Skip to content
Vorlagen calendar_today Aktualisiert: 7. April 2026 schedule 5 Min. Lesezeit

Vorlage: Auftragsverarbeitungsvertrag (AVV/DPA)

Ein Auftragsverarbeitungsvertrag ist mit jeder Partei erforderlich, die in Ihrem Auftrag personenbezogene Daten verarbeitet. Verwenden Sie diese Vorlage als Grundlage.

summarize Kernaussagen
  • check_circle Sie benotigen einen Auftragsverarbeitungsvertrag mit jeder Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet
  • check_circle Denken Sie an Ihren Steuerberater, E-Mail-Tool, Cloud-Speicher, Lohnbuchhalter und Webhoster
  • check_circle Ohne Auftragsverarbeitungsvertrag riskieren Sie ein Bussgeld bis zu 10 Millionen Euro oder 2% des Jahresumsatzes
  • check_circle Viele grosse Auftragsverarbeiter (Google, Microsoft, Mailchimp) bieten Standard-AVVs an

Wann brauchen Sie einen Auftragsverarbeitungsvertrag?

Sobald Sie personenbezogene Daten von einer externen Partei verarbeiten lassen, sind Sie verpflichtet, einen Auftragsverarbeitungsvertrag (auch AVV oder DPA genannt) abzuschliessen. Dies ist keine Option - es ist eine gesetzliche Pflicht aus Artikel 28 der DSGVO.

Haufige Auftragsverarbeiter fur KMU

  • Steuerberater - hat Zugang zu Kunden- und Mitarbeiterdaten
  • E-Mail-Marketing (Mailchimp, ActiveCampaign, Sendinblue) - speichert E-Mail-Adressen und Verhaltensdaten
  • Cloud-Speicher (Google Workspace, Microsoft 365, Dropbox) - speichert Dateien mit personenbezogenen Daten
  • Webhoster - verarbeitet IP-Adressen und manchmal Formulardaten
  • CRM-System (HubSpot, Salesforce, Teamleader) - enthalt Kundendaten
  • Lohnbuchhalter - verarbeitet Mitarbeiterdaten

Die Vorlage

Auftragsverarbeitungsvertrag - Basisvorlage
AUFTRAGSVERARBEITUNGSVERTRAG Zwischen: [Name der Organisation], ansassig in [Adresse], nachfolgend "Verantwortlicher" Und: [Name des Auftragsverarbeiters], ansassig in [Adresse], nachfolgend "Auftragsverarbeiter" 1. GEGENSTAND UND DAUER Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Der Vertrag tritt am [Datum] in Kraft und gilt fur die Dauer der Zusammenarbeit. 2. ART UND ZWECK DER VERARBEITUNG Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich zum Zweck von: [Zweck beschreiben, z.B. "Fuhrung der Buchhaltung", "Versand von Newslettern", "Hosting der Website"]. 3. ART DER PERSONENBEZOGENEN DATEN Folgende Kategorien personenbezogener Daten werden verarbeitet: [z.B. Name, E-Mail-Adresse, Adresse, Telefonnummer, Zahlungsdaten]. 4. KATEGORIEN BETROFFENER PERSONEN Die personenbezogenen Daten betreffen folgende Kategorien von Personen: [z.B. Kunden, Mitarbeiter, Website-Besucher, Lieferanten]. 5. PFLICHTEN DES AUFTRAGSVERARBEITERS Der Auftragsverarbeiter: a) Verarbeitet personenbezogene Daten ausschliesslich auf Grundlage schriftlicher Weisungen des Verantwortlichen b) Stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind c) Trifft geeignete technische und organisatorische Massnahmen zur Gewahrleistung der Sicherheit der Verarbeitung d) Beauftragt keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen e) Unterstutzt bei der Erfullung von Betroffenenanfragen (Auskunft, Berichtigung, Loschung) f) Informiert den Verantwortlichen unverzuglich (innerhalb von 24 Stunden) uber eine Datenschutzverletzung g) Loscht oder gibt alle personenbezogenen Daten nach Ende der Dienstleistung zuruck, sofern keine gesetzliche Aufbewahrungspflicht besteht h) Stellt alle Informationen zur Verfugung, die zum Nachweis der Einhaltung erforderlich sind, und wirkt bei Audits mit 6. UNTERAUFTRAGSVERARBEITER Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter: [Liste mit Name, Standort und Zweck]. Anderungen werden dem Verantwortlichen vorab schriftlich mitgeteilt. 7. UBERMITTLUNG AUSSERHALB DES EWR [Falls zutreffend:] Der Auftragsverarbeiter ubermittelt personenbezogene Daten an Parteien ausserhalb des Europaischen Wirtschaftsraums. Geeignete Garantien bestehen gemaess [Standardvertragsklauseln / Angemessenheitsbeschluss / anderer Mechanismus]. [Falls nicht zutreffend:] Der Auftragsverarbeiter verarbeitet alle personenbezogenen Daten ausschliesslich innerhalb des Europaischen Wirtschaftsraums. 8. SICHERHEITSMASSNAHMEN Der Auftragsverarbeiter trifft mindestens folgende Sicherheitsmassnahmen: - Verschlusselung von Daten bei Speicherung und Transport - Zugangs- und Zugriffskontrolle mit Authentifizierung (2FA) - Regelmassige Backups - Protokollierung des Zugriffs auf personenbezogene Daten 9. DAUER UND BEENDIGUNG Dieser Vertrag gilt fur die Dauer der zugrundeliegenden Dienstleistung. Bei Beendigung loscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von [Anzahl] Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Unterzeichnet in [Ort] am [Datum]: Verantwortlicher: ________________________ Name: Position: Auftragsverarbeiter: ________________________ Name: Position:

So verwenden Sie diese Vorlage

  1. Fullen Sie Ihre Daten und die des Auftragsverarbeiters ein
  2. Seien Sie spezifisch uber Zweck, Datenart und Kategorien betroffener Personen
  3. Inventarisieren Sie Unterauftragsverarbeiter - fragen Sie Ihren Auftragsverarbeiter, welche Dritten er einsetzt
  4. Prufen Sie Ubermittlungen - verarbeitet Ihr Auftragsverarbeiter Daten ausserhalb der EU?
  5. Lassen Sie beide Parteien unterschreiben und bewahren Sie eine Kopie auf

Auftragsverarbeiter mit Standard-AVV

  • Google Workspace - AVV uber Admin-Konsole verfugbar
  • Microsoft 365 - AVV Teil der Servicebedingungen
  • Mailchimp - AVV auf deren Website verfugbar
  • HubSpot - AVV uber Kontoeinstellungen verfugbar

Bewahren Sie immer eine Kopie des unterzeichneten oder akzeptierten AVV auf.

auto_awesome Wissen Sie, mit welchen Auftragsverarbeitern Sie arbeiten?

GDPRWise scannt Ihre Website und erkennt automatisch, welche Dritten Zugang zu den von Ihnen verarbeiteten personenbezogenen Daten haben.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.