AV-Vertrag Vorlage – DSGVO-konform, schnell erstellt

Du verarbeitest personenbezogene Daten im Auftrag deiner Kunden? Dann brauchst du einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Mit vertrag.io erstellst du ihn in Minuten.

Jetzt kostenlos erstellen Anmelden

Kostenlos startenKein AboSofort als PDF

Was ist ein AV-Vertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, wenn du als Dienstleister personenbezogene Daten im Auftrag deines Kunden verarbeitest. Das betrifft Webentwickler, die Kontaktformulare oder Newsletter-Systeme einrichten, Agenturen, die Zugang zu Kundendatenbanken haben, und SaaS-Anbieter, die Nutzerdaten hosten.

Der AVV regelt, welche Daten verarbeitet werden, zu welchem Zweck, welche technischen und organisatorischen Maßnahmen (TOMs) du triffst und was bei Datenschutzverletzungen passiert. Ohne AVV riskierst du Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes.

Wichtig: Der AVV ersetzt keinen Datenschutzbeauftragten. Er ist ein Vertrag zwischen Verantwortlichem (dein Kunde) und Auftragsverarbeiter (du). Die DSGVO schreibt den Inhalt weitgehend vor — Art. 28 Abs. 3 listet die Pflichtbestandteile auf.

Was muss in einen AV-Vertrag nach DSGVO?

Gegenstand und Dauer der Verarbeitung

Was genau wird verarbeitet und wie lange? Laufzeit des AVV orientiert sich am Hauptvertrag.

Art und Zweck der Verarbeitung

Warum werden die Daten verarbeitet? Z.B. Website-Hosting, Newsletter-Versand, CRM-Pflege, Analytics.

Art der personenbezogenen Daten

Welche Datenkategorien? Kontaktdaten, Nutzungsdaten, Zahlungsdaten, IP-Adressen, E-Mail-Adressen.

Technische und organisatorische Maßnahmen (TOMs)

Wie schützt du die Daten? Verschlüsselung, Zugangskontrolle, Backups, Pseudonymisierung. Art. 32 DSGVO.

Unterauftragsverarbeiter

Nutzt du Cloud-Dienste, Hosting-Provider oder andere Dienstleister? Die müssen im AVV gelistet und genehmigt sein.

Löschung und Rückgabe nach Vertragsende

Was passiert mit den Daten nach Ende der Zusammenarbeit? Löschpflicht oder Rückgabe an den Verantwortlichen.

Häufige Fehler beim AVV

Kein AVV vorhanden, obwohl Daten im Auftrag verarbeitet werden — häufigster DSGVO-Verstoß bei Agenturen.

TOMs zu allgemein formuliert — 'angemessene Maßnahmen' reicht nicht, konkrete Maßnahmen benennen.

Unterauftragsverarbeiter nicht gelistet — jeder Cloud-Dienst (AWS, Vercel, Google Cloud) muss benannt sein.

AVV nicht aktualisiert nach Wechsel des Hosting-Providers oder Einführung neuer Tools.

So erstellst du deinen Vertrag mit vertrag.io

Template öffnen

Wähle die passende Vorlage oder starte mit einem leeren Template. Der AI-Assistent erstellt auf Wunsch den Erstentwurf.

Variablen ausfüllen

Fülle Kundenname, Vergütung, Laufzeit und alle weiteren Details aus – der Vertrag aktualisiert sich in Echtzeit.

PDF exportieren

Mit einem Klick als PDF exportieren. Fertig für die Unterschrift.

Häufige Fragen

Brauche ich als Webentwickler einen AVV?

Ja, sobald du Zugang zu personenbezogenen Daten deiner Kunden hast — z.B. Kontaktformulare, Newsletter-Listen, Analytics-Daten, CRM-Systeme. Das trifft auf praktisch jeden Webentwickler und jede Agentur zu.

Was passiert ohne AVV?

Ohne AVV verstößt du gegen Art. 28 DSGVO. Das kann Bußgelder bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes nach sich ziehen. In der Praxis drohen vor allem Abmahnungen und Vertrauensverlust bei Kunden.

Wer ist Verantwortlicher, wer Auftragsverarbeiter?

Der Verantwortliche ist dein Kunde — er entscheidet über Zweck und Mittel der Datenverarbeitung. Du als Dienstleister bist der Auftragsverarbeiter — du verarbeitest die Daten nur nach Weisung des Kunden.

Muss der AVV schriftlich sein?

Ja, Art. 28 Abs. 9 DSGVO verlangt Schriftform oder elektronisches Format. Ein mündlicher AVV ist nicht ausreichend.

Was sind TOMs?

Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Beispiele: SSL-Verschlüsselung, Zwei-Faktor-Authentifizierung, regelmäßige Backups, Zugangsbeschränkungen, Pseudonymisierung.