!

 

3. Mindestinhalte eines AVV (Art. 28 DSGVO)

Ein vollständiger AVV muss u. a. folgende Punkte regeln:

• Gegenstand und Dauer der Verarbeitung
• Zweck
• Art der Daten & Kategorien betroffener Personen
• Pflichten des Verarbeiters (Vertraulichkeit, TOMs, Unterstützungspflichten)
• Weisungsrecht
• Subprozessoren (Genehmigungsmechanismen, Transparenz)
• Datenrückgabe/Löschung nach Ende der Verarbeitung
• Dokumentations- und Kontrollrechte
• Unterstützungsleistungen bei Betroffenenrechten
• Unterstützung bei Sicherheitsvorfällen

Diese Anforderungen bilden das gesetzliche Minimum. In der Praxis sind AVVs deutlich komplexer – vor allem durch technische Anhänge, internationale Datenflüsse und unterschiedliche Vertragsstile.

4. Typische Pain Points bei der AVV-Prüfung

1. Fehlende oder veraltete Playbooks und Standards 

Viele Unternehmen haben keine klaren, aktuellen Richtlinien oder ein Contract Playbook zur Prüfung von AVVs zur Hand. 

Ergebnis:

• Abweichende Risikoeinschätzungen
• Ineffiziente Abstimmungsprozesse
• Ermessensspielräume an Stellen, die eigentlich klar definiert sein müssten
• Fehlende Vergleichbarkeit zwischen Lieferanten

2. Umfangreiche und technisch komplexe Verträge

AVVs enthalten oft 20–30 Seiten und inkludieren: 

• TOM-Anhänge
• Subprozessorverzeichnisse
• Zusatzvereinbarungen für internationale Transfers
• separate SLA- und Incident-Prozesse

3. Zeitdruck im Onboarding

AVVs werden oft unter hohem Zeitdruck geprüft:

• SaaS-Tool soll sofort live gehen
• Interner Druck: Procurement drängt, IT wartet, Marketing will Kampagne starten.

Der Zeitdruck, unter dem die AVVs geprüft werden sollen, erhöht die Fehlerquote erheblich.

—-

Wenn Sie schnell eine AVV-Prüfung benötigen, nutzen Sie ab sofort Legartis. Inklusive AVV Best Practice Playbook!

5. Risiken unzureichender AVVs

Zeitdruck und keine einheitlichen Richtlinien führen zu Fehlern bei der AVV-Prüfung. 

Daraus entstehen nicht unerhebliche Risiken, wie die nachfolgenden Beispiele illustrieren. 

Fall 1: Fehlender AVV – Bussgeld in Deutschland

Ein deutsches Unternehmen wurde sanktioniert, weil ein Dienstleister personenbezogene Daten verarbeitete, ohne dass ein AVV abgeschlossen war.
Bussgeld: ca. 5.000 EUR
Quelle: LEWENTO (Analyse eines behördlich bestätigten Falles)

Relevanz:
Selbst ein formaler Fehler – der fehlende Vertrag – ist bereits sanktionierbar.

Fall 2: Mehrere fehlende DPAs – Bussgeld in Hessen

Die Hessische Datenschutzbehörde sanktionierte ein Versandunternehmen, weil mehrere eingesetzte Dienstleister ohne DPA/AVV arbeiteten.
Bussgeld: bis zu 5.000 EUR pro fehlendem Vertrag

Quelle: Hessische Datenschutz- und Informationsfreiheitsbehörde (Analyse: Fox Rothschild LLP)

Relevanz:
Mehrere Verträge fehlten – die Behörde wertete dies als systematisches Organisationsversagen. 

→ Diese Fälle zeigen, wie wichtig eine strukturierte AVV-Prüfung ist.

6. Beispiele kritischer AVV-Klauseln

1. Vage TOMs

„Der Verarbeiter setzt angemessene Sicherheitsmaßnahmen um.“
→ unzureichend, da TOMs konkret sein müssen.

2. Subprozessoren ohne Transparenz

„Der Verarbeiter kann jederzeit Subdienstleister einsetzen.“
→ Kontrollverlust über Datenweitergabe.

3. Unausgewogene Haftung

„Gesamthaftung maximal in Höhe der Jahresgebühr.“
→ bei Datenschutzverletzungen unangemessen.

4. Illusorische Auditrechte

„Audit nur durch jährliche Zertifikate.“
→ Behörden erwarten echte Prüfmöglichkeiten.

5. Unklare Incident-Meldungen

Keine Fristen, keine Ansprechpersonen, keine Inhalte definiert.
→ Risiko verspäteter Meldung.

7. Wie KI die AVV-Prüfung erleichtert

Die Analyse eines AVV ist grundsätzlich anspruchsvoll. In der Praxis sind drei strukturelle Ursachen für Fehler identifizierbar:

1. fehlende einheitliche Standards
   
2. Zeitdruck
   
3. die Kombination aus juristischen und technischen Anforderungen
   
   

Eine AVV-Prüfung mit KI, die auf einem juristisch entwickelten Best Practice Playbook basiert, adressiert genau diese strukturellen Faktoren – nicht als Ersatz für juristische Expertise, sondern als methodischer Verstärker.

 

1. KI mit einem Best Practice Playbook sorgt für einheitliche Standards

Statt subjektiver Einzelfallentscheidungen prüft die KI jeden Vertrag:

• nach definierten Mindeststandards
• mit konsistenten Bewertungskategorien
• reproduzierbar
• unabhängig davon, wer prüft

Das Ergebnis ist eine objektivierte Risikoeinschätzung.

2. KI reduziert Zeitdruck-bedingte Fehler

AVVs enthalten häufig:

• dutzende Seiten technischer Anhänge
• lange Subprozessorverzeichnisse
• komplexe SCC-Implementierungen

Die KI erkennt Muster, Abweichungen und Risikoklauseln in Sekunden – auch dort, wo Menschen aufgrund von Zeitdruck selektiv lesen.

3. KI verbindet juristische & technische Expertise

Die Grundlage bildet ein von erfahrenen Anwält:innen geprüftes Best-Practice-Playbook, das alle relevanten Klauseln, Prüfregeln und Risikoszenarien abdeckt. Es verknüpft unter anderem:

•  juristische Anforderungen (Art. 28 DSGVO, Haftung, Betroffenenrechte)
• technische Sicherheitsstandards (z. B. Verschlüsselung, IAM, Logging)
• Vorgaben zur Cloud-Architektur und Dienstleisterkette
• internationale Transferregeln (Standardvertragsklauseln/SCCs, Transfer Impact Assessments/TIAs)

Die KI wendet dieses Wissen konsistent auf jeden einzelnen AVV an. Das Ergebnis ist eine ganzheitliche Bewertung, die weder nur juristisch noch nur technisch ist, sondern beide Perspektiven zusammenführt. Das alles in hoher Geschwindigkeit und Präzision. 

4. KI ermöglicht skalierbare, reproduzierbare Qualität

Unternehmen profitieren bei höchster Prüfgeschwindigkeit und gleichbleibend konsistenter Prüfqualität von: 

• schnelleren Freigaben
• verlässlichen Ergebnissen
• weniger Rückfragen an Legal
• klaren Entscheidungsgrundlagen für Fachbereiche
• besseren Dokumentationen für Audits

Damit wird der AVV-Review-Prozess standardisierbar und effizient, ohne inhaltliche Tiefe einzubüßen.

Möchten Sie Ihren AVV-Prüfprozess sofort beschleunigen?

Fazit

Der Auftragsverarbeitungsvertrag ist ein zentraler Baustein moderner Datenschutz- und Sicherheitsarchitekturen. Eine sorgfältige Prüfung ist notwendig – und gleichzeitig in der Realität oft schwer durchführbar.

Die Kombination aus:

• juristischen Anforderungen
• technischen Sicherheitsanforderungen
• internationaler Regulierung
• hoher Geschwindigkeit im Tool-Onboarding

macht AVV-Prüfungen zu einer der komplexesten Aufgaben in der DSGVO-Praxis.

Eine KI-assistierte AVV-Prüfung, basierend auf einem anwaltlich entwickelten Best Practice Playbook, schafft hier klare Vorteile: Sie standardisiert, beschleunigt und objektiviert die Prüfung, reduziert die Fehlerquote und liefert reproduzierbare Ergebnisse – sowohl für Einzelprüfungen als auch für skalierbare Prüfprozesse im Unternehmensalltag.

—

Prüfen Sie jetzt Ihre AVVs mit Legartis, einzeln oder in einem Package! 

👉Zu Legartis Packages