Skip links
Support
Termin

AVV (Auftragsverarbeitungsvertrag) ist ein verpflichtender Vertrag nach Art. 28 DSGVO, der abgeschlossen werden muss, wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt. Der AVV regelt Verantwortlichkeiten, Weisungsrechte und Schutzmaßnahmen bei der Datenverarbeitung.

Was bedeutet das konkret für KMU in Österreich?

Sobald ein externer IT‑Dienstleister Zugriff auf personenbezogene Daten hat, ist ein AVV notwendig. Das betrifft z. B.:

  • IT‑Betreuung & Helpdesk
  • Cloud‑Dienste (Microsoft 365, Backup‑Cloud, Hosting)
  • Telefonie‑ und Ticket‑Systeme
  • Lohnverrechnung oder Zeiterfassung

Das Unternehmen bleibt dabei verantwortlich im Sinne der DSGVO, der Dienstleister handelt als Auftragsverarbeiter. Der AVV stellt sicher, dass der Dienstleister Daten nur nach Weisung, zweckgebunden und DSGVO‑konform verarbeitet.

Warum ist ein AVV zwingend erforderlich?

Ohne AVV liegt ein DSGVO‑Verstoß vor – selbst wenn technisch alles korrekt umgesetzt ist. Die DSGVO verlangt ausdrücklich eine schriftliche oder elektronische Vereinbarung, bevor personenbezogene Daten verarbeitet werden dürfen.

Ein fehlender oder mangelhafter AVV kann bei Datenschutzprüfungen oder Sicherheitsvorfällen zu:

  • Haftungsfragen
  • Verwaltungsstrafen
  • Reputationsschäden

führen.

Typische Inhalte eines AVV

Ein Auftragsverarbeitungsvertrag regelt unter anderem:

  • Gegenstand und Dauer der Verarbeitung
  • Art der Daten und betroffene Personengruppen
  • Weisungsrecht des Auftraggebers
  • Technische und organisatorische Maßnahmen (TOMs)
  • Vertraulichkeitsverpflichtung der Mitarbeiter
  • Regeln zu Sub‑Auftragsverarbeitern
  • Meldung von Datenschutzverletzungen
  • Löschung oder Rückgabe der Daten nach Vertragsende

Diese Punkte sind direkt aus Art. 28 DSGVO abgeleitet und müssen nachweisbar dokumentiert sein.

Typische AVV‑Risiken im KMU‑Alltag

In der Praxis entstehen häufig folgende Probleme:

  • IT‑Dienstleister arbeiten ohne unterschriebenen AVV
  • AVVs sind veraltet und decken neue Services nicht ab
  • Sub‑Dienstleister sind nicht genehmigt
  • TOMs existieren nur auf dem Papier, nicht technisch umgesetzt
  • Unklare Meldewege bei Sicherheitsvorfällen

Gerade bei IT‑Services ist das Risiko hoch, da Administratorzugriffe praktisch immer personenbezogene Daten betreffen.

Unterschied: AVV vs. gemeinsame Verantwortlichkeit

Wichtig ist die Abgrenzung:

  • AVV (Art. 28 DSGVO) → Dienstleister verarbeitet Daten nur im Auftrag
  • Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) → Beide Parteien entscheiden gemeinsam über Zwecke und Mittel

Ein falsches Vertragsmodell kann rechtlich problematisch sein und sollte vorab sauber bewertet werden.

Rolle der IT beim AVV

Ein AVV allein genügt nicht. Die zugesagten Maßnahmen müssen tatsächlich umgesetzt sein:

  • Zugriffsbeschränkungen
  • Protokollierung
  • Backup‑Sicherheit
  • Verschlüsselung
  • Incident‑Response‑Prozesse

Bei IT‑Dienstleistern ist der AVV deshalb immer mit der realen IT‑Umsetzung zu betrachten – Papier allein schützt keine Daten.

Kostenfaktoren

Ein AVV verursacht meist keine direkten Lizenzkosten, aber Aufwand für:

  • Prüfung bestehender Verträge
  • Abstimmung mit Dienstleistern
  • Dokumentation und Aktualisierung
  • Technische Umsetzung der TOMs

Gerade KMU profitieren davon, AVVs strukturiert und einheitlich mit IT‑Services zu verbinden statt sie isoliert zu behandeln.