AVV-/DPA-Check

Brauchen Sie einen AVV – und ist die DPA-Struktur belastbar?

Dieser interaktive Check hilft Unternehmen, SaaS-Anbietern, Agenturen, Plattformbetreibern und digitalen Geschäftsmodellen bei der ersten Einordnung, ob eine Auftragsverarbeitung nach Art. 28 DSGVO, eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eher getrennte Verantwortlichkeit vorliegt.

Art. 28 DSGVO Rollenabgrenzung TOMs & Subprozessoren Drittlandtransfer DSFA- und Breach-Schnittstellen

Worum es in der Praxis geht

Ein AVV ist kein reines Formular. Entscheidend ist, wer über Zwecke und wesentliche Mittel entscheidet, ob personenbezogene Daten verarbeitet werden, ob eigene Zwecke des Dienstleisters vorliegen und ob Subprozessoren, internationale Zugriffe, TOMs, Löschung, Audit-Rechte und Unterstützungspflichten sauber geregelt sind.

Vor Vertragsschluss, Go-live, Toolwechsel oder Vendor-Freigabe Rollenmodell klären.
AVV-Bausteine, TOMs, Subprozessoren und Transfermechanik gegen die tatsächliche Verarbeitung prüfen.
Bei Datenpannen, Betroffenenanfragen oder Audits Nachweise und Verantwortlichkeiten schnell verfügbar halten.

Rollenlogik

Vom Datenzugriff zur passenden Vertragsstruktur

AuftragsverarbeitungWeisungsgebundene Verarbeitung ohne eigene Zwecke des Dienstleisters.

Gemeinsame VerantwortlichkeitMehrere Parteien bestimmen Zwecke oder wesentliche Mittel gemeinsam.

Getrennte VerantwortlichkeitEmpfänger nutzt Daten für eigene Zwecke und benötigt eigene Rechtsgrundlage.

Prüfpfad

Sechs Schritte zur ersten Einordnung

1Personenbezug

Welche Daten, Betroffenen und Systeme sind betroffen?

2Rollenmodell

Wer bestimmt Zweck, Mittel, Speicherdauer und Empfänger?

3AVV-Bausteine

Art, Zweck, Datenarten, TOMs, Weisungen, Löschung und Audits prüfen.

4Subprozessoren

Genehmigung, Transparenz, Informationsfristen und Weitergabe gleicher Pflichten.

5Schnittstellen

Drittlandtransfer, DSFA, TDDDG, KI, Cloud, NIS2/CRA und Incident-Prozesse mitdenken.

6Priorität

Vertragsschluss, Kunde, DSB, Audit, Behörde oder Datenpanne bestimmen den Handlungsdruck.

Einordnung

Was dieser Check leistet

Der Check ersetzt keine Einzelfallprüfung, strukturiert aber typische Entscheidungspunkte für AVV/DPA-Konstellationen. Er verbindet die datenschutzrechtliche Rollenabgrenzung mit praxisrelevanten Nachweisen, Vertragsbausteinen und Schnittstellen zu digitaler Regulierung.

Wann liegt Auftragsverarbeitung nahe?

Auftragsverarbeitung liegt regelmäßig nahe, wenn ein Dienstleister personenbezogene Daten ausschließlich für den dokumentierten Zweck des Auftraggebers verarbeitet, keine eigenen Zwecke verfolgt und nur technische oder organisatorische Detailmittel bestimmt.

Wann reicht ein AVV wahrscheinlich nicht aus?

Ein reiner AVV kann unpassend sein, wenn der Dienstleister Daten für eigene Zwecke wie Produktverbesserung, Benchmarking, KI-Training, eigene Werbung oder eigenständige Sicherheitsanalysen nutzt. Dann ist die Verarbeitung aufzuteilen oder anders zu regeln.

Welche Schnittstellen sind besonders wichtig?

Besonders relevant sind Drittlandtransfers, Subprozessoren, TOMs, Datenpannenprozesse, Betroffenenrechte, DSFA-Pflichten, TDDDG-Tracking, KI-Tools, Cloud-Switching, Data-Act-Bezüge und Security-Nachweise.

Welche Grenzen hat der Check?

Die Einordnung hängt vom konkreten Verarbeitungsvorgang, den Verträgen, der tatsächlichen Nutzung, dem technischen Setup und der Rollenpraxis ab. Das Ergebnis ist daher eine erste Orientierung und keine abschließende Rechtsberatung.

Interaktiver Check

AVV-/DPA-Konstellation prüfen

Beantworten Sie die folgenden Fragen. Am Ende erhalten Sie eine vorläufige Einordnung mit Risikostufe, Priorität, Prüfpunkten, Unterlagenliste und kopierbarem Kurzüberblick für die Anfrage.

Schritt 1 von 6

1. Welche Konstellation soll geprüft werden? Wir beauftragen einen DienstleisterSaaS, Hosting, IT-Support, Newslettertool, CRM, Payroll, Agentur, Callcenter oder Cloud-Service. Wir verarbeiten Daten für KundenIhr Unternehmen bietet einen Service an und verarbeitet dabei personenbezogene Daten für Kunden. Unterauftragsverarbeitung / Subprocessor-KetteEin Dienstleister setzt weitere Dienstleister ein oder Ihr Unternehmen ist selbst Subprocessor. Dienstleister nutzt Daten auch für eigene ZweckeProduktverbesserung, Analytics, Benchmarking, KI-Training, Betrugsprävention oder eigenes Marketing. Gemeinsames Projekt mit PartnerGemeinsame Plattform, Kampagne, Event, Leadpool, Datenbank, App oder Tracking-Setup. Datenübermittlung an eigenständig handelnde StelleEmpfänger entscheidet anschließend selbst über eigene Zwecke, Rechtsgrundlage und Speicherfristen. Unklar / Rollen werden gerade diskutiertKunde, Einkauf, Datenschutzbeauftragter, Auditor oder Anbieter ist unsicher, ob ein AVV passt.

2. Welche Daten werden verarbeitet?

Bitte markieren Sie alles, was zutrifft.

Normale personenbezogene DatenName, E-Mail, Adresse, Telefonnummer, Kundennummer, Accountdaten oder Kommunikationsdaten. Beschäftigten-, Bewerber- oder HR-DatenPersonalakten, Lohnabrechnung, Bewerbungen, Leistungsdaten, Arbeitszeit oder interne Kommunikation. Besondere Kategorien oder sensible DatenGesundheit, biometrische Daten, politische Meinung, Religion, Gewerkschaft oder vergleichbar sensible Informationen. Zugangsdaten, Logs oder Security-DatenPasswörter, Tokens, IP-Adressen, Logfiles, Adminzugriffe, Supportzugriffe oder Sicherheitsereignisse. Großer Umfang oder laufende VerarbeitungViele Betroffene, dauerhafte Plattformnutzung, Synchronisierung, Monitoring oder automatisierte Verarbeitung. Internationale Zugriffe oder DrittlandtransferUS-Anbieter, globale Supportteams, internationale Subprozessoren, Cloud-Regionen oder Fernzugriff aus Drittstaaten. Keine personenbezogenen Daten oder noch unklarEs ist offen, ob überhaupt personenbezogene Daten verarbeitet werden.

3. Wer bestimmt Zweck, Mittel und Nutzung?

Bitte markieren Sie alles, was zutrifft.

Auftraggeber bestimmt den ZweckDer Kunde oder Verantwortliche entscheidet, warum die Daten verarbeitet werden. Verarbeitung nur auf dokumentierte WeisungDer Dienstleister darf Daten nur nach Vertrag, Weisung oder freigegebenem Leistungsumfang verarbeiten. Keine eigene Nutzung durch DienstleisterKeine eigene Werbung, Analyse, Produktverbesserung, KI-Training, Profilbildung oder Datenanreicherung. Dienstleister bestimmt nur technische DetailmittelHostingarchitektur, Sicherheitsmaßnahmen, Backup, Supportprozesse oder technische Umsetzung. Dienstleister nutzt Daten für eigene ZweckeAnalytics, Produktverbesserung, Benchmarking, KI-Training, Betrugsprävention, Marketing oder eigene Datenbank. Mehrere Parteien bestimmen Zweck oder Mittel gemeinsamGemeinsame Entscheidung über Kampagne, Plattform, Tracking, Zielgruppen, Datenumfang oder Empfänger. Empfänger nutzt Daten für eigene getrennte ZweckeNach Übermittlung entscheidet jede Stelle eigenständig über weitere Nutzung, Rechtsgrundlage und Speicherfrist. Unklar / nicht dokumentiertEs ist nicht klar, wer Zweck, Mittel, Datenumfang und Speicherdauer bestimmt.

5. Welche Schnittstellen oder Zusatzrisiken bestehen?

Bitte markieren Sie alles, was zutrifft.

Drittlandtransfer oder internationale SupportzugriffeSCC, TIA, EU-US Data Privacy Framework, zusätzliche Maßnahmen und Subprozessoren müssen geprüft werden. Hohes Risiko / mögliche DSFAMonitoring, Scoring, sensible Daten, HR-Kontext, große Datenmengen oder neue Technologien. KI-Tool, KI-Training oder automatisierte AuswertungEigene Zwecke, Trainingsdaten, Output-Prüfung, Transparenz, DSGVO- und AI-Act-Schnittstellen klären. Tracking, Cookies oder EndgerätezugriffeTDDDG, Consent, Analytics, Marketing-Tags und Datenflüsse zusätzlich prüfen. Cloud, Datenzugang oder Data-Act-BezugCloud-Switching, Datenportabilität, Datenzugangsprozesse und Geschäftsgeheimnisse können relevant sein. Security-, NIS2- oder CRA-SchnittstelleLieferkette, Incident Response, Vulnerability Handling, SBOM oder Produktcybersicherheit können relevant werden. Breach- oder Betroffenenrechteprozess unklarMeldeketten, 72h-Bewertung, Auskunft, Löschung, Unterstützungspflichten und Nachweise fehlen oder sind unklar. Keine Zusatzrisiken bekanntAktuell sind keine weiteren Schnittstellen ersichtlich.

6. Gibt es konkreten Handlungsdruck?

Bitte markieren Sie alles, was zutrifft.

Vertrag soll kurzfristig unterschrieben werdenAVV/DPA muss vor Vertragsschluss, Go-live oder Vendor-Freigabe geklärt werden. Kunde, Einkauf oder Datenschutzbeauftragter verlangt AVVDPA-Fragebogen, Redlines, Audit, Procurement-Anforderung oder Vendor Assessment liegt vor. Dienstleister lehnt AVV ab oder bietet falsches Modell anDer Anbieter will keinen AVV schließen oder behauptet eigene Verantwortlichkeit. Neuer Subprozessor, Toolwechsel oder internationaler ZugriffNeue Cloud, KI-Anbieter, Supportzugriff, Trackingtool oder Unterauftragnehmer. Datenpanne, Sicherheitsvorfall oder BetroffenenanfrageVorfall, Auskunft, Löschung, Beschwerde oder Behördenkontakt betrifft Dienstleisterdaten. Audit, Aufsichtsbehörde oder KonzernprüfungNachweise zur AVV-Kette, TOMs, Subprozessoren oder Drittlandtransfer werden verlangt. Präventive PrüfungKeine akute Frist, aber Vertragsmuster, Toolstack oder AVV-Prozess sollen sauber werden.

Risiken & Fristen

Typische AVV-/DPA-Risiken und Maßnahmen

Signal	Warum relevant?	Typische Maßnahme	Priorität
Kein AVV trotz weisungsgebundener Verarbeitung	Art. 28 DSGVO verlangt einen Vertrag mit konkreten Mindestinhalten.	AVV aufsetzen, Hauptvertrag synchronisieren, Verarbeitung und TOMs dokumentieren.	hoch
Eigene Zwecke des Dienstleisters	Ein reiner AVV bildet eigene Verarbeitungsteile regelmäßig nicht sauber ab.	Rollen trennen, Rechtsgrundlagen prüfen, Datenschutzhinweise und Verträge anpassen.	kritisch
Drittlandtransfer oder internationale Zugriffe	Transfermechanik, SCC, TIA, Subprozessoren und zusätzliche Maßnahmen können erforderlich sein.	Transfer-Register, SCC/TIA, Supportstandorte und Schutzmaßnahmen prüfen.	hoch
Datenpanne beim Dienstleister	Verantwortliche müssen DSGVO-Meldepflichten regelmäßig binnen 72 Stunden prüfen können.	Breach-Runbook, Eskalationskette, Logs, AVV-Unterstützung und Kommunikation sichern.	kritisch
Betroffenenrechte betroffen	Auskunft, Löschung und andere Rechte müssen regelmäßig innerhalb eines Monats bearbeitet werden.	Prozess, Zuständigkeiten, Identitätsprüfung, Datenexport und Löschlogik festlegen.	hoch
Subprozessoren oder Toolwechsel	Informationspflicht, Genehmigung, Widerspruch, TOMs und Transferlage können sich ändern.	Subprozessorliste, Änderungsprozess, Kundennachweise und Vertragskette aktualisieren.	mittel bis hoch

Nächste sinnvolle Schritte

AVV-/DPA-Struktur konkret prüfen lassen

Wenn ein Vertragsschluss, ein Kundenaudit, ein Toolwechsel, ein Drittlandtransfer, ein Subprozessorwechsel oder ein Vorfall ansteht, sollte die Rollen- und AVV-Struktur anhand der konkreten Unterlagen geprüft werden.

Anfrage zum AVV-/DPA-Check senden

Rechtlicher Orientierungshinweis

Dieser Checker bietet eine strukturierte Erstorientierung. Er ersetzt keine rechtliche Prüfung des konkreten Verarbeitungsvorgangs, der Vertragsunterlagen, der technischen Umsetzung, der Subprozessorenkette, der tatsächlichen Weisungslage und der internationalen Datenflüsse.

Brauchen Sie einen AVV – und ist die DPA-Struktur belastbar?

Worum es in der Praxis geht

Vom Datenzugriff zur passenden Vertragsstruktur

Sechs Schritte zur ersten Einordnung

Was dieser Check leistet

AVV-/DPA-Konstellation prüfen

Warum dieses Ergebnis?

Empfohlene nächste Prüfpunkte

Sinnvoll vorzubereitende Unterlagen

Typische AVV-/DPA-Risiken und Maßnahmen

Verwandte ITMR-Checker und Anschlussprüfungen

AVV-/DPA-Struktur konkret prüfen lassen

Rechtlicher Orientierungshinweis