Persönliche Erfahrungen
Ausführlicher Vergleich
Ein Auftragsverarbeitungsvertrag, kurz AVV, ist das zentrale Vertragsdokument, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Online-Shop-Betreibers verarbeitet. In der Praxis betrifft das viele typische Shop-Dienstleistungen, etwa Hosting, Wartung, Newsletter-Tools, Supportsysteme oder bestimmte SaaS-Lösungen. Fehler bei der Rollenklärung oder beim AVV sind im E-Commerce besonders riskant, weil sie sich auf Datenschutzhinweise, Betroffenenrechte, Sicherheitsmaßnahmen und den Nachweis gegenüber Aufsichtsbehörden auswirken können.
Für Shop-Betreiber ist dabei vor allem eine Frage entscheidend: Verarbeitet der Dienstleister Daten wirklich nur nach Weisung oder verfolgt er eigene Zwecke? Genau an dieser Rollenklärung hängt, ob überhaupt ein AVV erforderlich ist oder ob eher eine eigenständige oder gemeinsame Verantwortlichkeit vorliegt.
Dieser Glossarbeitrag erklärt, wann ein AVV im Online-Shop nötig ist, welche Inhalte er typischerweise abdecken muss und welche Fehler in der Praxis besonders häufig vorkommen.
Ein AVV hilft im Online-Shop nur dann, wenn Rollenklärung, Vertragsinhalt und tatsächliche Datenflüsse sauber zusammenpassen.
Ein Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter im Auftrag eines Verantwortlichen. Im Online-Shop ist der Verantwortliche regelmäßig der Händler oder Shop-Betreiber, der über Zwecke und wesentliche Mittel der Datenverarbeitung entscheidet. Der Dienstleister verarbeitet die Daten dagegen nicht für eigene Zwecke, sondern nach dokumentierten Weisungen.
Der AVV ist keine bloße Formalität. Er soll sicherstellen, dass Sicherheitsmaßnahmen, Kontrollrechte, Unterauftragnehmer, Löschregeln und Unterstützungspflichten so geregelt sind, dass die Anforderungen der DSGVO im Alltag tatsächlich umgesetzt werden können.
Ein AVV wird typischerweise benötigt, wenn ein externer Anbieter personenbezogene Daten weisungsgebunden für den Shop verarbeitet. Das ist im E-Commerce häufig bei Hosting, Systemadministration, Cloud-Speicherung, Wartung mit Zugriff auf Kundendaten, Ticket- und Supportsystemen, Newsletter-Versand, Backup-Diensten oder bestimmten SaaS-Tools relevant.
Nicht jeder Dienstleister ist jedoch automatisch Auftragsverarbeiter. Viele Anbieter verarbeiten Daten zumindest teilweise für eigene Zwecke oder auf Grundlage eigener rechtlicher Pflichten. Gerade bei Zahlungsdiensten, Versanddienstleistern oder einzelnen Plattform- und Tracking-Konstellationen ist deshalb genau zu prüfen, ob wirklich eine Auftragsverarbeitung vorliegt.
Ob ein AVV erforderlich ist, hängt nicht davon ab, wie der Vertrag überschrieben ist, sondern davon, wer über Zwecke und wesentliche Mittel der Verarbeitung entscheidet. Wer die Zwecke der Verarbeitung bestimmt, ist regelmäßig Verantwortlicher. Wer Daten ausschließlich im Auftrag und nach Weisung verarbeitet, ist Auftragsverarbeiter.
Für Online-Shops ist das praktisch wichtig, weil viele Dienste Mischbilder erzeugen. Ein Anbieter kann für bestimmte Leistungen Auftragsverarbeiter sein, in anderen Bereichen aber eigene Entscheidungen treffen. Ohne saubere Rollenklärung entstehen schnell widersprüchliche Datenschutzhinweise, falsche Vertragsmodelle und unnötige Compliance-Risiken.
| Konstellation | AVV typischerweise nötig? | Praxisbewertung | Worauf Shop-Betreiber achten sollten |
|---|---|---|---|
| Hosting oder Cloud-Infrastruktur für den Shop | Häufig ja | Typischer Fall der Auftragsverarbeitung | Speicherorte, TOMs, Unterauftragnehmer und Support-Zugriffe prüfen |
| Technische Wartung mit Zugriff auf Kundendaten | Häufig ja | Auch gelegentlicher Zugriff kann relevant sein | Fernzugriffe, Berechtigungen und Protokollierung sauber regeln |
| Newsletter-Tool für eigene Empfängerdaten | Häufig ja | Typischerweise weisungsgebundene Verarbeitung | Tracking-Funktionen, Unterauftragnehmer und Drittlandbezug prüfen |
| Zahlungsdienstleister | Oft nein | Regelmäßig eher eigenständig Verantwortlicher | Rollen nicht vorschnell als Auftragsverarbeitung behandeln |
| Versanddienstleister | Oft nein | Häufig eigene Verantwortlichkeit für Zustellung und Nachweise | Datenschutzhinweise und Rechtsgrundlagen getrennt sauber abbilden |
| Analyse-, Werbe- oder Plattformdienste | Nicht pauschal | Je nach Setup getrennte oder gemeinsame Verantwortlichkeit möglich | Funktionen, Zwecke, Datenströme und Einflussmöglichkeiten genau prüfen |
Die zentrale Rechtsgrundlage für die Auftragsverarbeitung ist Art. 28 DSGVO. Ergänzend spielen in der Praxis vor allem die Weisungsbindung, die Sicherheit der Verarbeitung, die Unterstützung bei Betroffenenrechten und der Umgang mit Unterauftragnehmern eine wichtige Rolle. Der Vertrag kann schriftlich oder in elektronischer Form abgeschlossen werden.
Für Shop-Betreiber reicht es aber nicht, nur Art. 28 DSGVO abstrakt zu kennen. Entscheidend ist, ob der Vertrag die tatsächliche Leistung sauber beschreibt und mit der realen Tool- und Prozesslandschaft im Shop übereinstimmt.
Ein AVV sollte die Verarbeitung nicht nur pauschal benennen, sondern konkret beschreiben. Je klarer Gegenstand, Zweck, Datenarten und Beteiligte festgelegt sind, desto belastbarer ist der Vertrag im Alltag. Allgemeine Standardformulierungen reichen oft nicht aus, wenn sie zu den tatsächlichen Prozessen im Shop nicht passen.
Typischerweise sollten insbesondere folgende Punkte geregelt sein:
Gerade bei SaaS-Tools sollten diese Punkte nicht nur formal im Vertrag stehen. Wichtig ist, dass Unterauftragnehmer, Standardkonfigurationen, Speicherregionen, Fernzugriffe und Sicherheitsmechanismen realistisch beschrieben oder in Anlagen nachvollziehbar dokumentiert sind.
Fast jeder AVV enthält eine Anlage zu technischen und organisatorischen Maßnahmen, kurz TOMs. In der Praxis sind diese aber nur dann wirklich hilfreich, wenn sie konkret genug sind, um das Schutzniveau einschätzen zu können. Reine Schlagworte wie „modernes Sicherheitskonzept“ oder „hohe Standards“ helfen im Prüfungsfall kaum weiter.
Für Online-Shops sind insbesondere Zugriffskontrollen, Rollen- und Berechtigungskonzepte, Protokollierung, Verschlüsselung, Backup-Strategien, Patch-Management, Wiederherstellbarkeit und Mandantentrennung relevant. Bei Supportsystemen und SaaS-Tools sollte außerdem geprüft werden, wer wann Fernzugriff auf Kundendaten haben kann.
Viele Dienstleister setzen weitere Unterauftragnehmer ein, etwa für Cloud-Infrastruktur, Monitoring, Support oder Ticketing. Ein AVV sollte deshalb klar regeln, ob und unter welchen Bedingungen Unterauftragsverarbeiter eingesetzt werden dürfen. Für Shop-Betreiber ist dabei vor allem wichtig, dass Änderungen nachvollziehbar kommuniziert werden.
Bewährt hat sich eine aktuelle Liste der Unterauftragnehmer als Anlage oder über ein transparentes Online-Verzeichnis. Problematisch wird es, wenn neue Subdienstleister, neue Regionen oder neue Support-Zugriffe hinzukommen, ohne dass diese Änderungen sauber dokumentiert und bewertbar sind.
Ein Auftragsverarbeiter sollte den Verantwortlichen dabei unterstützen, Betroffenenrechte wie Auskunft, Löschung oder Berichtigung umzusetzen. In der Praxis hilft ein solcher Punkt aber nur dann, wenn Kommunikationswege, Ansprechpartner und eine realistische Reaktionslogik mitgedacht werden.
Ähnliches gilt für Datenschutzvorfälle. Ein AVV sollte nicht nur abstrakt Unterstützung versprechen, sondern klare Meldewege und Zuständigkeiten ermöglichen. Gerade im Shop-Alltag entscheidet oft die Geschwindigkeit, mit der ein Dienstleister Logs, Exportdaten oder technische Details liefern kann.
Wenn ein Dienstleister oder ein Unterauftragnehmer außerhalb des EWR sitzt oder aus einem Drittland auf Daten zugreift, reicht ein AVV allein oft nicht aus. Dann können zusätzlich Regelungen für den internationalen Datentransfer erforderlich sein, etwa Standardvertragsklauseln der EU-Kommission und gegebenenfalls ergänzende Schutzmaßnahmen.
Für Online-Shops ist das besonders bei globalen SaaS-Tools, Supportzentren, Cloud-Infrastrukturen und zentral gesteuerten Konzerndiensten relevant. Praktisch wichtig ist weniger die bloße Vertragsbezeichnung als eine saubere Dokumentation, wo Daten verarbeitet werden, wer Zugriff hat und welche Schutzmechanismen tatsächlich greifen.
Die EU-Kommission hat Standardvertragsklauseln für die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter veröffentlicht. Diese Klauseln können eine sinnvolle Grundlage sein, wenn ein AVV standardisiert aufgesetzt oder von mehreren Parteien einheitlich verwendet werden soll.
Daneben gibt es eigene Standardvertragsklauseln für Drittlandtransfers. Je nach Konstellation kann dadurch ein Vertragsgefüge entstehen, das sowohl die Anforderungen an die Auftragsverarbeitung als auch an internationale Datentransfers abdecken soll. Entscheidend bleibt aber, dass Module, Anlagen und tatsächliche Datenflüsse vollständig zueinander passen.
Diese Annahmen sind im Shop-Alltag gefährlich. Ein AVV ist kein Etikett, sondern ein Baustein im Datenschutz-Setup des Shops. Seine Qualität zeigt sich erst dann, wenn Betroffenenrechte, Supportzugriffe, Tool-Wechsel oder Vorfälle praktisch bewältigt werden müssen.
Ein Händler nutzt ein Newsletter-Tool, ein Helpdesk-System und einen externen Hosting-Anbieter. Für alle drei Dienste liegen AVVs vor. Im Laufe des Jahres aktiviert das Newsletter-Tool zusätzliche Analysefunktionen, das Helpdesk erweitert seine Subdienstleisterliste und der Hoster verlagert Teile des Supports in ein Drittland.
Formal sind die Verträge noch vorhanden, praktisch hat sich das Setup aber verändert. Wenn diese Änderungen nicht geprüft und dokumentiert werden, passt der ursprüngliche Vertragsstand nicht mehr zur Realität. Genau dadurch entstehen in der Praxis viele AVV-Probleme: nicht durch das völlige Fehlen eines Vertrags, sondern durch veraltete oder zu generische Unterlagen.
Die Checkliste sollte nicht isoliert verwendet werden. Sie sollte mit Datenschutzerklärung, Verzeichnis der Verarbeitungstätigkeiten, Tool-Inventar und internen Datenschutzprozessen zusammengedacht werden. Gerade bei Kernanbietern wie Hosting, Shopsoftware, Newsletter und Support lohnt ein regelmäßiger Review.
Nein. Ein AVV ist typischerweise nur dann erforderlich, wenn der Dienstleister personenbezogene Daten im Auftrag und nach Weisung verarbeitet. Viele Empfänger von Daten handeln dagegen als eigene Verantwortliche. Entscheidend ist die tatsächliche Rollenverteilung.
Ein elektronisch abgeschlossener AVV kann grundsätzlich ausreichen, wenn er die gesetzlichen Anforderungen inhaltlich erfüllt. Praktisch sollte aber geprüft werden, ob TOMs, Unterauftragnehmer, Speicherorte und Versionsstände sauber dokumentiert und abrufbar sind. Wichtig ist außerdem, dass der AVV zum tatsächlich genutzten Funktionsumfang des Tools passt.
Besonders wichtig sind meist die TOM-Anlage, die Liste der Unterauftragnehmer sowie Angaben zu Speicherorten oder Rechenzentrumsregionen. Bei Support- oder SaaS-Diensten können zusätzlich Regeln zu Fernzugriffen, Protokollierung und Exportmöglichkeiten entscheidend sein.
Die DSGVO verlangt vor allem eine Unterstützung des Verantwortlichen. In der Praxis sind klare Ansprechpartner, Meldewege und eine realistische Reaktionslogik deshalb sehr sinnvoll. Ohne solche Regelungen wird ein AVV schnell unpraktisch, obwohl er formal vorhanden ist.
Dann ist die Einordnung als reine Auftragsverarbeitung oft fraglich. Je nach Konstellation kann eine getrennte Verantwortlichkeit oder eine gemeinsame Verantwortlichkeit in Betracht kommen. In solchen Fällen sollten Vertragstyp, Datenschutzhinweise und gegebenenfalls Einwilligungs- oder Informationsmechanismen angepasst werden.
Dann können zusätzlich Regeln für internationale Datentransfers erforderlich sein, etwa Standardvertragsklauseln der EU-Kommission und gegebenenfalls ergänzende Schutzmaßnahmen. Praktisch ist entscheidend, dass diese Themen nicht nur vertraglich erwähnt, sondern auch technisch und organisatorisch umgesetzt werden.
Ein AVV sollte regeln, ob Daten gelöscht oder zurückgegeben werden und wie entsprechende Nachweise erbracht werden. Gleichzeitig können Aufbewahrungspflichten, Archivsysteme oder Backup-Zyklen dazu führen, dass bestimmte Daten nicht sofort vollständig verschwinden. Für Online-Shops ist daher wichtig, dass Lösch- und Exportprozesse tatsächlich funktionieren.
Auftragsverarbeitungsvertrag (AVV)
Hinweis: Dieser Beitrag dient der allgemeinen Information für Online-Shop-Betreiber in Deutschland und ersetzt keine Rechtsberatung im Einzelfall.
Die Inhalte auf rechtstexte-onlineshops.de verbinden redaktionelle Recherche, Praxisbeobachtung und die Auswertung einschlägiger Quellen. Ziel ist eine realistische Orientierung für Shop-Betreiber, keine Einzelfallberatung.
Transparenz: Die Inhalte werden redaktionell erstellt und überprüft. Maßgeblich sind dabei rechtliche Quellen, praktische Erfahrungen aus Shop-Projekten und die Frage, welche Informationen für Shop-Betreiber im Alltag tatsächlich hilfreich sind.