Ein Auftragsverarbeitungsvertrag (AV-Vertrag, engl. Data Processing Agreement, kurz DPA) ist der Vertrag, der regelt, wie ein Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet.
Bevor Sie bei einem Anbieter unterschreiben, fragen Sie nach:
- dem Speicherort der Daten
- den Unterauftragsverarbeitern
- den Meldefristen bei Datenschutzverletzungen
- dem Umgang mit KI-Training
- den Auditrechten und
- den Löschverfahren.
Die Anforderungen unterscheiden sich unter DSGVO, UK-DSGVO und den Datenschutzgesetzen der US-Bundesstaaten – und jede Rechtsordnung verlangt eigene Vertragsformulierungen.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für rechtsordnungsspezifische Fragen zu Auftragsverarbeitungsverträgen und Datenschutzrecht sollten sich Organisationen an qualifizierte Rechtsberater wenden.
Warum der AV-Vertrag Ihres Anbieters Compliance-Dokument und Risikosignal zugleich ist
Einen Vertrag mit einem Softwareanbieter zu unterschreiben, ist Routine. Aber Aufnahmen hochzuladen, Kundendaten zu teilen oder einen KI-Meeting-Assistenten mit Ihrem Kalender zu verbinden – das hat eine andere Tragweite.
Rechtlich gilt: In dem Moment, in dem personenbezogene Daten an einen externen Auftragsverarbeiter übergehen, bleiben Sie dafür verantwortlich, was mit ihnen geschieht.
Genau das ist das Kernprinzip hinter den AVV-Anforderungen: Der Verantwortliche (die Organisation, die Zweck und Mittel der Verarbeitung bestimmt) haftet weiterhin für das Verhalten des Auftragsverarbeiters.
In Europa
Nach Art. 28 DSGVO ist diese Haftung strukturell verankert. Ein sauber aufgesetzter AV-Vertrag dokumentiert, dass das Verhältnis ordnungsgemäß geregelt war. Ein schlecht formulierter AV-Vertrag – oder gar keiner – lässt diese Haftung ungeklärt.
Die Bußgeldstatistik macht das greifbar. Laut der Studie DLA Piper GDPR Fines and Data Breach Survey (Januar 2026) haben die kumulierten DSGVO-Bußgelder seit Mai 2018 die Marke von 7,1 Milliarden Euro erreicht – rund 1,2 Milliarden Euro davon wurden allein 2025 verhängt.
Dieselbe Studie verzeichnet bei den gemeldeten Datenschutzverletzungen einen Anstieg von 22 % im Jahresvergleich – von 363 auf 443 pro Tag. Erstmals seit Inkrafttreten der DSGVO lag der Tagesdurchschnitt damit über 400 Meldungen.
In den USA
In den USA können CCPA-/CPRA-Bußgelder bis zu 7.988 US-Dollar pro vorsätzlichem Verstoß betragen – gemäß den inflationsindexierten Schwellenwerten der CPPA.
US-Organisationen gehen oft davon aus, dass AV-Verträge eine rein europäische Anforderung sind. Das stimmt nicht.
CCPA/CPRA verlangt schriftliche Service-Provider-Verträge, die es dem Anbieter ausdrücklich untersagen, die Daten zu verkaufen, weiterzugeben oder mit personenbezogenen Informationen zu kombinieren, die er selbst erhoben hat
Colorado, Virginia, Connecticut und weitere Bundesstaaten mit geltenden Datenschutzgesetzen verlangen vergleichbare Vereinbarungen. Die juristische Bezeichnung variiert, die Substanz ist dieselbe.
📚 Lesetipp:
Bevor Sie überhaupt fragen: Klären Sie, in welchem Verarbeitungsverhältnis Sie stehen
In einem Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter bestimmen Sie Zweck und Mittel der Verarbeitung, und der Anbieter handelt auf Ihre Weisung. Geregelt wird das durch einen Standard-AV-Vertrag nach Art. 28 DSGVO. Diese Konstellation trifft auf die meisten SaaS-Tools zu.
Anders verhält es sich bei einer Beziehung zwischen zwei Verantwortlichen: Hier verarbeitet der Anbieter Daten für eigene, unabhängige Zwecke. Entwickelt ein Anbieter mit Ihren Daten Produkte, führt er Analysen durch oder trainiert er KI-Modelle, agiert er für diese Tätigkeiten unter Umständen als Verantwortlicher – auch wenn er für andere gleichzeitig als Auftragsverarbeiter auftritt.
In diesem Fall deckt ein Standard-AV-Vertrag die Tätigkeiten des Anbieters als Verantwortlicher nicht ab. Unterscheidet der Vertrag nicht ausdrücklich zwischen beiden Rollen, hat die Vereinbarung eine strukturelle Schwäche, die sich auch durch noch so viel Verhandeln über Meldefristen oder Unterauftragsverarbeiter-Listen nicht beheben lässt.
Bevor Sie die folgenden Fragen verschicken, klären Sie: Welche Rolle spielt dieser Anbieter, und bildet der AV-Vertrag das tatsächliche Verhältnis ab?
📚 Lesetipp:
Diese Fragen sollten Sie Ihrem Anbieter stellen – und so sieht eine gute Antwort aus
Diese Kriterien zeigen, ob ein AV-Vertrag wirklich schützt. Ob ein Anbieter sie schnell und konkret beantworten kann, verrät, ob eine echte Compliance-Infrastruktur existiert oder erst im Nachhinein zusammengebaut wurde.
1. Wo werden meine Daten gespeichert und verarbeitet?
Der Speicherort entscheidet darüber, welcher Rechtsrahmen für Ihre Daten gilt und ob Mechanismen für internationale Datentransfers erforderlich sind.
Für Organisationen in der EU und im Vereinigten Königreich gilt: Datentransfers in ein Land ohne Angemessenheitsbeschluss erfordern Standardvertragsklauseln (SCCs) für EU-Transfers bzw. das UK International Data Transfer Agreement (UK IDTA) für Transfers aus dem Vereinigten Königreich.
Die beiden sind nicht austauschbar.
📌 Eine entscheidende Nuance: Serverstandort und Sitz der juristischen Person sind zwei verschiedene Dinge. Ein Anbieter mit US-Hauptsitz und Rechenzentren in der EU unterliegt weiterhin dem US CLOUD Act, der die Herausgabe von Daten erzwingen kann – unabhängig davon, wo die Daten physisch liegen.
Fragen Sie gezielt, ob die juristische Person des Anbieters in der EU oder im EWR registriert ist – nicht nur, wo die Server stehen.
Bei US-Anbietern sollten Sie prüfen, ob das Unternehmen am EU-US Data Privacy Framework teilnimmt – das Gericht der Europäischen Union hat das Framework im September 2025 bestätigt. Ein Rechtsmittel vor dem EuGH (Rechtssache C-703/25 P) ist Stand Mitte 2026 jedoch noch anhängig; Organisationen, die sich auf das DPF stützen, sollten daher parallel SCCs vorhalten.
✅ Gutes Zeichen: In der EU registrierte Gesellschaft mit Rechenzentren ausschließlich in der EU – oder ein US-Anbieter mit aktiver DPF-Zertifizierung plus SCCs.
❌ Warnsignal: „Globale Infrastruktur“ ohne konkrete Angaben zur Rechtsordnung – oder der Anbieter kann das Gründungsland seiner juristischen Person nicht benennen.
2. Wer sind Ihre Unterauftragsverarbeiter, und wie werden sie kontrolliert?
Unterauftragsverarbeiter sind die Drittparteien, auf die sich Ihr Anbieter stützt, um seinen Dienst zu erbringen.
Nach Art. 28 DSGVO müssen sie denselben Datenschutzpflichten unterliegen wie der Hauptauftragsverarbeiter. Auch der CPRA verlangt ausdrücklich, dass diese Pflichten vertraglich an sie weitergereicht werden.
Fragen Sie, ob der Anbieter eine aktuelle, öffentlich zugängliche Liste der Unterauftragsverarbeiter führt, wie und wann Kunden über neue Unterauftragsverarbeiter informiert werden – und wie lange Kunden Zeit haben, Widerspruch einzulegen.
✅ Gutes Zeichen: Öffentliche Unterauftragsverarbeiter-Liste mit abonnierbaren Benachrichtigungen und 30-tägiger Widerspruchsfrist.
❌ Warnsignal: Pauschale Vorab-Genehmigung aller aktuellen und künftigen Unterauftragsverarbeiter ohne jede Benachrichtigungspflicht.
3. Werden meine Daten zum Training von KI-Modellen genutzt?
Viele KI-Anbieter behalten sich das Recht vor, Kundendaten zur Verbesserung ihrer Modelle zu nutzen. Dieses Recht steht oft nicht im AV-Vertrag, sondern versteckt sich in den Nutzungsbedingungen – hinter so harmlosen Formulierungen wie „zur Verbesserung unserer Dienste“.
Der Unterschied ist entscheidend: Eine Datenschutzerklärung lässt sich einseitig ändern. Eine Klausel im AV-Vertrag nicht. Und eine Produkteinstellung ist kein Vertrag.
Fragen Sie konkret, ob der AV-Vertrag ein ausdrückliches vertragliches Verbot enthält, Kundeninhalte (Aufnahmen, Transkripte, Zusammenfassungen) für das Training, Fine-Tuning oder die Verbesserung von KI-Modellen zu nutzen – und ob dieses Verbot standardmäßig gilt oder ein Opt-out des Kunden erfordert.
✅ Gutes Zeichen: Ausdrückliches, verbindliches vertragliches Verbot von KI-Training – ohne Ausnahmen.
❌ Warnsignal: Das Trainingsverbot existiert nur als Produkteinstellung; der AV-Vertrag erwähnt KI-Training mit keinem Wort.
4. Welche Sicherheitszertifizierungen haben Sie – und können Sie sie belegen?
Art. 32 DSGVO verpflichtet Auftragsverarbeiter zu technischen und organisatorischen Maßnahmen (TOMs), die dem Risiko angemessen sind.
Pauschale Formulierungen wie „wirtschaftlich angemessene Sicherheitspraktiken“ reichen nicht aus – die Vereinbarung sollte konkrete Kontrollen benennen.
Zertifizierungen sind der schnellste Nachweis. Fordern Sie einen aktuellen Bericht nach SOC 2 Type II an (nicht Type I und nicht älter als 12 Monate). Vergewissern Sie sich, dass die Verschlüsselungsstandards im AV-Vertrag benannt sind (AES-256 bei der Übertragung und bei der Speicherung).
✅ Gutes Zeichen: Aktueller Bericht nach SOC 2 Type II unter NDA verfügbar; Verschlüsselungsstandards im AV-Vertrag benannt.
❌ Warnsignal: Zertifizierungen werden im Marketing erwähnt, sind aber nicht belegbar; nur ein Bericht nach SOC 2 Type I verfügbar.
5. Wie schnell informieren Sie mich über eine Datenschutzverletzung?
Art. 33 DSGVO verpflichtet Verantwortliche, eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden bei der Aufsichtsbehörde zu melden.
Da diese Frist läuft, sobald der Verantwortliche Kenntnis erlangt, geht jede Verzögerung des Auftragsverarbeiters direkt vom Reaktionsfenster des Verantwortlichen ab. Die UK-DSGVO sieht dieselbe Regel vor.
Der AV-Vertrag muss eine maximale Meldefrist festlegen – und darf die Meldung nicht bloß als „umgehend“ oder „ohne unangemessene Verzögerung“ beschreiben. Beide Formulierungen sind juristisch bedeutsam, operativ aber vage.
✅ Gutes Zeichen: Der AV-Vertrag schreibt eine Meldung spätestens 72 Stunden nach Entdeckung vor – mit benanntem Eskalationskontakt.
❌ Warnsignal: „Umgehend“ oder „ohne unangemessene Verzögerung“ ohne konkrete Frist; Datenschutzverletzungen so eng definiert, dass Vorfälle herausfallen, die für Sie relevant wären.
6. Welche Auditrechte habe ich, und wie übe ich sie aus?
Art. 28 DSGVO gibt Verantwortlichen das Recht, Auftragsverarbeiter zu prüfen und alle Informationen einzusehen, die zum Nachweis der Compliance erforderlich sind.
In der Praxis ist das Recht, einen aktuellen Bericht nach SOC 2 Type II anzufordern, der Mechanismus, der tatsächlich greift.
Fragen Sie, ob der AV-Vertrag einen externen Prüfbericht ausdrücklich als Erfüllung dieser Pflicht anerkennt, eine Ankündigungsfrist festlegt (30 Tage sind Standard) und Auditrechte auch auf Unterauftragsverarbeiter erstreckt.
✅ Gutes Zeichen: SOC 2 Type II wird als Audit-Nachweis anerkannt; 30-tägige Ankündigungsfrist festgelegt; ein Mechanismus zur Compliance-Prüfung der Unterauftragsverarbeiter vorhanden.
❌ Warnsignal: Vage formuliertes Auditrecht; eine öffentliche Webseite wird als Pflichterfüllung angeführt; kein Audit-Mechanismus für Unterauftragsverarbeiter.
7. Wie und wann werden meine Daten gelöscht?
Der AV-Vertrag sollte einen Aufbewahrungsplan festlegen, die Ereignisse benennen, die eine Löschung auslösen, und regeln, ob der Anbieter bei Vertragsende eine schriftliche Löschbestätigung ausstellt.
Fragen Sie, ob die Löschung sämtliche Kopien umfasst (einschließlich Backups und Kopien bei Unterauftragsverarbeitern) und ob anonymisierte Ableitungen nach Ende der Geschäftsbeziehung erhalten bleiben.
✅ Gutes Zeichen: Definierter Aufbewahrungsplan; Löschung innerhalb von 30 Tagen nach Vertragsende; schriftliche Bestätigung verfügbar; Backups eingeschlossen.
❌ Warnsignal: Aufbewahrung richtet sich nach der Datenschutzerklärung des Anbieters statt nach dem AV-Vertrag; keine Löschbestätigung.
8. Welche Rechtsordnungen deckt Ihr AV-Vertrag ab?
Ein für die DSGVO geschriebener AV-Vertrag erfüllt nicht automatisch die Pflichten der UK-DSGVO.
Seit dem Brexit betreibt das Vereinigte Königreich ein eigenes Regime – für internationale Transfers aus dem Vereinigten Königreich ist das UK IDTA (nicht die EU-SCCs) der vorgeschriebene Mechanismus.
Für US-Organisationen unter dem CCPA muss der AV-Vertrag dem Anbieter ausdrücklich untersagen, personenbezogene Informationen über den vereinbarten Dienst hinaus zu verkaufen, aufzubewahren oder offenzulegen.
✅ Gutes Zeichen: DSGVO, UK-DSGVO und CCPA/CPRA ausdrücklich benannt; UK IDTA für UK-Transfers enthalten; CCPA-Zusatz mit konkret aufgezählten Verboten.
❌ Warnsignal: Pauschalklausel „geltende Datenschutzgesetze“ ohne rechtsordnungsspezifische Mechanismen; das Vereinigte Königreich wird nicht als eigene Rechtsordnung genannt.
Die AVV-Checkliste für Anbieter auf einen Blick
| Frage | Was der AV-Vertrag regeln muss | Gutes Zeichen | Warnsignal |
|---|---|---|---|
| Wo werden Daten gespeichert und verarbeitet? | Klausel zum Speicherort; internationaler Transfermechanismus benannt | EU-Gesellschaft + EU-Server oder DPF-zertifizierter US-Anbieter | „Globale Infrastruktur“ ohne konkrete Rechtsordnung |
| Wer sind die Unterauftragsverarbeiter? | Liste der Unterauftragsverarbeiter; Benachrichtigungs- und Widerspruchsrechte | Öffentliche Liste mit abonnierbaren Updates; 30-tägige Widerspruchsfrist | Pauschale Vorab-Genehmigung; keine Benachrichtigungspflicht |
| Werden meine Daten für KI-Training genutzt? | Ausdrückliches vertragliches Verbot von KI-Training | Verbindliches Verbot im AV-Vertrag, ohne Ausnahmen | Nur Opt-out; Verbot existiert nur als Produkteinstellung |
| Welche Sicherheitszertifizierungen gelten? | Konkrete TOMs; Nachweismechanismus | Aktueller Bericht nach SOC 2 Type II unter NDA; ISO 27001 mit Zertifikatsdetails | Zertifizierungen im Marketing genannt, aber nicht belegbar |
| Wie lauten die Meldefristen bei Datenschutzverletzungen? | Konkrete Frist statt „umgehend“ | 72 Stunden ab Entdeckung; benannter Eskalationskontakt | „Umgehend“ ohne definierte Frist |
| Welche Auditrechte habe ich? | Recht auf Audit oder Berichtsanforderung; Verfahren zur Ausübung | SOC 2 als Audit-Nachweis anerkannt; 30-tägige Ankündigungsfrist | Vages Auditrecht; öffentliche Webseite als Pflichterfüllung angeführt |
| Wann und wie werden meine Daten gelöscht? | Aufbewahrungsplan; Löschbestätigung | Löschung 30 Tage nach Vertragsende; schriftliche Bestätigung; inklusive Backups | Aufbewahrung laut Datenschutzerklärung; keine Löschbestätigung |
| Welche Rechtsordnungen sind abgedeckt? | DSGVO, UK-DSGVO, CCPA ausdrücklich benannt, mit rechtsordnungsspezifischen Mechanismen | Alle relevanten Rahmenwerke benannt; UK IDTA für UK-Transfers | Nur DSGVO plus Pauschalverweis auf „geltende Gesetze“ |
Was tun, wenn der AV-Vertrag eines Anbieters nicht überzeugt?
Ein AV-Vertrag, der einige dieser Kriterien verfehlt, macht den Anbieter nicht automatisch untragbar – aber er macht ihn zu einem Anbieter, mit dem Sie vor der Unterschrift verhandeln müssen.
AVV-Klauseln auf Enterprise-Niveau sind in der Regel verhandelbar: Benachrichtigungsfristen für Unterauftragsverarbeiter, Löschfristen, der Geltungsbereich der Rechtsordnungen und die Formulierung des KI-Trainingsverbots werden regelmäßig angepasst.
Enthält der Standardvertrag eines Anbieters gar keinen AV-Vertrag, fordern Sie ihn beim Onboarding ausdrücklich an. US-amerikanische SaaS-Anbieter stellen ihn auf Anfrage oft als separates Data Processing Addendum bereit.
Ein Anbieter, der keinen vorlegen kann oder die Anfrage als ungewöhnlich behandelt, signalisiert damit, dass Compliance nicht in seinen Abläufen verankert ist. Das ist ein handfestes Anbieterrisiko – unabhängig von der Qualität des Produkts.
Wie ein konformer AV-Vertrag in der Praxis aussieht
Bei Audio-Tools und KI-Meeting-Assistenten stellt sich das AVV-Problem in schärferer Form als bei den meisten anderen Softwarekategorien.
Aufnahmen enthalten Stimmen, Meeting-Inhalte und Gesprächsdaten – alles personenbezogene Daten, die einen sorgfältigen Umgang verlangen. Der AV-Vertrag, der dieses Verhältnis regelt, muss der Sensibilität des Verarbeiteten gerecht werden.
📌 So sieht das in der Praxis bei HappyScribe aus:
Das Rechenzentrum von HappyScribe steht in der Europäischen Union. Es handelt sich um eine Tier-IV-Einrichtung, zertifiziert nach den Standards PCI DSS und ISO 27001. Die Server sind physisch von anderen Mandanten getrennt.
Das Unternehmen ist nach SOC 2 Type II zertifiziert; Details finden Sie im Trust Center. Rollenbasierte Zugriffskontrolle ist in allen Konten verfügbar. Mitarbeitende unterzeichnen NDAs als Einstellungsvoraussetzung – das begrenzt den internen Zugriff auf Kundeninhalte.
FAQs zu Auftragsverarbeitungsverträgen
Was ist der Unterschied zwischen einem Auftragsverarbeitungsvertrag und einer Vereinbarung zur Datenweitergabe?
Ein AV-Vertrag regelt das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter: Der Auftragsverarbeiter verarbeitet Daten auf Weisung des Verantwortlichen und darf sie nicht für eigene Zwecke nutzen.
Eine Vereinbarung zur Datenweitergabe (Data Sharing Agreement) regelt dagegen ein Verhältnis zwischen zwei Verantwortlichen: Beide Parteien bestimmen den Zweck unabhängig voneinander. Legt ein Anbieter eigene Zwecke für Ihre Daten fest, reicht ein AV-Vertrag allein nicht aus.
Brauchen US-Unternehmen einen Auftragsverarbeitungsvertrag?
US-Unternehmen, die personenbezogene Daten aus der EU oder dem Vereinigten Königreich verarbeiten, brauchen einen DSGVO-konformen AV-Vertrag (bzw. einen nach UK-DSGVO). Für rein US-amerikanische Aktivitäten verlangt der CCPA/CPRA Service-Provider-Verträge, die dem Anbieter untersagen, personenbezogene Informationen über den vereinbarten Zweck hinaus zu verkaufen oder weiterzugeben.
Kann ein einziger AV-Vertrag sowohl DSGVO- als auch CCPA-Anforderungen abdecken?
Ein einziges Dokument kann beides abdecken – vorausgesetzt, die Anforderungen jeder Rechtsordnung sind ausdrücklich benannt. Viele DSGVO-konforme AV-Verträge enthalten einen CCPA-Zusatz zu den spezifischen kalifornischen Verboten. Die UK-DSGVO verlangt einen eigenen Abschnitt zu den UK-spezifischen Transfermechanismen – konkret das UK IDTA statt der EU-SCCs, da die beiden Regime seit dem Brexit auseinanderlaufen.
Was passiert, wenn ich einen Vertrag mit einem Anbieter ohne AV-Vertrag unterschreibe?
Unter der DSGVO verstößt die Verarbeitung ohne konformen Auftragsverarbeitungsvertrag gegen Art. 28. Der Verantwortliche haftet weiterhin für das Verhalten des Auftragsverarbeiters, und ohne schriftliche Vereinbarung lässt sich eine Anfrage der Aufsichtsbehörde deutlich schwerer abwehren. Unter dem CCPA kann die Datenübermittlung ohne Vertrag als Verkauf personenbezogener Informationen eingestuft werden – mit entsprechenden Opt-out-Pflichten gegenüber Verbrauchern.
Wie oft sollte ich den AV-Vertrag eines Anbieters überprüfen?
Mindestens jährlich sowie bei jeder Vertragsverlängerung. Listen von Unterauftragsverarbeitern ändern sich, Vorschriften entwickeln sich weiter, und Berichte nach SOC 2 Type II laufen alle 12 Monate ab. Richten Sie Kalendererinnerungen ein, die an die Verlängerungstermine gekoppelt sind, statt die AVV-Prüfung als einmaligen Schritt zu behandeln.
Muss ein AV-Vertrag das Training von KI-Modellen regeln?
Standardvorlagen nach Art. 28 DSGVO stammen aus der Zeit vor generativer KI und enthalten standardmäßig keine Klauseln zum Training. Nutzt ein Anbieter personenbezogene Daten, um KI-Modelle zu trainieren oder zu verfeinern, ist das ein eigenständiger Verarbeitungszweck, der eine eigene Rechtsgrundlage braucht. Bei jedem Anbieter, der Gesprächs- oder Audioinhalte verarbeitet, ist ein ausdrückliches vertragliches Verbot eine angemessene – und zunehmend übliche – Position im Einkauf.
Rodoshi Das
Rodoshi hilft SaaS-Marken mit Inhalten zu wachsen, die konvertieren und in SERPs und LLMs aufsteigen. Sie verbringt ihre Tage damit, Tools zu testen, und verwandelt ihre Erfahrungen in spannende Geschichten, die Nutzern helfen, fundierte Kaufentscheidungen zu treffen. Nach Feierabend tauscht sie Dashboards gegen Kriminalromane und Gartentherapie.
