Auftragsverarbeitungsvertrag (AVV) – DSGVO-Pflicht
Der Auftragsverarbeitungsvertrag (AVV) ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (z.B. einem Cloud-ERP-Anbieter), der personenbezogene Daten im Auftrag verarbeitet. Ohne einen solchen Vertrag drohen Bußgelder von bis zu 4 Prozent des weltweiten Konzernumsatzes.
Pflichtinhalte eines AVV
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und betroffenen Personen
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOM)
- Sub-Auftragsverarbeiter (z.B. Cloud-Hosting-Provider)
- Drittlandtransfer-Klauseln
- Unterstützung bei Betroffenenrechten
- Meldepflicht bei Datenpannen
- Lösch-/Rückgabe-Pflichten am Vertragsende
Cloud-ERP-Anbieter und AVV
Wer eine Cloud-ERP-Lösung nutzt, lagert Verarbeitungsleistungen aus. Klassische Cloud-Anbieter wie Microsoft Dynamics 365 BC, SAP S/4HANA Cloud, Oracle NetSuite, weclapp haben Standard-AVVs, die meist im Self-Service-Verfahren akzeptiert werden können.
Achten Sie auf: Datenresidenz EU, transparente Sub-Auftragsverarbeiter-Liste, schnelle Datenexport-Möglichkeit bei Vertragsende.
Drittland-Transfer und Standardvertragsklauseln (SCC)
Verarbeitet ein US-Anbieter Daten in den USA, sind ergänzende EU-Standardvertragsklauseln (SCC) und ein Transfer Impact Assessment (TIA) nötig. Microsoft, AWS, Google bieten EU-Datenresidenz-Optionen — diese sollten vertraglich verbindlich vereinbart werden.
Häufige Fragen
- Brauche ich einen AVV mit jedem ERP-Anbieter?
Mit jedem, der personenbezogene Daten im Auftrag verarbeitet — also praktisch jeder Cloud-ERP-Anbieter. On-Premise-Anbieter ohne Daten-Zugriff brauchen nur dann einen, wenn sie Support-Zugriffe auf Live-Systeme machen.
Die genannten Hersteller decken zusammen über 70 % des relevanten DACH-Markts ab, lassen aber spezialisierte Branchen-Lösungen außen vor.
- Was kostet ein AVV?
Standard-AVVs sind in der Regel kostenfrei. Individualvereinbarungen mit Großkonzernen können Anwalts-Kosten von 5.000–25.000 EUR auslösen.
Lizenzgebühren machen typisch nur 25-35 % der Gesamtprojektkosten aus, die restlichen 65-75 % entstehen für Implementation, Customizing, Schulung und Datenmigration.