Auftragsverarbeitungsvertrag (AVV)

Eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO liegt vor, wenn ein Verantwortlicher (Art. 4 Nr. 7 DSGVO) einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) mit der weisungsgebundenen Verarbeitung personenbezogener Daten beauftragt. Der Auftragsverarbeiter entscheidet nicht eigenständig über Zwecke und Mittel der Verarbeitung, sondern folgt den dokumentierten Weisungen des Verantwortlichen (Art. 29 DSGVO). Maßgebend ist also nicht die formale Bezeichnung, sondern die tatsächliche Zweck- und Mittelherrschaft.

Typische Konstellationen an Hochschulen und in öffentlichen Stellen sind: externe Cloud-Speicher, Lern- und Videokonferenzplattformen, Umfragewerkzeuge, externe Payroll-Dienstleister, Hosting-Anbieter und Evaluations-Dienste. Sobald personenbezogene Daten – und sei es nur Protokolldaten, E-Mail-Adressen oder IP-Adressen – einem Dritten zur Verarbeitung überlassen werden, kommt eine Auftragsverarbeitung i. S. d. Art. 28 DSGVO in Betracht. Vorgeschaltet ist in jedem Fall die Rollenklärung: Liegt überhaupt eine weisungsgebundene Verarbeitung vor – oder handelt es sich um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bzw. um eine Übermittlung zwischen eigenständigen Verantwortlichen? Erst nach dieser Einordnung steht fest, welches Vertragsinstrument das richtige ist.

Rechtsgrundlage der Verarbeitung durch den Verantwortlichen bleibt in jedem Fall eine eigenständige Norm nach Art. 6 DSGVO – bei öffentlichen Hochschulen regelmäßig Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit den einschlägigen landesrechtlichen Aufgabennormen; in Sachsen-Anhalt zunächst § 119 HSG LSA als Lex Specialis, hilfsweise § 4 DSAG LSA als Generalklausel. Der AVV selbst schafft keine Rechtsgrundlage, sondern regelt die datenschutzrechtlichen Pflichten zwischen den beiden Vertragsparteien.

Art. 28 Abs. 3 DSGVO zählt die zwingenden Regelungsgegenstände eines AVV auf. Fehlt einer dieser Punkte, ist der AVV materiell-rechtlich unvollständig und die Auftragsverarbeitung datenschutzrechtlich angreifbar.

1. Gegenstand, Dauer, Art und Zweck der Verarbeitung Welche Leistungen erbringt der Auftragsverarbeiter, über welchen Zeitraum und mit welchem Ziel? Art. 28 Abs. 3 Satz 1 DSGVO
2. Art der personenbezogenen Daten Welche Datenkategorien werden verarbeitet (Stamm-, Kommunikations-, Inhalts-, Nutzungs-, Protokolldaten, ggf. besondere Kategorien nach Art. 9 DSGVO)? Art. 28 Abs. 3 Satz 1 DSGVO
3. Kategorien betroffener Personen Wer ist betroffen (Studierende, Beschäftigte, Externe, Antragsteller, Bewerber, Kooperationspartner)? Art. 28 Abs. 3 Satz 1 DSGVO
4. Pflichten und Rechte des Verantwortlichen Weisungsrecht, Kontrollrechte, Auskunftsrechte. Art. 28 Abs. 3 Satz 1 DSGVO
5. Weisungsbindung des Auftragsverarbeiters Verarbeitung ausschließlich auf dokumentierte Weisung; Hinweispflicht bei rechtswidrig erscheinenden Weisungen. Art. 28 Abs. 3 lit. a DSGVO; Art. 29 DSGVO
6. Vertraulichkeit Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit oder deren gesetzliche Verschwiegenheit. Art. 28 Abs. 3 lit. b DSGVO
7. Technisch-organisatorische Maßnahmen (TOMs) Umsetzung geeigneter TOMs nach Art. 32 DSGVO zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Art. 28 Abs. 3 lit. c i. V. m. Art. 32 DSGVO
8. Unterauftragsverarbeitung Regelung zur Einbindung weiterer Auftragsverarbeiter – nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen; Informationspflicht bei Änderungen. Art. 28 Abs. 2, 3 lit. d, Abs. 4 DSGVO
9. Unterstützung bei Betroffenenrechten Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten nach den Art. 12 ff. DSGVO. Art. 28 Abs. 3 lit. e DSGVO
10. Unterstützung bei Sicherheit und Datenpannen Mitwirkung bei Art. 32, 33, 34 und 36 DSGVO, einschließlich Meldepflichten nach einer Datenpanne. Art. 28 Abs. 3 lit. f DSGVO
11. Rückgabe oder Löschung nach Auftragsende Nach Wahl des Verantwortlichen. Ausnahmen nur bei rechtlicher Aufbewahrungspflicht. Art. 28 Abs. 3 lit. g DSGVO
12. Nachweis- und Duldungspflichten Zurverfügungstellung aller erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO sowie Duldung und Ermöglichung von Überprüfungen und Inspektionen durch den Verantwortlichen oder beauftragte Prüfer. Art. 28 Abs. 3 lit. h DSGVO

Ergänzend verlangt Art. 28 Abs. 9 DSGVO die Schriftform; sie kann auch in einem elektronischen Format erfüllt werden. Eine qualifizierte elektronische Signatur ist nach der Norm nicht zwingend; ausreichend ist jeder dauerhaft nachweisbare Text, der von beiden Parteien angenommen wurde – etwa ein E-Mail-Wechsel mit vollständigem Vertragstext, ein per Klick angenommener und revisionssicher protokollierter Online-Vertrag oder eine elektronische Signatur. Die qeS ist eine zulässige Variante erhöhter Beweissicherheit, nicht der Maßstab.

Für die Praxis bieten sich zwei Muster an, die auf der jeweiligen Originalwebseite frei verfügbar sind und sich in Stoßrichtung und Tiefe ergänzen: das schlanke, breit etablierte Muster des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie das umfassendere, hochschulspezifische Muster des ZKI – des bundesweiten Verbandes der wissenschaftlichen Rechen- und IT-Zentren.

Muster des LfDI Baden-Württemberg

Das Muster des LfDI BW ist seit Jahren in der Datenschutzpraxis eingeführt und wird von Auftragsverarbeitern entsprechend gut akzeptiert. Es deckt die Pflichtinhalte des Art. 28 Abs. 3 DSGVO ab, ist klar strukturiert und auch ohne vertiefte juristische Vorbildung gut handhabbar. Stand des verlinkten PDF: 29. April 2020 (Dateiname `200429_AVV-Muster_DE.pdf`); bei Verwendung sollte stets die jeweils aktuelle Fassung beim LfDI BW geprüft werden.

ZKI-Muster für Hochschulen

Das vom ZKI e. V. (Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung) herausgegebene Muster baut auf den Standardvertragsklauseln der Europäischen Kommission gemäß Durchführungsbeschluss (EU) 2021/915 auf und ergänzt diese um hochschulspezifische Klauseln – etwa zu mobiler Arbeit, Vergabeverfahren und einer ausführlichen Fernwartungsregelung. Entstanden ist es auf Initiative der Datenschutzbeauftragten der NRW-Hochschulen und der ZKI-Kommission IT-Recht, mit Beiträgen mehrerer Datenschutz- und Informationssicherheitsbeauftragter deutscher Hochschulen. Stand der aktuellen Fassung: 23. Mai 2025. Begleitend stellt das ZKI das Dokument Auftragsverarbeitung praxisnah mit Erläuterungen und Einsatzszenarien zur Verfügung.

Welches Muster wofür?

In der Beratungspraxis hat sich die folgende Faustregel bewährt: Für die typische, eher übersichtliche Auftragsverarbeitung (Personalsoftware, Standard-Cloud-Speicher, Lernplattformen ohne Drittlandsbezug) ist das LfDI-BW-Muster aufgrund seiner Schlankheit und der hohen Anbieterakzeptanz die pragmatische Wahl. Bei komplexeren Konstellationen mit Drittlandstransfer, Fernwartung, Forschungsdienstleistern oder Vergabeverfahren spielt das ZKI-Muster seine Stärken aus, weil es bereits auf den Standardvertragsklauseln der EU-Kommission aufbaut und die Hochschulthemen explizit adressiert.

Hinweise zur Verwendung beider Muster

Beide Muster sind Gerüste, keine fertigen Vertragstexte. Sie enthalten Platzhalter und Varianten, die auf den konkreten Einzelfall anzupassen sind. Folgende Schritte haben sich in der Praxis bewährt:

1. Parteien konkretisieren: Vollständige rechtliche Bezeichnung beider Seiten (bei Hochschulen mit Vertretungsangabe), Anschrift und Ansprechpartner eintragen.
2. Vertragsgegenstand beschreiben: Die Art der beauftragten Leistung so genau wie möglich benennen und auf den Hauptvertrag verweisen. Unpräzise Beschreibungen sind die häufigste Schwachstelle in der Praxis.
3. Anlage zu Datenkategorien, Betroffenen und Zwecken vollständig ausfüllen: Dieser Teil ist nicht Formalität, sondern der inhaltliche Kern des AVV. Er dient zugleich als Abgleichsgrundlage für Art. 30 DSGVO (Verarbeitungsverzeichnis).
4. Anlage TOMs nicht einfach übernehmen: Die TOMs des Auftragnehmers sind konkret und prüffähig zu dokumentieren. Marketingaussagen wie „Military Grade Encryption" sind keine TOM-Beschreibung i. S. d. Art. 32 DSGVO. Verlangen Sie konkrete Angaben (Verschlüsselungsverfahren, Schlüsselverwaltung, Zugriffsbegrenzung, Protokollierung).
5. Unterauftragsverarbeiter prüfen: Liste sämtlicher eingesetzter Unterauftragsverarbeiter mit Name, Sitz, Leistungsgegenstand. Bei Drittlandstransfer ergänzende Garantien nach Kapitel V DSGVO dokumentieren (SCCs, TIA).
6. Beidseitige Unterzeichnung: Schriftform oder elektronische Form nach Art. 28 Abs. 9 DSGVO; eine E-Mail-Bestätigung mit eingescannter Unterschrift ist zulässig, sofern der Vertragsinhalt eindeutig zuordenbar bleibt.

Hinweis zu Quellen und Aktualität: Die Muster werden hier verlinkt, nicht selbst gehostet – damit ist stets die jeweils aktuelle Fassung der Originalquelle einschlägig. Das Muster des LfDI BW ist als amtliches Werk nach § 5 Abs. 2 UrhG unter Quellenangabe frei nutzbar. Das ZKI-Muster ist ein Werk der ZKI-Autoren und auf der ZKI-Webseite zur Verwendung durch Hochschulen bereitgestellt; bei Nutzung sollte die Quelle genannt werden. Maßgeblich ist in jedem Fall die jeweils aktuelle Fassung beim Originalanbieter.

Die häufigste und folgenschwerste Fehleinschätzung in der Praxis ist die Gleichsetzung beider Konstellationen. Auftragsverarbeitung (Art. 28 DSGVO) und gemeinsame Verantwortlichkeit (Art. 26 DSGVO) sind grundverschiedene Konstrukte mit unterschiedlichen Rechtsfolgen – und sie sind in der Regel nicht austauschbar. Ein falsch gewählter Vertragstyp schützt weder rechtlich noch vor aufsichtsbehördlichen Beanstandungen.

Kernkriterium ist die Zweck- und Mittelherrschaft über die Verarbeitung (Art. 4 Nr. 7 DSGVO):

• Entscheidet eine Partei allein über Zwecke und wesentliche Mittel, während die andere nur weisungsgebunden handelt, liegt eine Auftragsverarbeitung vor – erforderlich ist ein AVV nach Art. 28 Abs. 3 DSGVO.
• Entscheiden beide Parteien gemeinsam über Zwecke und wesentliche Mittel, handelt es sich um eine gemeinsame Verantwortlichkeit – erforderlich ist eine Vereinbarung nach Art. 26 DSGVO, die festlegt, wer welche Pflichten der DSGVO wahrnimmt und welche wesentlichen Inhalte den betroffenen Personen zugänglich gemacht werden.
• Entscheidet jede Partei ausschließlich über ihre eigenen Verarbeitungen und tauscht lediglich Daten aus, liegt weder Auftragsverarbeitung noch gemeinsame Verantwortlichkeit vor, sondern eine Übermittlung zwischen eigenständigen Verantwortlichen. Erforderlich ist in diesem Fall eine Rechtsgrundlage für die Übermittlung, aber keiner der beiden Vertragstypen.

Vergleichsübersicht

Entscheidungshilfe – fünf Prüffragen

In der Praxis hat sich folgendes Prüfschema mit fünf Fragen bewährt. Je mehr Fragen Sie mit Ja beantworten, desto wahrscheinlicher liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor.

Der EuGH prüft die gemeinsame Verantwortlichkeit wertend und nicht kleinteilig. Es genügt, wenn beide Parteien einen maßgeblichen Einfluss auf Zwecke und Mittel ausüben – nicht erforderlich ist, dass beide gleichberechtigt oder symmetrisch beteiligt sind (vgl. EuGH C-40/17 – Fashion ID; C-210/16 – Wirtschaftsakademie; C-25/17 – Zeugen Jehovas).

Die folgenden sechs Muster zeigen sich in AVV-Prüfungen immer wieder. Wer sie kennt, spart Verhandlungszeit:

1. Unzureichend beschriebener Vertragsgegenstand: Pauschale Formulierungen wie „Dienstleistungen der IT-Unterstützung" dürften hinter den Anforderungen des Art. 28 Abs. 3 Satz 1 DSGVO zurückbleiben. Es wird empfohlen, den Vertragsgegenstand möglichst konkret zu beschreiben.
2. Pauschale TOM-Anlage: TOMs sollten konkret, nachprüfbar und auf den jeweiligen Verarbeitungskontext zugeschnitten sein. Eine Beschreibung allein als „Stand der Technik" reicht in der Regel nicht aus.
3. Unklare Unterauftragnehmer-Liste: Fehlende oder unvollständige Angaben zu Subunternehmern – insbesondere bei Cloud-Leistungen mit internationalen Konzernstrukturen – begegnen in der Praxis häufig Klärungsbedarf. Empfohlen wird, eine vollständige Liste und ein Verfahren für deren Aktualisierung vertraglich zu sichern.
4. Schrems-II-Prüfung übersehen: Bei Drittlandstransfer werden SCC zwar abgeschlossen, aber ein ergänzendes Transfer Impact Assessment (TIA) unterbleibt – sofern der Anbieter nicht unter einen Angemessenheitsbeschluss wie das EU-US Data Privacy Framework (DPF) fällt; in dem Fall ist primär der Angemessenheitsbeschluss nach Art. 45 DSGVO die Rechtsgrundlage und SCC/TIA sind nicht zwingend erforderlich. Vertiefung dazu auf der Themenseite Drittlandstransfer.
5. Mögliche Verwechslung mit Art. 26-Konstellation: Insbesondere bei Plattformen, bei denen der Anbieter ein eigenes Zweckinteresse verfolgt (Social Media, bestimmte Analytics-Dienste, einzelne Lern-KI-Anbieter), erscheint die Wahl eines AVV nicht in jedem Fall passend. Es wird empfohlen, vor Vertragsschluss gesondert zu prüfen, ob nicht eher eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO einschlägig ist – Vertiefung dazu auf der Themenseite Gemeinsame Verantwortlichkeit.
6. Pauschale Haftungsausschluss-Klauseln im AVV: Pauschale Haftungsausschlüsse des Auftragsverarbeiters begegnen im B2B-Bereich häufig den Grenzen der §§ 307 ff. BGB und wirken für den Verantwortlichen wirtschaftlich oft ungünstiger als eine ausgewogene Haftungsverteilung.

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 7 und 8 (Begriffsbestimmungen Verantwortlicher und Auftragsverarbeiter); Art. 5 Abs. 2 (Rechenschaftspflicht); Art. 26 (Gemeinsame Verantwortlichkeit); Art. 28 (Auftragsverarbeitung); Art. 29 (Weisungsbindung); Art. 32 (Sicherheit der Verarbeitung); Art. 44–46 (Drittlandtransfer); ErwGr 81.

Rechtsprechung

• EuGH, Urteil v. 05.06.2018 – C-210/16 (Wirtschaftsakademie Schleswig-Holstein) – Maßstab gemeinsamer Verantwortlichkeit; relevant zur Abgrenzung Auftragsverarbeitung/Art. 26.
• EuGH, Urteil v. 29.07.2019 – C-40/17 (Fashion ID) – Reichweite gemeinsamer Verantwortlichkeit auf konkrete Verarbeitungsvorgänge.
• EuGH, Urteil v. 10.07.2018 – C-25/17 (Zeugen Jehovas) – funktionaler Verantwortlichenbegriff.
• EuGH, Urteil v. 16.07.2020 – C-311/18 (Schrems II) – Drittlandsanforderungen bei AVV mit Auslandsbezug.

Aufsichtspraxis und Mustervorlagen

• DSK, Kurzpapier Nr. 13 „Auftragsverarbeitung, Art. 28 DSGVO" – konsolidierte Aufsichtspraxis von Bund und Ländern; Stand 17.12.2018, derzeit in Überarbeitung.
• LfDI Baden-Württemberg, Muster-Vereinbarung zur Auftragsverarbeitung – einschlägiges Muster für die Praxis öffentlicher Stellen, Stand 29.04.2020.
• ZKI, Kommission IT-Recht – Hochschul-Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO (DOCX, deutsch und englisch) sowie Begleit-PDF „Auftragsverarbeitung praxisnah". Frei zugänglich.
• EDPB, Leitlinien 7/2020 zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter" der DSGVO – methodische Grundlage der Rollenabgrenzung.
• Durchführungsbeschluss (EU) 2021/914 zu Standardvertragsklauseln (SCC) bei AVV mit Drittlandsbezug.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) – Abgrenzung und Pflichtinhalte einer Joint-Controller-Vereinbarung.
• Drittlandstransfer – ergänzende Anforderungen, wenn der Auftragsverarbeiter im Drittland sitzt oder Subverarbeiter dort einsetzt.
• Technisch-organisatorische Maßnahmen (TOMs) – Anforderungen aus Art. 32 DSGVO als Anlage zum AVV.
• Microsoft 365 an öffentlichen Hochschulen – AVV in einer der praxisrelevantesten Konstellationen.
• Generative KI in Standard-Software (Schatten-KI) – AVV-Bruch durch nachträglich aktivierte KI-Features.