Datenschutzrecht · AVV/DPA bei digitalen Dienstleistern

AVV oder DPA vom Anbieter erhalten? Vor Freigabe sauber prüfen lassen.

Ein Standardvertrag entlastet Ihr Unternehmen nicht. Wer SaaS-, Cloud- oder KI-Tools einführt, muss vor Freigabe wissen, ob wirklich Auftragsverarbeitung vorliegt, ob TOM, Subprozessoren und Drittlandtransfers tragen und wo Audit-, Haftungs- oder Löschklauseln operativ kippen.

ITMR prüft und verhandelt AVV/DPA dort, wo Einkauf, Datenschutz, IT und Produkt unter Zeitdruck entscheiden müssen. Ziel ist keine abstrakte Lehrbuchlösung, sondern eine belastbare Freigabegrundlage für Onboarding, Launch, Enterprise-Sales oder Audit.

So einfach funktioniert es

1. Vertrag und Tool-Kontext senden.

AVV/DPA, Hauptvertrag, TOM-Anlage, Subprozessorliste und die geplante Nutzung reichen für den Einstieg.

2. Rollen, rote Linien und Freigabe prüfen.

Wir ordnen ein, ob Auftragsverarbeitung überhaupt passt und markieren die Punkte, die vor Freigabe verhandelt oder dokumentiert werden müssen.

3. Mit belastbarer Position entscheiden.

Sie gehen mit klaren Redlines, Prioritäten und einem sauberen nächsten Schritt in Einkauf, DSB-Freigabe, Verhandlung oder Rollout.

AVV/DPA jetzt einordnen

AVV-Freigabe abstimmen

Hilfreich sind AVV/DPA, Hauptvertrag oder Bestellunterlagen, TOM-Anlage, Subprozessorliste, Hosting-Informationen und eine kurze Beschreibung, wofür das Tool intern freigegeben werden soll.

Schneller Einstieg

Wenn ein Anbieter seinen Standard-AVV schickt, geht es selten nur um ein Datenschutzformular

Der eigentliche Druck liegt fast immer an derselben Stelle: Das Tool soll live gehen, der Einkauf will abschließen, das Datenschutz-Team sieht offene Punkte, der Fachbereich braucht Freigabe und auf dem Tisch liegt ein Dokument, das technisch passt, rechtlich aber noch nicht trägt. Genau dort entsteht der typische Mandatsmoment für AVV-Prüfung und Vertragsverhandlung.

Mandatsanlass → Erste Prüffragen → Typische Falllagen → Prüfungsschwerpunkte → Verhandlung und Umsetzung → Verantwortliche Anwälte → Fragen vor der Freigabe → AVV-Fall abstimmen →

SaaS- und Cloud-Einkauf Hosting und Support CRM-, HR- und Marketing-Tools Subunternehmer und US-Bezug Enterprise-Deals und Vendor-Onboarding

Datenschutzrecht ist der Kernhub. Hier zählt der engere Spezialfall.

Grundsatzfragen zum Datenschutzrecht beantwortet unsere Hauptseite Datenschutzrecht. Hier geht es um den engeren Spezialfall: AVV-Prüfung, AVV-Verhandlung und belastbare Freigabe, wenn externe SaaS-, Cloud-, Hosting-, Support- oder Agentur-Anbieter personenbezogene Daten für Ihr Unternehmen verarbeiten.

Mandatsanlass

Warum Unternehmen mit AVV-Themen tatsächlich anfragen

Der Bedarf entsteht nicht aus Lehrbuchwissen, sondern unter Entscheidungsdruck. Ein Anbieter verlangt kurzfristig Unterschrift unter seinen DPA, ein Enterprise-Kunde blockiert das Onboarding bis zur belastbaren Datenschutzdokumentation oder der bestehende Provider ändert Subunternehmer, Standorte oder TOMs. Dann reicht ein bloßer Blick auf die Überschrift „AVV“ nicht mehr aus.

Kurz vor Go-live

Das Tool ist fachlich freigegeben, die Vertragslage aber noch nicht

Typisch bei CRM, Ticketing, Collaboration, HR-, Finance-, Marketing- und KI-Tools. Fachbereich und Einkauf möchten starten, Datenschutz und Security sehen offene Punkte bei Rollen, TOMs, Supportzugriffen, Löschung oder Unterauftragnehmern.

Enterprise-Sales

Der Kunde will Vendor-Paket, DPA, SCC und belastbare Aussagen zur Dienstleisterkette

Besonders relevant für SaaS-Anbieter, Plattformen und digitale Dienstleister. Hier entscheidet die Vertragsqualität oft unmittelbar über Freigabe, Procurement-Prozess und Time-to-Signature.

Internationaler Bezug

US-Anbieter, globale Supportstrukturen oder wechselnde Subprocessor-Listen erhöhen den Prüfungsdruck

Dann muss nicht nur der AVV sauber sein. Maßgeblich ist auch, ob Transfermechanik, Zugriffsszenarien, SCC, TIA und tatsächliche Betriebsrealität zusammenpassen.

Bestandsanbieter

Verträge existieren schon, tragen aber die heutige Nutzung nicht mehr

Häufig nach Produktausbau, neuer KI-Funktion, erweitertem Logging, Remote-Support, Konzernintegration oder Datenmigration. Alte Musterverträge decken die operative Wirklichkeit dann oft nicht mehr sauber ab.

Erste Prüffragen

Vier Fragen entscheiden, ob der vorgelegte AVV trägt

Liegt überhaupt Auftragsverarbeitung vor?

Nicht jede Einbindung eines Dienstleisters ist automatisch Art. 28 DSGVO. Entscheidend ist, ob der Anbieter weisungsgebunden für Ihr Unternehmen verarbeitet oder selbst über Zwecke und wesentliche Mittel mitentscheidet.

Passt der AVV zur realen Nutzung?

Ein formal sauberer Vertrag hilft wenig, wenn Supportzugriffe, Logdaten, Backups, Unterauftragnehmer, KI-Funktionen oder Datenkategorien im Betrieb anders laufen als im Papier.

Greifen internationale Transfers mit hinein?

Sobald Anbieter, Admin-Zugriffe oder Subunternehmer außerhalb des EWR eingebunden sind, reicht die AVV-Prüfung allein meist nicht. Dann müssen Transferlogik und Nachweise mitgedacht werden.

Ist die Verhandlungsposition sauber priorisiert?

Nicht jeder Schönheitsfehler muss eskaliert werden. Entscheidend ist, welche Punkte wirklich Freigabe, Auditfähigkeit, Haftung, Kundenzusagen oder Behördenfestigkeit beeinflussen.

Typische Falllagen

Konstellationen, in denen AVV-Prüfung wirtschaftlich relevant wird

SaaS und Cloud

Standard-DPA des Anbieters ist die einzige Verhandlungsgrundlage

CRM, ERP, HR, ATS, Support- und Collaboration-Tools
Cloud-Hosting, Managed Services, Backup, Monitoring
White-Label- und API-Strukturen mit mehreren Dienstleisterebenen

Agenturen und externe Teams

Leistung, Zugriff und Verantwortlichkeit laufen ineinander

Marketing-Automation, Newsletter, Lead-Handling, Ad-Tech
Customer Support, BPO, Outsourcing, externe Administration
Freelancer-, Agentur- und Projektketten mit Mischrollen

Vendor-Onboarding

Datenschutz- und Einkaufsfreigabe scheitern an denselben fünf Klauseln

unpräzise TOM-Anlagen
zu weite Subprocessor-Vorbehalte
unklare Lösch- und Rückgaberegeln
praktisch leerlaufende Auditrechte
fehlende Rangfolge zum Hauptvertrag

Kundenvertrieb

Eigene Vertragsunterlagen müssen Enterprise-tauglich werden

DPA-Paket für Kunden und Beschaffungsteams
Abstimmung mit SaaS-Vertrag, SLA und Sicherheitsanhängen
saubere Antworten zu Subunternehmern, Speicherort und Supportmodell

Der häufigste Denkfehler: „Es fließen personenbezogene Daten, also brauchen wir automatisch einen AVV.“

So einfach ist es nicht. In der Praxis scheitern viele Freigaben an einer vorschnellen Einordnung. Wer tatsächlich über Zwecke und wesentliche Mittel entscheidet, wer eigene Nutzungsspielräume hat und wie das Leistungsbild wirtschaftlich ausgestaltet ist, kann den Schwerpunkt verschieben – etwa in Richtung eigenständiger Verantwortlichkeit oder gemeinsamer Verantwortlichkeit. Genau diese Abgrenzung ist oft der Punkt, an dem Standardmuster zu kurz greifen.

Prüfungsschwerpunkte

Was in AVV-Mandaten regelmäßig geprüft und nachgeschärft werden muss

Rollen und Leistungsbild

Der Vertrag muss zur tatsächlichen Daten- und Leistungsarchitektur passen

Abgrenzung Verantwortlicher, Auftragsverarbeiter, Subunternehmer
Beschreibung von Zweck, Umfang, Datenarten und Betroffenengruppen
Einordnung von Admin-, Support-, Analyse- und KI-Funktionen

TOMs und Audit

Sicherheit darf nicht nur als Marketingversprechen auftauchen

Prüfung der TOM-Anlage auf Substanz und Aktualität
Auskunfts-, Nachweis- und Auditmechanik mit realem Nutzwert
Abstimmung mit Security-Fragebögen, Zertifizierungen und Vendor-Review

Subprocessor und Transfers

Die Dienstleisterkette ist oft der eigentliche Risikotreiber

Genehmigungsmodell und Änderungsmechanik für Unterauftragnehmer
EWR-Standorte, Fernzugriffe und konzerninterne Unterstützungsmodelle
Schnittstelle zu Datentransfer, SCC und TIA

Exit und Haftung

Am Ende wird relevant, was nach Vertragsende, Vorfall oder Eskalation gilt

Rückgabe, Löschung, Datenportabilität und Exit-Unterstützung
Haftungs- und Freistellungsschnittstellen zum Hauptvertrag
Mitwirkungspflichten bei Auskunftsersuchen, Vorfällen und Behördenkontakt

Verhandlung und Umsetzung

Wie AVV-Verhandlungen in der Praxis sauber geführt werden

Ein guter AVV entsteht selten dadurch, dass jede Klausel maximal hart formuliert wird. Trägt der Anbieter nur Standardbedingungen, ist die entscheidende Frage, welche Punkte zwingend gelöst werden müssen, welche dokumentiert werden können und welche Risiken das Unternehmen bewusst tragen will. Genau hier trennt sich pragmatische Verhandlungsführung von unnötiger Schleife.

Unterlagen bündeln

AVV, Hauptvertrag, TOMs, Subprocessor-Liste, Security-Unterlagen, SCC, TIA und Produktbeschreibung werden zusammen gelesen – nicht isoliert.

Kritische Punkte priorisieren

Freigaberelevante Risiken werden von bloßen Schönheitsfehlern getrennt. So bleibt die Verhandlung auf die Punkte fokussiert, die operativ und regulatorisch wirklich zählen.

Verhandlungslinie festlegen

Je nach Anbieter, Dealgröße und Alternativen variiert der richtige Ansatz: Mark-up, Side Letter, Zusatzanhang, Doku-Lösung oder bewusste Freigabe mit Management-Entscheidung.

Freigabe belastbar dokumentieren

Am Ende zählt, dass Einkauf, Datenschutz, Security und Fachbereich dieselbe Linie tragen und spätere Rückfragen von Kunde, Revision oder Behörde beantwortbar bleiben.

Womit ITMR in AVV-Mandaten typischerweise eingebunden wird

AVV eines SaaS- oder Cloud-Anbieters kurzfristig prüfen
kritische Klauseln in Standard-DPA verhandeln
AVV, SCC und TIA in einer Linie abstimmen
Bestandsdienstleister nach Produkt- oder Prozessänderung nachziehen

Vendor-Onboarding in Enterprise-Deals beschleunigen
eigenes DPA-Paket für Kundenvertrieb belastbar aufsetzen
AVV und Hauptvertrag widerspruchsfrei strukturieren
bei Vorfällen oder Streit an Datenpanne oder Privacy Litigation anschließen

Vertiefung

Naheliegende Seiten, wenn der Schwerpunkt über den AVV hinausgeht

Datenschutzrecht Der richtige Einstieg für Grundsatzfragen, Datenschutz-Governance, Verfahren, Auskunft, Tracking, DSFA und breitere DSGVO-Compliance. Datentransfer Sobald Drittlandübermittlungen, SCC, TIA oder globale Supportstrukturen den Schwerpunkt bilden. IT-Vertrag / Softwarevertrag Wenn Leistungsbild, SLA, Exit, Gewährleistung und Vertragsarchitektur des Tools oder Projekts im Vordergrund stehen. Hilfe bei Datenpanne Wenn aus der Dienstleisterbeziehung bereits ein Vorfall, eine Meldepflicht oder akuter Reaktionsdruck geworden ist.

Verantwortliche Anwälte

Spezialisierung zählt gerade dann, wenn Datenschutz, Vertrag und Verhandlungsrealität zusammenlaufen

ITMR arbeitet im Datenschutzrecht nicht isoliert dokumentenbezogen, sondern an den Schnittstellen von SaaS-, Cloud- und Tool-Beschaffung, Vertragsgestaltung, Verfahren und konfliktträchtigen Eskalationen. Genau diese Verbindung ist für AVV-Mandate regelmäßig entscheidend. Mehrere Fachanwälte für IT-Recht, zertifizierte Datenschutzqualifikationen sowie behörden- und streitnahe Erfahrung sind auf der Datenschutz-Hauptseite und den Teamprofilen sichtbar. Mehr zu Warum wir

IT-Recht · Datenschutz · Prozessnähe

Andreas Buchholz

Partner · Fachanwalt für IT-Recht · Externer Datenschutzbeauftragter · Datenschutzbeauftragter [TÜV]. Relevant für vertraglich und prozessual geprägte Datenschutzmandate.

IT-Recht · Privacy · Compliance

Jean Paul Bohne, LL.M., MM

Partner · Fachanwalt für IT-Recht · CIPP/E · CIPM · externer Datenschutzbeauftragter [TÜV] · Datenschutzauditor [TÜV]. Besonders relevant, wenn Datenschutz, Compliance und Vertragsarchitektur zusammenlaufen.

Datenschutzrecht · Datenrecht · IT-Recht

Dominik Skornia, LL.B.

Tätigkeitsschwerpunkt Datenschutzrecht, Datenrecht und IT-Recht. Relevant an der Schnittstelle von Datenschutzstruktur, Vertragsprüfung und digitalem Produktkontext.

Fragen vor der Freigabe

Was Unternehmen vor Unterschrift regelmäßig klären wollen

Wann ist ein AVV zwingend erforderlich?

Ein AVV ist regelmäßig erforderlich, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden im Auftrag Ihres Unternehmens verarbeitet. Ob das wirklich vorliegt, hängt vom konkreten Leistungsbild und der Rollenverteilung ab – nicht nur von der Bezeichnung des Vertrags.

Reicht das Standard-DPA des Anbieters meistens aus?

Selten ungeprüft. Viele Muster sind brauchbar, enthalten aber Schwächen bei TOMs, Subunternehmern, Auditmechanik, Löschung, Haftung oder der Abstimmung mit dem Hauptvertrag.

Muss der AVV vor dem Livegang abgeschlossen sein?

Wenn Auftragsverarbeitung vorliegt, sollte die vertragliche Grundlage vor Start der Verarbeitung belastbar stehen. Nachträgliches „Nachziehen“ erhöht Freigabe-, Nachweis- und Haftungsrisiken deutlich.

Was passiert bei US-Anbietern oder weltweitem Support?

Dann darf nicht nur der AVV geprüft werden. Maßgeblich sind auch Drittlandübermittlungen, SCC, TIA, Fernzugriffe, Konzernunterstützung und die tatsächliche Subprocessor-Struktur.

Prüft ITMR nur den AVV oder auch den restlichen Vertrag?

Beides ist möglich. In vielen Mandaten ist der AVV nur ein Teil der eigentlichen Risikolage. Dann werden SaaS-Vertrag, SLA, Exit, Sicherheitsanhänge und Datentransfer gleich mit geprüft.

Ist ein AVV-Muster aus dem Internet eine tragfähige Lösung?

Für Orientierung vielleicht. Für laufende Tools, Enterprise-Deals oder internationale Anbieter reicht ein Muster oft nicht aus, weil gerade die praktischen Sonderlagen und Schnittstellen dort fehlen.

AVV-Fall abstimmen

Wenn der Vertrag auf den Tisch muss, ist eine klare Linie wertvoller als ein weiteres Muster

Ob SaaS-Tool, Hosting, Support, Agenturstruktur oder internationaler Anbieter: Entscheidend ist, ob Ihre Vertragslage zur realen Verarbeitung passt und intern freigabefähig ist. ITMR prüft, priorisiert und verhandelt dort, wo ein AVV wirtschaftlich wirklich relevant wird.

AVV jetzt prüfen lassen Zum Kernhub Datenschutzrecht

Unsere Expertise

Schlagkräftige agile Anwaltsboutique
Experten im Medien-, IT-, KI-, Daten-, Urheberrecht und mehr
Erfahrene Berater und Prozessanwälte
Deutschlandweite Vertretung

Warum ITMR Rechtsanwälte?

Schnelle Reaktionszeiten
Fokus auf das Business unserer Mandanten
Transparente Kostenstruktur
Verpflichtet auf Mandantenerfolg