Auftragsverarbeitungsvertrag (AVV) – DSGVO-Pflicht

Der Auftragsverarbeitungsvertrag (AVV) ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (z.B. einem Cloud-ERP-Anbieter), der personenbezogene Daten im Auftrag verarbeitet. Ohne einen solchen Vertrag drohen Bußgelder von bis zu 4 Prozent des weltweiten Konzernumsatzes.

Pflichtinhalte eines AVV

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und betroffenen Personen
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOM)
Sub-Auftragsverarbeiter (z.B. Cloud-Hosting-Provider)
Drittlandtransfer-Klauseln
Unterstützung bei Betroffenenrechten
Meldepflicht bei Datenpannen
Lösch-/Rückgabe-Pflichten am Vertragsende

Cloud-ERP-Anbieter und AVV

Wer eine Cloud-ERP-Lösung nutzt, lagert Verarbeitungsleistungen aus. Klassische Cloud-Anbieter wie Microsoft Dynamics 365 BC, SAP S/4HANA Cloud, Oracle NetSuite, weclapp haben Standard-AVVs, die meist im Self-Service-Verfahren akzeptiert werden können.

Achten Sie auf: Datenresidenz EU, transparente Sub-Auftragsverarbeiter-Liste, schnelle Datenexport-Möglichkeit bei Vertragsende.

Drittland-Transfer und Standardvertragsklauseln (SCC)

Verarbeitet ein US-Anbieter Daten in den USA, sind ergänzende EU-Standardvertragsklauseln (SCC) und ein Transfer Impact Assessment (TIA) nötig. Microsoft, AWS, Google bieten EU-Datenresidenz-Optionen — diese sollten vertraglich verbindlich vereinbart werden.

Praxis-Beispiel

Ein Mittelständler mit 250 MA hat in seinem DSGVO-Compliance-Register 47 aktive Auftragsverarbeitungsverträge: vom Cloud-ERP-Anbieter (SAP, Microsoft) über Payroll-Dienstleister, E-Mail-Marketing (Mailchimp), Recruiting-Tools (Personio) bis zum externen Druckdienstleister für Kundenmailings. Pro AVV werden Datenkategorien, betroffene Personen, Speicherorte (EU/Drittland), TOM-Standards (Anlage III) und Sub-AV-Prozessoren dokumentiert. Eine jährliche AVV-Review prüft Aktualität und neue Sub-Auftragnehmer.

Häufig gestellte Fragen

Wann braucht es einen AVV?

Wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet (Art. 28 DSGVO). Beispiele: Cloud-Hoster, Lohn-Dienstleister, Newsletter-Tool. Reine Datenempfänger (Banken) sind keine Auftragsverarbeiter.

Was sind TOM in einem AVV?

Technisch-organisatorische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Backup-Strategie, Schulungen. Anlage III des AVV listet sie auf.

Die genaue Umsetzung dieses Begriffs variiert je nach ERP-System und Branche -- entsprechend sollte die konkrete Ausprägung mit dem jeweiligen Anbieter abgestimmt werden.

Brauche ich einen AVV mit jedem ERP-Anbieter ?

Mit jedem, der personenbezogene Daten im Auftrag verarbeitet — also praktisch jeder Cloud-ERP-Anbieter. On-Premise-Anbieter ohne Daten-Zugriff brauchen nur dann einen, wenn sie Support-Zugriffe auf Live-Systeme machen.

Die genannten Hersteller decken zusammen über 70 % des relevanten DACH-Markts ab, lassen aber spezialisierte Branchen-Lösungen außen vor.

Was kostet ein AVV?

Standard-AVVs sind in der Regel kostenfrei. Individualvereinbarungen mit Großkonzernen können Anwalts-Kosten von 5.000–25.000 EUR auslösen.

Lizenzgebühren machen typisch nur 25-35 % der Gesamtprojektkosten aus, die restlichen 65-75 % entstehen für Implementation, Customizing, Schulung und Datenmigration.