Skip to content
Vorlagen calendar_today Aktualisiert: 7. April 2026 schedule 5 Min. Lesezeit

Vorlage: Auftragsverarbeitungsvertrag (AVV/DPA)

verified Zuletzt überprüft 7. April 2026 · das GDPRWise Rechtsteam

Ein Auftragsverarbeitungsvertrag ist mit jeder Partei erforderlich, die in Ihrem Auftrag personenbezogene Daten verarbeitet. Verwenden Sie diese Vorlage als Grundlage.

summarize Kernaussagen
  • check_circle Sie benötigen einen Auftragsverarbeitungsvertrag mit jeder Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet
  • check_circle Denken Sie an Ihren Steuerberater, E-Mail-Tool, Cloud-Speicher, Lohnbuchhalter und Webhoster
  • check_circle Ohne Auftragsverarbeitungsvertrag riskieren Sie ein Bußgeld bis zu 10 Millionen Euro oder 2% des Jahresumsatzes
  • check_circle Viele große Auftragsverarbeiter (Google, Microsoft, Mailchimp) bieten Standard-AVVs an

Wann brauchen Sie einen Auftragsverarbeitungsvertrag?

Sobald Sie personenbezogene Daten von einer externen Partei verarbeiten lassen, sind Sie verpflichtet, einen Auftragsverarbeitungsvertrag (auch AVV oder DPA genannt) abzuschließen. Dies ist keine Option - es ist eine gesetzliche Pflicht aus Artikel 28 der DSGVO.

Häufige Auftragsverarbeiter für KMU

  • Steuerberater - hat Zugang zu Kunden- und Mitarbeiterdaten
  • E-Mail-Marketing (Mailchimp, ActiveCampaign, Sendinblue) - speichert E-Mail-Adressen und Verhaltensdaten
  • Cloud-Speicher (Google Workspace, Microsoft 365, Dropbox) - speichert Dateien mit personenbezogenen Daten
  • Webhoster - verarbeitet IP-Adressen und manchmal Formulardaten
  • CRM-System (HubSpot, Salesforce, Teamleader) - enthält Kundendaten
  • Lohnbuchhalter - verarbeitet Mitarbeiterdaten

Die Vorlage

Auftragsverarbeitungsvertrag - Basisvorlage
AUFTRAGSVERARBEITUNGSVERTRAG Zwischen: [Name der Organisation], ansässig in [Adresse], nachfolgend "Verantwortlicher" Und: [Name des Auftragsverarbeiters], ansässig in [Adresse], nachfolgend "Auftragsverarbeiter" 1. GEGENSTAND UND DAUER Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Der Vertrag tritt am [Datum] in Kraft und gilt für die Dauer der Zusammenarbeit. 2. ART UND ZWECK DER VERARBEITUNG Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck von: [Zweck beschreiben, z.B. "Führung der Buchhaltung", "Versand von Newslettern", "Hosting der Website"]. 3. ART DER PERSONENBEZOGENEN DATEN Folgende Kategorien personenbezogener Daten werden verarbeitet: [z.B. Name, E-Mail-Adresse, Adresse, Telefonnummer, Zahlungsdaten]. 4. KATEGORIEN BETROFFENER PERSONEN Die personenbezogenen Daten betreffen folgende Kategorien von Personen: [z.B. Kunden, Mitarbeiter, Website-Besucher, Lieferanten]. 5. PFLICHTEN DES AUFTRAGSVERARBEITERS Der Auftragsverarbeiter: a) Verarbeitet personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen des Verantwortlichen b) Stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind c) Trifft geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung d) Beauftragt keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen e) Unterstützt bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung) f) Informiert den Verantwortlichen unverzüglich (innerhalb von 24 Stunden) über eine Datenschutzverletzung g) Löscht oder gibt alle personenbezogenen Daten nach Ende der Dienstleistung zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht h) Stellt alle Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind, und wirkt bei Audits mit 6. UNTERAUFTRAGSVERARBEITER Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter: [Liste mit Name, Standort und Zweck]. Änderungen werden dem Verantwortlichen vorab schriftlich mitgeteilt. 7. ÜBERMITTLUNG AUSSERHALB DES EWR [Falls zutreffend:] Der Auftragsverarbeiter übermittelt personenbezogene Daten an Parteien außerhalb des Europäischen Wirtschaftsraums. Geeignete Garantien bestehen gemäß [Standardvertragsklauseln / Angemessenheitsbeschluss / anderer Mechanismus]. [Falls nicht zutreffend:] Der Auftragsverarbeiter verarbeitet alle personenbezogenen Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums. 8. SICHERHEITSMASSNAHMEN Der Auftragsverarbeiter trifft mindestens folgende Sicherheitsmaßnahmen: - Verschlüsselung von Daten bei Speicherung und Transport - Zugangs- und Zugriffskontrolle mit Authentifizierung (2FA) - Regelmäßige Backups - Protokollierung des Zugriffs auf personenbezogene Daten 9. DAUER UND BEENDIGUNG Dieser Vertrag gilt für die Dauer der zugrundeliegenden Dienstleistung. Bei Beendigung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von [Anzahl] Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Unterzeichnet in [Ort] am [Datum]: Verantwortlicher: ________________________ Name: Position: Auftragsverarbeiter: ________________________ Name: Position:

So verwenden Sie diese Vorlage

  1. Füllen Sie Ihre Daten und die des Auftragsverarbeiters ein
  2. Seien Sie spezifisch über Zweck, Datenart und Kategorien betroffener Personen
  3. Inventarisieren Sie Unterauftragsverarbeiter - fragen Sie Ihren Auftragsverarbeiter, welche Dritten er einsetzt
  4. Prüfen Sie Übermittlungen - verarbeitet Ihr Auftragsverarbeiter Daten außerhalb der EU?
  5. Lassen Sie beide Parteien unterschreiben und bewahren Sie eine Kopie auf

Auftragsverarbeiter mit Standard-AVV

  • Google Workspace - AVV über Admin-Konsole verfügbar
  • Microsoft 365 - AVV Teil der Servicebedingungen
  • Mailchimp - AVV auf deren Website verfügbar
  • HubSpot - AVV über Kontoeinstellungen verfügbar

Bewahren Sie immer eine Kopie des unterzeichneten oder akzeptierten AVV auf.

auto_awesome Wissen Sie, mit welchen Auftragsverarbeitern Sie arbeiten?

GDPRWise scannt Ihre Website und erkennt automatisch, welche Dritten Zugang zu den von Ihnen verarbeiteten personenbezogenen Daten haben.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.