Auf Websites laufen täglich personenbezogene Daten durch externe Dienste: Hosting, Webanalyse, Newsletter, Support-Chats, Zahlungsabwicklung oder CRM. Genau hier greift die AV-Vertragspflicht. Sobald ein Dienstleister Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (kurz: AV-Vertrag). Wer das strukturiert angeht, reduziert Risiko und Aufwand spürbar. Dieser Artikel liefert allgemeine Informationen und ersetzt keine individuelle Rechtsberatung durch einen Anwalt oder eine Datenschutzbeauftragte.
Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) und wann ist er verpflichtend?
Ein Auftragsverarbeitungsvertrag nach der DSGVO ist die vertragliche Grundlage zwischen Ihnen als Verantwortlichem und einem Dienstleister als Auftragsverarbeiter. Er ist nach Art. 28 DSGVO erforderlich, wenn personenbezogene Daten „im Auftrag“ verarbeitet werden. Praktische Faustregel: Wenn ein Anbieter Daten nur deshalb verarbeitet, weil Sie ihn dafür beauftragen (zum Beispiel Website hosten oder Newsletter versenden), sind Sie in der Regel im Bereich der Auftragsverarbeitung nach der DSGVO.
Was bedeutet Auftragsverarbeitung nach der DSGVO für Website-Betreiber?
Auftragsverarbeitung heißt verständlich: Sie bestimmen Zweck und Rahmen (zum Beispiel „Shop betreiben“), der Dienstleister führt die Verarbeitung weisungsgebunden aus. Sie bleiben verantwortlich für Anbieter-Auswahl, Dokumentation und Kontrolle. Der Begriff Datenverarbeitungsvertrag taucht im Alltag oft auf; gemeint ist meist dasselbe Thema, auch wenn der DSGVO-Begriff präziser ist. Orientierung dazu geben laut DSK unter anderem die Hinweise zur Auftragsverarbeitung nach Art. 28.
AV-Vertrag vs. ADV-Vertrag: Gibt es Unterschiede?
Der ADV-Vertrag ist die alte Bezeichnung aus der Zeit vor der DSGVO („Auftragsdatenverarbeitung“). Heute zählt der Inhalt: Deckt das Dokument die Pflichtpunkte nach Art. 28 ab, inklusive TOM, Subunternehmer-Regeln, Unterstützungspflichten und Löschung? Wenn ja, ist die Überschrift zweitrangig.
Für welche Website-Dienste ist ein AV-Vertrag erforderlich?
Typische Fälle sind Hosting und Cloud, Newsletter-Tools, Support- und CRM-Systeme, Formular- und Termin-Tools, Monitoring sowie viele Tracking- und Marketing-Komponenten. Bei Zahlungsdiensten ist die Einordnung gemischt: Manche Anbieter handeln in Teilen als eigene Verantwortliche (zum Beispiel Betrugsprävention), andere Teile können als Auftragsverarbeitung laufen. Daher gilt: Rollenverteilung prüfen, nicht raten.
Kurze Praxisbeispiele:
Corporate Website: Hosting, Kontaktformular, Newsletter. In der Regel liegt eine Auftragsverarbeitung (AV) für das Hosting sowie häufig auch für Formular- und Newsletter-Dienstleister vor.
Webshop: Hosting, Payment, Versand-/Fulfilment-Plugin, Remarketing. AV ist meist für Hosting und Marketing-/Tracking-Tools anzunehmen; bei Payment-Anbietern ist eine genauere Rollenprüfung erforderlich (je nach Setup AV vs. eigenständige Verantwortlichkeit).
SaaS: Hosting, Monitoring/Logging, Support-Desk, Authentifizierung. AV besteht häufig für Hosting, Monitoring und Support; bei Authentifizierungsdiensten hängt die Rolle stark vom Anbieter und der konkreten Einbindung ab.
Relevante Anbieter für AV-Verträge auf Websites
Im Alltag sind es eher die Klassiker als Sonderlösungen: Google (Analytics/Tagging), Microsoft (Azure), AWS (Cloud), Mailchimp oder Brevo (Newsletter), HubSpot (CRM/Marketing). Ziel ist eine vollständige Tool-Liste, damit kein Plugin „nebenbei“ Daten verarbeitet, ohne dass es in Ihren Unterlagen auftaucht.
Brauche ich einen AV-Vertrag für Hosting und Cloud-Dienste?
In den meisten Fällen: ja. Ein AV-Vertrag für Hosting (oft gesucht als „AV-Vertrag-Hosting“) ist so häufig, weil Hosting-Anbieter Zugriff auf Systeme haben können, in denen personenbezogene Daten liegen oder entstehen: IP-Adressen in Logs, Datenbankinhalte, Uploads, Backups oder Admin-Zugriffe im Supportfall. Das gilt für Shared Hosting, VPS, Dedicated Server und Cloud. Bei Managed Hosting oder Backup-Services ist Auftragsverarbeitung in der Regel besonders klar.
Google Analytics und Tracking
Bei Tracking ist der Vertrag nur ein Baustein. Zusätzlich brauchen Sie ein sauberes Consent-Setup und eine nachvollziehbare Tag-Dokumentation. Typische Fehler: Das DPA/AV-Dokument im Anbieterportal wird nicht aktiviert; Tracking feuert vor Einwilligung; neue Tools wie Heatmaps oder A/B-Tests werden ergänzt, ohne dass Verträge nachgezogen werden.
Newsletter- und Marketing-Tools: Welche DPA-Vereinbarungen gelten?
Newsletter-Tools verarbeiten E-Mail-Adressen, Listen und häufig auch Trackingdaten. Viele Anbieter stellen ein Data Processing Agreement bereit. In Ihrer Ablage wird daraus praktisch eine DPA für Websites, wenn Sie Version, TOM-Anlage, Subunternehmerliste, Speicherorte und Abschlussdatum sauber dokumentieren. In Teams findet man dafür manchmal die Sammelbezeichnung DPA (Deutschland), weil man alle DPAs für EU-Setups gebündelt ablegt. Bei Non-EU-Anbietern kommt der Drittlandtransfer als zusätzliches Prüffeld dazu.
Auftragsverarbeitungsvertrag DSGVO
Ein Auftragsverarbeitungsvertrag nach der DSGVO ist nur dann nützlich, wenn die Pflichtpunkte konkret sind. Art. 28 verlangt unter anderem Gegenstand und Dauer, Zweck, Datenkategorien, Pflichten und Rechte, TOM, Regeln zu Subunternehmern, Unterstützungspflichten sowie Löschung oder Rückgabe am Ende.
Hier ist die Tabelle zur schnellen Prüfung:
| Prüffeld (Art. 28) | Woran Sie es erkennen | Typische rote Flagge |
| Zweck und Umfang | Services und Datenflüsse sind konkret | „für beliebige Zwecke“ |
| TOM | Maßnahmen sind nachvollziehbar | nur Marketingfloskeln |
| Subunternehmer | Liste + Update-Prozess | Änderungen ohne Info |
| Support/Incidents | Prozess, Ansprechpartner, Fristen | Zuständigkeit bleibt vage |
| Löschung/Rückgabe | auch Backups und Fristen | „Löschung“ ohne Backup-Klärung |
Welche technischen und organisatorischen Maßnahmen (TOM) gehören zum AV-Vertrag?
TOM müssen zum Risiko und zum Dienst passen. Für typische Websites reicht oft ein klarer Rahmen: Verschlüsselung (Transport und, wenn nötig, Speicherung), Zugriffskontrolle (Rollen, MFA), Protokollierung, Backup und Wiederherstellung, Patch-Management sowie ein Incident-Prozess. Sie müssen nicht jedes Detail technisch bewerten, sollten aber erkennen, ob TOMs konkret sind und ob sie zu Ihrem Setup passen.
Subunternehmer und Weitergabe von Daten richtig regeln
Subunternehmer sind normal: Rechenzentrum, CDN, Support-Dienstleister. Entscheidend ist Transparenz. Praktisch brauchen Sie eine Subunternehmerliste (oder einen stabilen Abruf), eine Regel, wann Sie informiert werden, und die Zusicherung, dass Pflichten entlang der Kette weitergegeben werden.
Was bedeutet Weisungsgebundenheit im AV-Vertrag konkret?
Weisungsgebundenheit ist Alltag: Wer darf beim Anbieter etwas anordnen, wie werden Weisungen erteilt und wie wird ein Supportzugriff dokumentiert? Ein praxistauglicher Vertrag beschreibt zumindest den Kanal (Portal, Ticket, E-Mail), die weisungsbefugte Rolle und schließt „eigene Zwecke“ des Dienstleisters aus.
AV-Vertrag Hosting: Besonderheiten für Webhosting und Cloud
Wo liegen die Unterschiede zwischen Shared Hosting, VPS und Dedicated Server?
Shared Hosting ist stark standardisiert; Mandantentrennung und Updates liegen eher beim Anbieter. VPS gibt Ihnen mehr Kontrolle, der Anbieter bleibt Infrastrukturbetreiber. Dedicated Server ist nah an der Hardware, trotzdem existieren oft Remote-Zugriffe für Wartung. Für den Vertrag heißt das vor allem: Supportzugriffe, Log-Umfang, Backup-Verantwortung und konkrete TOM müssen zum Modell passen.
Welcher Serverstandort und Drittlandtransfer sind DSGVO-konform?
EU/EWR ist meist am einfachsten. Bei Drittlandtransfer (zum Beispiel USA) gilt seit Schrems II: Standardvertragsklauseln bleiben nutzbar, aber es braucht eine dokumentierte Prüfung, ob ein im Wesentlichen gleichwertiges Schutzniveau erreicht wird, plus gegebenenfalls ergänzende Maßnahmen. Für UK ist relevant, ob die EU-Angemessenheitsentscheidung greift; diese wurde zuletzt erneut bestätigt, wodurch Datenflüsse EWR-UK grundsätzlich weiter möglich sind, dennoch sollten Speicherorte und Subunternehmer dokumentiert werden.
Backup und Disaster Recovery im AV-Vertrag festhalten?
Ja, kurz und eindeutig. Halten Sie fest, wo Backups liegen, wie lange sie aufbewahrt werden, wie die Wiederherstellung abläuft und wie die Löschung am Ende funktioniert, inklusive Backups. Gerade in Hosting-Setups sind Logs und Backups sonst der typische blinde Fleck.
Internationale Anbieter und DPA Deutschland
Reichen Standard-DPAs internationaler Anbieter aus?
Manchmal, aber nicht automatisch. Prüfen Sie, ob Art. 28 vollständig abgedeckt ist, Subprozessoren transparent sind und Löschung, Supportzugriffe sowie Speicherorte konkret geregelt sind. Bei Drittlandtransfer sind häufig Standardvertragsklauseln der EU-Kommission relevant (laut EUR-Lex ist das der offizielle Rahmen).
Englische Data Processing Agreements richtig prüfen
Bei englischen DPAs hilft ein schneller Praxischeck: Zweck und Services klar? TOM-Anlage konkret? Subunternehmer-Update geregelt? Löschung auch in Backups? Und bei Websites besonders wichtig: Logs und Supportzugriffe nicht nur als Allgemeinplatz.
Brexit-Folgen für AV-Verträge mit UK-Anbietern
Mit UK-Anbietern ist der Transfer dank Angemessenheit meist einfacher, aber nicht „automatisch erledigt“. Dokumentieren Sie Regionen und Subunternehmer und setzen Sie eine jährliche Mini-Prüfung auf, ob sich Anbieter-Setup oder Rechtslage verändert hat.
AV-Vertrag abschließen und prüfen. Schritt-für-Schritt
Ein schlanker Ablauf reicht für die meisten Websites, wenn Sie ihn konsequent anwenden:
- Tool-Inventar erstellen und nach Risiko priorisieren (Hosting, Newsletter, CRM/Support, Analytics zuerst).
- AV-Verträge/DPAs aus Portalen ziehen oder anfordern; Version und Datum speichern.
- Art. 28 Pflichtpunkte prüfen und offene Punkte an den Anbieter schicken.
- Drittlandtransfer bewerten (EU/EWR, UK, USA) und die Entscheidung kurz dokumentieren.
- Ablage und jährliches Review festlegen (ein Termin pro Jahr genügt oft).
Wie fordere ich einen AV-Vertrag beim Anbieter an?
Viele Anbieter bieten Self-Service im Portal (Privacy oder Data Processing). Wenn nicht, reicht eine kurze Anfrage. Beispiel:
„Bitte senden Sie uns den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive TOM-Anlage und aktueller Subunternehmerliste. Zusätzlich benötigen wir Angaben zu Speicherorten und etwaigen Drittlandtransfers.“
AV-Vertrag prüfen: Checkliste für Website-Betreiber
| Punkt | Frage | Ergebnis |
| Zweck/Umfang | passt es genau zu Ihrem Tool? | ok / klären |
| TOM | konkret, aktuell, plausibel? | ok / klären |
| Subunternehmer | Liste + Update-Prozess? | ok / klären |
| Löschung | inkl. Backups geregelt? | ok / klären |
| Supportzugriffe | dokumentiert und begrenzt? | ok / klären |
Sind elektronische Unterschrift und E-Mail für AV-Verträge zulässig?
In der Praxis werden AV-Verträge häufig elektronisch geschlossen (Portal-Klick, E-Signatur, E-Mail). Wichtig ist Nachweisbarkeit: finale Version speichern, Abschlussdatum dokumentieren und intern festhalten, wer freigegeben hat.
AV-Vertrag Muster und Vorlagen richtig nutzen
Ein AV-Vertrag-Muster ist ein guter Startpunkt, aber kein Autopilot. Verlässliche Muster und Orientierung finden Sie bei Landesdatenschutzbehörden (zum Beispiel Bayern, Baden-Württemberg, NRW) sowie in den Orientierungshilfen der Datenschutzkonferenz, etwa im Kurzpapier zur Auftragsverarbeitung.
Wo finde ich eine DSGVO-konforme AV-Vertragsvorlage?
Eine AV-Vertragsvorlage gibt es bei Behörden und teils bei Verbänden oder Anbietern. In der Praxis nutzen viele Website-Betreiber ein Behördenmuster als Basis und ergänzen tool-spezifische Details wie Logs, Supportzugriffe, Backups und Speicherorte.
Standard-AV-Vertrag oder individuelle Anpassung
Standard reicht oft für kleine Websites mit wenigen Tools und EU/EWR-Hosting. Anpassung lohnt sich bei vielen Marketing-Tools, internationalen Transfers oder besonderen Risiken. Dann sind klare Aussagen zu Logs/Backups, Incident-Prozess und Subunternehmer-Updates besonders wertvoll.
Warum Muster nicht ungeprüft übernommen werden sollten
Typische Fehler: falsche Rollen (Controller vs. Processor), zu allgemeine Zwecke, fehlende TOM-Anlage, Subunternehmer ohne Update-Prozess oder Löschung ohne Aussage zu Backups.
Risiken und Sofortmaßnahmen bei Auftragsverarbeitung ohne Vertrag
Welche Bußgelder und Abmahnrisiken drohen ohne AV-Vertrag?
Ein fehlender AV-Vertrag ist ein klarer, leicht prüfbarer Verstoß gegen Art. 28 und kann bußgeldbewehrt sein. Der Rahmen ergibt sich aus Art. 83 Abs. 4 DSGVO. In der Praxis sind auch kleinere Fälle dokumentiert, zum Beispiel ein Bußgeld von 5.000 Euro wegen fehlenden Vertrags zur Auftragsverarbeitung.
Können fehlende AV-Verträge nachträglich abgeschlossen werden?
Meist ja. Priorisieren Sie: zuerst Hosting, dann Newsletter und CRM/Support, danach Analytics und weitere Tools. Dokumentieren Sie Anfragen, Antworten und Abschlussdaten. Wenn ein Anbieter nicht liefert, reduzieren Sie Datenflüsse, deaktivieren Sie das Tool oder prüfen Sie Alternativen.
AV-Vertrag-Checkliste für Website-Betreiber
Welche Website-Tools benötigen einen AV-Vertrag?
Die folgende Tool-Matrix deckt 20 häufige Website-Tools ab und hilft, Ihren Status schnell zu klären:
| Tool/Typ | Beispiele | Typisch: AV? | Kurzbegründung |
| Hosting | AWS, Microsoft Azure, IONOS | Ja | Logs/Backups/Infra |
| Managed Hosting | Mittwald, Hetzner Managed | Ja | Supportzugriffe |
| VPS/Dedicated | OVHcloud, Hetzner | Ja | Remote-Wartung möglich |
| Backup-Service | Acronis, Backblaze | Ja | Aufbewahrung/Restore |
| CDN/WAF | Cloudflare, Akamai | Oft | IP/Logs, Setup |
| Consent-Tool | Cookiebot, OneTrust | Ja | Consent-Logs |
| Analytics | Google Analytics 4, Matomo Cloud | Ja | Consent zusätzlich |
| Tag Manager | Google Tag Manager | Oft | Setup-abhängig |
| Heatmaps | Hotjar, Mouseflow | Ja | Tracking/Profiles |
| A/B-Testing | Optimizely, VWO | Ja | Trackingdaten |
| Newsletter | Mailchimp, Brevo | Ja | Listen/Tracking |
| Marketing-Automation | HubSpot | Oft | Rollen prüfen |
| CRM | HubSpot CRM, Salesforce | Oft | Zugriff/Support |
| Chat/Support | Intercom, Zendesk | Ja | Tickets/Nachrichten |
| Formular-Tool | Typeform, Jotform | Ja | Formulardaten |
| Terminbuchung | Calendly | Ja | Kontaktdaten |
| Error-Tracking | Sentry | Ja | Events/IP |
| Monitoring | Datadog, New Relic | Ja | Logs/Tracing |
| E-Mail-Versand | SendGrid, Mailgun | Ja | Zustellung/Logs |
| Payment | Stripe, PayPal | Gemischt | Rollenaufteilung |
AV-Verträge dokumentieren und aktuell halten
Legen Sie pro Tool einen Ordner an: Vertrag/DPA, TOM, Subunternehmerliste, Abschlussdatum, Speicherorte. Ergänzen Sie einen kurzen Änderungslog, wenn sich Regionen, Subunternehmer oder Funktionsumfang ändern. Eine jährliche Mini-Prüfung reicht oft: Tool-Liste durchgehen, neue Tools ergänzen, alte entfernen, Versionen aktualisieren.
AV-Verträge sind Pflicht für jede professionelle Website
Ein AV-Vertrag für Websites ist kein Papier für die Schublade, sondern der Rahmen für kontrollierte Dienstleister-Nutzung. Quick Wins: Tool-Inventar erstellen, Verträge einsammeln, Art. 28 Pflichtpunkte prüfen, Drittlandtransfer dokumentieren, Ablage und Review definieren. So wird die AV-Vertragspflicht handhabbar, auch ohne Jurastudium.
