hagel IT-Services
Festpreis-Angebot
11 Min.
Geschäftsführer und IT-Dienstleister besiegeln einen Auftragsverarbeitungsvertrag

AVV mit dem IT-Dienstleister: Wann er Pflicht ist und was reingehört

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Wer Ihre IT betreut, verarbeitet Ihre Daten. Sobald ein Dienstleister auf Server, Postfächer oder Backups zugreifen kann, schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor — auch wenn er die Daten nie aktiv anschaut.
  • Verantwortlich bleiben Sie. Der AVV verlagert die Haftung nicht auf den Dienstleister. Er regelt, was dieser darf, wie er schützt und wie Sie kontrollieren.
  • Fehlt der AVV, wird es teuer. Der Bußgeldrahmen reicht nach Art. 83 Abs. 4 DSGVO bis zu 10 Millionen Euro — die Hamburgische Datenschutzbehörde hat schon allein für einen fehlenden AVV ein Bußgeld verhängt.
  • Die meisten KMU haben mehr Auftragsverarbeiter als gedacht — und lückenhafte Verträge. Eine strukturierte Prüfung deckt die Lücken in 15 Minuten auf.

Die meisten Geschäftsführer unterschreiben einen Vertrag mit ihrem IT-Dienstleister — und denken, damit sei der Datenschutz erledigt. Ist er nicht. Der eigentlich wichtige Vertrag ist ein zweiter, der oft fehlt oder als Standard-Dokument ungelesen abgeheftet wird: der Auftragsverarbeitungsvertrag.

Dieser Artikel erklärt, wann Sie ihn brauchen, was nach der DSGVO zwingend reingehört und wie Sie Ihre bestehenden Verträge prüfen — bevor es eine Aufsichtsbehörde tut.

Was ein Auftragsverarbeitungsvertrag ist — und warum er Sie betrifft

Ein Auftragsverarbeitungsvertrag (AVV) ist der nach Art. 28 DSGVO vorgeschriebene Vertrag zwischen Ihnen als Verantwortlichem und jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Er legt schriftlich fest, was dieser Dienstleister mit den Daten tun darf, welche Schutzmaßnahmen er trifft und welche Kontrollrechte bei Ihnen bleiben.

Je nach Quelle heißt dieser Vertrag auch AV-Vertrag, Datenschutzvereinbarung oder — nach dem früheren Bundesdatenschutzgesetz — Auftragsdatenverarbeitung (ADV). Gemeint ist immer dasselbe: ein Vertrag, der die Verarbeitung personenbezogener Daten im Auftrag im Sinne der DSGVO vertraglich regelt — wer was darf, wie die Datensicherheit gewährleistet wird und welche Rechte des Auftraggebers bestehen bleiben.

Entscheidend ist ein Punkt, den viele übersehen: Es kommt nicht darauf an, ob der Dienstleister die Daten anschaut. Es genügt, dass er sie könnte. Wer per Fernwartung auf Ihren Server zugreift, ein Microsoft-365-Postfach administriert oder Ihre Backups verwaltet, hat potenziell Zugriff auf jeden Namen, jede Adresse und jede Krankmeldung darin. Das macht ihn zum Auftragsverarbeiter — und den AVV zur Pflicht.

Das betrifft fast jedes Unternehmen, das IT-Aufgaben auslagert. Egal ob Sie Ihre komplette IT als Managed IT Services an einen Partner geben oder nur Ihre interne Abteilung mit Co-Managed IT entlasten: Sobald jemand von außen an Ihre Daten kann, brauchen Sie den Vertrag.

Wann Sie einen AVV brauchen — und mit wem

Die ehrliche Antwort lautet: häufiger, als Sie denken. Bei Hamburger Neukunden finden wir regelmäßig fünf bis fünfzehn Dienstleister mit Datenzugriff — aber nur eine Handvoll AVV. Typische Auftragsverarbeiter, die im Alltag untergehen:

  • Ihr IT-Dienstleister. Fernwartung, Server-Administration, Helpdesk — voller Zugriff auf praktisch alle Systeme.
  • Microsoft 365, Google Workspace & andere Cloud-Dienste. E-Mails, Dokumente, Kalender liegen auf fremden Servern.
  • Ihr Backup- oder Rechenzentrums-Anbieter. Eine Kopie sämtlicher Daten liegt dort — oft die sensibelste Stelle überhaupt.
  • Lohnbuchhaltung, Steuerbüro, CRM- und Newsletter-Tools. Personaldaten, Kundendaten, Kontaktlisten.
  • Telefonanlage und Support-Software, wenn dort Gesprächs- oder Ticketdaten gespeichert werden.

Für jeden dieser Dienstleister gilt: Greift er auf personenbezogene Daten zu, ist ein AVV gesetzlich vorgeschrieben — nicht optional. Eine Ausnahme bilden reine Berufsgeheimnisträger wie Anwälte oder Steuerberater in ihrer Kernfunktion, weil sie eigenverantwortlich handeln. Aber sobald deren Software in der Cloud liegt, ist deren Anbieter wieder Auftragsverarbeiter.

Art. 28
DSGVO schreibt den AVV verbindlich vor
10 Mio. €
Bußgeldrahmen bei Verstoß (Art. 83 Abs. 4 DSGVO)
5.000 €
Bußgeld der Hamburger Behörde allein für einen fehlenden AVV

Dass die Aufsicht hier nicht nur theoretisch zuschlägt, zeigt ein Fall aus der eigenen Stadt: Die Hamburgische Datenschutzbehörde hat gegen ein Versandunternehmen ein Bußgeld festgesetzt, weil es mit einem Dienstleister schlicht keinen Auftragsverarbeitungsvertrag geschlossen hatte. Kein Datenleck, kein Schaden — allein das fehlende Dokument genügte.

Wer den AV-Vertrag abschließen muss — und die Rolle des Datenschutzbeauftragten

Den AV-Vertrag abschließen müssen Sie als Auftraggeber mit jedem Auftragnehmer, der Daten in Ihrem Auftrag verarbeitet — die Initiative liegt bei Ihnen, nicht beim Dienstleister. Haben Sie einen Datenschutzbeauftragten bestellt (intern oder extern), gehört die Prüfung und Pflege dieser Verträge zu seinen Kernaufgaben: Er behält den Überblick, welche Auftragnehmer beim Datenschutz auf dem aktuellen Stand sind und wo eine Vereinbarung fehlt. Wer keinen eigenen Datenschutzbeauftragten stellen kann oder will, lagert diese Rolle an einen externen Dienstleister aus — die Pflicht, den Vertrag mit dem Auftragnehmer abzuschließen, bleibt aber bei Ihnen als Verantwortlichem.

Was der Vertrag regeln muss — die Pflichtbausteine nach Art. 28

Ein AVV ist kein Freitext und kein Gefälligkeitsschreiben. Art. 28 Abs. 3 DSGVO gibt vor, was zwingend geregelt sein muss. Der AV-Vertrag muss die Verarbeitung personenbezogener Daten im Auftrag vollständig regeln — von der Weisungsbindung über die Datensicherheit bis zur Löschung. Fehlt einer dieser Bausteine, ist der Vertrag mangelhaft — auch wenn oben „Auftragsverarbeitungsvertrag” draufsteht.

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung — konkret beschrieben, nicht in Floskeln.
  • Kategorien betroffener Personen und Datenarten — also wessen Daten und welche (Mitarbeiter, Kunden, Bewerber; Namen, Gesundheitsdaten, Zahlungsdaten).
  • Weisungsgebundenheit — der Dienstleister verarbeitet nur auf Ihre dokumentierte Weisung, nie für eigene Zwecke.
  • Vertraulichkeit — alle eingesetzten Personen sind zur Verschwiegenheit verpflichtet.
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32 — die konkrete Datensicherheit, vertraglich beschrieben statt floskelhaft „nach Stand der Technik".
  • Regelung zu Unterauftragsverarbeitern — wer wird eingeschaltet, und wie werden Sie informiert?
  • Unterstützung bei Betroffenenrechten — etwa bei Auskunfts- oder Löschanfragen.
  • Unterstützung bei Meldepflichten — Datenpannen, Datenschutz-Folgenabschätzungen.
  • Löschung oder Rückgabe aller Daten nach Vertragsende — nachweisbar.
  • Nachweis- und Audit-Rechte — Sie dürfen die Einhaltung kontrollieren oder kontrollieren lassen.
Auftragsverarbeitungsvertrag wird Punkt für Punkt auf die Pflichtinhalte geprüft
Ein AVV ist erst vollständig, wenn alle zehn Pflichtbausteine aus Art. 28 Abs. 3 DSGVO konkret geregelt sind — nicht, wenn die Überschrift stimmt.

Der häufigste Mangel, den wir sehen: Die Unterauftragsverarbeiter fehlen oder die TOM bestehen aus einem einzigen Satz. Beides macht den Vertrag angreifbar.

Wer haftet nach der DSGVO — Verantwortlicher und Auftragsverarbeiter

Eine weit verbreitete Hoffnung lautet: „Wenn etwas schiefgeht, haftet doch der Dienstleister.” So funktioniert es nicht. Die DSGVO unterscheidet klar zwei Rollen — und die Verantwortung bleibt überwiegend bei Ihnen.

Verantwortlicher (Sie)Auftragsverarbeiter (IT-Dienstleister)
Entscheidet überZweck und Mittel der Verarbeitungnichts eigenständig — handelt auf Weisung
Pflicht zum AVVja, muss ihn abschließen und durchsetzenja, muss ihn anbieten und einhalten
Haftung gegenüber Betroffenenprimärnur bei eigenen Pflichtverstößen
Wird von der Aufsicht adressiertzuerstbei eigenem Verschulden

Heißt im Klartext: Sie können die Aufgabe auslagern, aber nicht die Verantwortung. Genau deshalb ist der AVV kein bürokratisches Beiwerk, sondern Ihr wichtigstes Werkzeug, um diese Verantwortung kontrollierbar zu machen.

Einwand: „Unser Dienstleister sagt, das brauchen wir nicht."

Das ist ein Warnsignal, kein Argument. Ein seriöser IT-Partner legt Ihnen den AVV unaufgefordert vor — er kennt seine Pflicht aus Art. 28 DSGVO. Wer abwiegelt, hat das Thema entweder nicht verstanden oder möchte keine Kontrollrechte einräumen. Beides sollten Sie nicht akzeptieren.

Mit der Prüfung Ihrer bestehenden Verträge sind Sie schneller fertig, als Sie denken. Statt jeden AVV gegen den Gesetzestext zu halten, arbeiten Sie eine strukturierte Liste der 20 wichtigsten Prüfpunkte ab:

Tipp: AVV in rund 15 Minuten prüfen

Die kostenlose AVV-Prüfung von frag.hugo führt Sie interaktiv durch 20 Prüfpunkte nach Art. 28 DSGVO und zeigt sofort, wo Ihr Vertrag Lücken hat — verständlich, ohne Paragrafen-Studium.

Transparenz-Hinweis: Die AVV-Prüfung stammt von frag.hugo Informationssicherheit, dem Schwester-Unternehmen von hagel IT, mitgegründet von unserem Geschäftsführer Jens Hagel (gemeinsam mit dem Datenschutzberater Nils Oehmichen). Die Empfehlung ist also nicht neutral — aber ehrlich: Schon die kostenlose Prüfung bringt echten Nutzen.

Aus der Praxis

Wenn wir bei einem neuen Kunden in Hamburg oder Norddeutschland starten, ist der Bestand an Auftragsverarbeitungsverträgen fast immer eine Baustelle: Ein paar alte Dokumente von 2018, für die Hälfte der Dienstleister gar nichts, und niemand, der den Überblick hat. Das ist keine böse Absicht — es ist schlicht im Tagesgeschäft untergegangen.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Der Auftragsverarbeitungsvertrag gehört für uns zu diesem ersten Aufräumen dazu — als Teil eines seriösen Onboardings, nicht als Extra-Rechnung. Und genau das erwarten Kunden, die einmal einen unseriösen Anbieter erlebt haben.

Das Angebot ist nicht überladen, aber auch nicht laissez-faire. Es wirkt durchdacht und seriös — genau das, was wir gesucht haben.

Jan Hilbert · Geschäftsführer, IT-Dienstleister für Formulare, 3 Mitarbeiter

So prüfen Sie Ihre AVV — die Checkliste in fünf Schritten

Sie müssen nicht alles auf einmal lösen. Die Reihenfolge bringt schnell Klarheit:

  1. Liste anlegen: Notieren Sie jeden Dienstleister, der auf personenbezogene Daten zugreifen kann — IT-Partner, Cloud, Backup, Lohnbüro, CRM, Telefonanlage.
  2. AVV einsammeln: Für jeden Eintrag prüfen — liegt ein unterschriebener AVV vor? Fehlt einer, fordern Sie ihn an. Ein seriöser Anbieter liefert ihn ohne Diskussion.
  3. Inhalte prüfen: Gehen Sie die zehn Pflichtbausteine durch oder nutzen Sie die strukturierte AVV-Prüfung. Achten Sie besonders auf Unterauftragsverarbeiter, TOM und die Löschregelung.
  4. Lücken schließen: Fehlende oder mangelhafte Verträge nachverhandeln — und das Ergebnis dokumentieren. Das ist zugleich Ihr Nachweis gegenüber der Aufsicht.
  5. Aktuell halten: Neue Tools, neue Dienstleister, neue Versionen — der Bestand verändert sich. Einmal im Jahr durchgehen reicht meist.

Wer das einmal sauber aufsetzt, hat danach Ruhe. Und falls Ihre Prüfung zeigt, dass nicht nur einzelne AVV fehlen, sondern das ganze Thema Datenschutz und IT-Sicherheit Struktur braucht, ist das ein guter Anlass, einmal grundsätzlich draufzuschauen — etwa mit einer IT-Sicherheitsprüfung oder im Rahmen der laufenden Datenschutz- und DSGVO-Compliance. Wenn Microsoft 365 im Spiel ist, lohnt zusätzlich der Blick auf Microsoft 365, Sicherheit und DSGVO, und für die Cloud insgesamt klärt unser Beitrag Cloud-Compliance: Wer haftet wirklich die Verantwortung.

Fazit: Der AVV ist Ihr Kontrollinstrument, kein Papierkram

Das Wichtigste: Jeder Dienstleister mit Zugriff auf Ihre Daten braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — und die Verantwortung dafür bleibt bei Ihnen. Listen Sie Ihre Auftragsverarbeiter auf, sammeln Sie die Verträge ein, prüfen Sie die zehn Pflichtbausteine und schließen Sie die Lücken. Das ist kein großes Projekt, sondern ein Nachmittag mit großer Wirkung — und Ihr bester Schutz, wenn die Aufsicht fragt.

Wer den Überblick über Auftragsverarbeiter, Verträge und Schutzmaßnahmen behalten will, ist gut beraten, IT-Betrieb und Datenschutz aus einer Hand zu denken. Als IT-Dienstleister aus Hamburg legen wir den AVV beim Start unaufgefordert auf den Tisch und halten ihn aktuell — und wo es um die rechtliche Tiefe geht, arbeiten wir eng mit den Datenschutz-Experten von frag.hugo zusammen. Mehr dazu, wie Geschäftsführer ihre rechtlichen Risiken minimieren und welche kostenlosen IT-Sicherheits-Tools den Einstieg erleichtern, lesen Sie in den verlinkten Beiträgen. Wenn das Thema bei Ihnen größer ist — Stichwort NIS2 & Compliance oder NIS-2-Pflichten — klären wir das im Erstgespräch.

Unsicher, ob Ihre Auftragsverarbeiter-Verträge sitzen?

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Erstgespräch buchen →

Weiterführende Quellen

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Interne IT vs. Systemhaus: Ein ehrlicher Kosten-Nutzen-Check für Hamburger KMU
Fallstudie · Immobilien
Interne IT vs. Systemhaus: Ein ehrlicher Kosten-Nutzen-Check für Hamburger KMU
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Ein Auftragsverarbeitungsvertrag (AVV) ist ein nach Art. 28 DSGVO vorgeschriebener Vertrag zwischen Ihrem Unternehmen (dem Verantwortlichen) und einem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet. Er regelt verbindlich, was der Dienstleister mit den Daten tun darf, welche Sicherheitsmaßnahmen er trifft und welche Kontrollrechte Sie behalten.

Immer dann, wenn der Dienstleister auf personenbezogene Daten zugreifen kann — also praktisch immer, wenn er Ihre Server, E-Mail-Postfächer, Microsoft 365, Backups oder Datenbanken betreut. Schon die theoretische Zugriffsmöglichkeit per Fernwartung genügt. Ein AVV ist dann gesetzlich vorgeschrieben, nicht optional.

Pflicht sind unter anderem: Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen und Daten, die Weisungsgebundenheit des Dienstleisters, Vertraulichkeitsverpflichtung, technische und organisatorische Schutzmaßnahmen (Art. 32), die Regelung zu Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe der Daten am Ende sowie Ihre Audit- und Kontrollrechte.

Fehlt ein vorgeschriebener AVV, ist die Datenverarbeitung formal rechtswidrig. Der Bußgeldrahmen reicht nach Art. 83 Abs. 4 DSGVO bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die Hamburgische Datenschutzbehörde hat bereits Bußgelder allein wegen eines fehlenden AVV verhängt. Verantwortlich bleiben am Ende Sie als Auftraggeber.

Datenschutzrechtlich verantwortlich bleiben immer Sie als Auftraggeber (der Verantwortliche). Der IT-Dienstleister handelt als Auftragsverarbeiter weisungsgebunden in Ihrem Auftrag. Genau deshalb müssen Sie den AVV abschließen und seine Einhaltung kontrollieren — die Pflicht lässt sich nicht an den Dienstleister abgeben.

Gehen Sie die zehn Pflichtbausteine aus Art. 28 Abs. 3 DSGVO Punkt für Punkt durch: Sind Unterauftragsverarbeiter benannt? Sind die technischen Schutzmaßnahmen konkret beschrieben? Ist die Löschung am Vertragsende geregelt? Eine interaktive AVV-Prüfung mit 20 Prüfpunkten führt Sie in rund 15 Minuten durch alle Anforderungen und zeigt Lücken sofort an.

Es sind drei Bezeichnungen für denselben Vertrag. Auftragsdatenverarbeitung (ADV) war der Begriff im alten Bundesdatenschutzgesetz; AV-Vertrag und Auftragsverarbeitungsvertrag (AVV) sind die heute üblichen Bezeichnungen unter der DSGVO. Gemeint ist jeweils die vertragliche Regelung, nach der ein Auftragnehmer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und die Datensicherheit gewährleistet.

Das könnte Sie auch interessieren

Passkeys 2026 — YubiKey 5 NFC Hardware-Token für passwortfreien Microsoft-365-Login in Hamburger Mittelstands-Unternehmen
IT-Sicherheit

Passkeys 2026: Microsoft passwortfrei für Hamburger Mittelständler
Hamburger Team am Rechner nutzt kostenlose Tools für mehr IT-Sicherheit
IT-Sicherheit

3 kostenlose Tools, die Ihre IT-Sicherheit sofort verbessern
Mitarbeiter-Schulung im Büro — Security-Awareness-Training für kleine Teams
IT-Sicherheit

Security-Awareness-Schulung kostenlos für kleine Teams