Glossar

AVV — der Datenschutz-Vertrag, den viele Freelancer übersehen.

Ein Auftragsverarbeitungsvertrag (AVV, auch AV-Vertrag oder ADV) ist ein nach Art. 28 Abs. 3 DSGVO vorgeschriebener Vertrag zwischen einem Auftraggeber (dem „Verantwortlichen") und einem Dienstleister (dem „Auftragsverarbeiter"). Er verpflichtet den Dienstleister, die überlassenen personenbezogenen Daten ausschließlich nach Weisung und nur für den vereinbarten Zweck zu verarbeiten.

Wann du als Freelancer einen AVV brauchst

Ein AVV ist nötig, wenn du im Auftrag deines Kunden personenbezogene Daten verarbeitest und der Kunde dabei Zweck und Mittel der Verarbeitung bestimmt. Du handelst dann weisungsgebunden — die Daten „gehören" datenschutzrechtlich weiter dem Kunden, du verarbeitest sie nur für ihn.

Stell dir vor, du bist freie E-Mail-Marketing-Spezialistin und pflegst die Newsletter-Kontaktliste deines Kunden im Tool ein, segmentierst sie und versendest in seinem Namen. Du verarbeitest fremde personenbezogene Daten im Auftrag — hier braucht es einen AVV.

Typische Freelancer-Konstellationen mit AVV-Pflicht:

IT-Dienstleister, die Zugriff auf Kunden-Datenbanken, Server oder Backups haben
Marketing-/CRM-Freelancer, die Kontakt- oder Kundendaten verarbeiten
Support-/Callcenter-Dienstleister, die mit Kundendaten arbeiten
Webentwickler mit Wartungszugriff auf Systeme mit personenbezogenen Daten

Wann du keinen AVV brauchst

Nicht jede Berührung mit Daten ist Auftragsverarbeitung. Drei Abgrenzungen helfen:

Eigenverantwortliche Verarbeitung: Bestimmst du Zweck und Mittel selbst (z. B. ein Steuerberater, ein Rechtsanwalt im Rahmen seines Berufsrechts), bist du eigener Verantwortlicher — kein AVV, sondern allenfalls eine Vereinbarung über gemeinsame oder getrennte Verantwortlichkeit.
Beiläufiger Zugang: Wenn du nur zufällig mit Daten in Berührung kommst, ohne dass deren Verarbeitung dein eigentlicher Auftrag ist (z. B. ein Maler, der im Büro arbeitet), liegt nach Auffassung verschiedener Datenschutzaufsichtsbehörden keine Auftragsverarbeitung vor. Hier reicht oft eine Verschwiegenheitsverpflichtung.
Kein Personenbezug: Arbeitest du nur mit anonymen oder rein technischen Daten ohne Personenbezug, greift Art. 28 DSGVO nicht.

Die Einordnung ist im Grenzbereich umstritten und einzelfallabhängig — vor allem bei IT-Freelancern, die fachlich weisungsgebunden, aber bei Ort und Zeit frei arbeiten. Wer Zweck und Mittel vorgibt, ist das entscheidende Kriterium.

Was in einem AVV stehen muss

Art. 28 Abs. 3 DSGVO gibt den Pflichtinhalt vor. Ein wirksamer AVV regelt unter anderem:

Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Art der Daten und Kategorien Betroffener
Verarbeitung nur auf dokumentierte Weisung
Vertraulichkeitsverpflichtung der eingesetzten Personen
technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
Regeln für den Einsatz von Subunternehmern (Unterauftragsverarbeiter, Art. 28 Abs. 2, 4 DSGVO) — siehe Subunternehmer
Unterstützung des Verantwortlichen und Löschung/Rückgabe der Daten nach Auftragsende

Klaus-Tipp

Ein AVV ist kein Ersatz für eine NDA und umgekehrt. Die NDA schützt Geschäftsgeheimnisse, der AVV erfüllt eine gesetzliche Datenschutzpflicht. In der Praxis sind je nach Projekt beide relevant. Ein häufiger Streitpunkt im AVV ist die Subunternehmer-Regelung — pauschale Zustimmungspflichten können den Auftragsverarbeiter einschränken.

Warum der AVV beide Seiten schützt

Fehlt ein erforderlicher AVV, ist das ein Datenschutzverstoß — und zwar für beide Seiten. Verstöße gegen die Auftragsverarbeiter-Pflichten aus Art. 28 DSGVO fallen unter den Bußgeldrahmen des Art. 83 Abs. 4 DSGVO: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Ob und in welcher Höhe ein Bußgeld verhängt wird, hängt dabei je nach Einzelfall vom behördlichen Ermessen ab (Art. 83 Abs. 2 DSGVO).

Fehlt darüber hinaus für die Verarbeitung selbst eine Rechtsgrundlage, kann im Einzelfall der höhere Rahmen des Art. 83 Abs. 5 DSGVO greifen (bis zu 20 Mio. Euro oder 4 %) — das ist aber eine andere Pflicht als der fehlende AVV und nicht der Regelfall. In der Praxis ist es oft der Auftraggeber, der auf den AVV drängt, weil er als Verantwortlicher in erster Linie haftet. Für Freelancer bleibt der vorgelegte AVV trotzdem relevant, weil auch der Auftragsverarbeiter eigene Pflichten aus Art. 28 DSGVO trägt.

Rechtsgrundlage

Auftragsverarbeitung: Art. 28 DSGVO, insbesondere Art. 28 Abs. 3 (Pflichtinhalt) und Abs. 2, 4 (Subunternehmer)
Definition Auftragsverarbeiter / Verantwortlicher: Art. 4 Nr. 7, 8 DSGVO
Technische und organisatorische Maßnahmen: Art. 32 DSGVO
Bußgeldrahmen für Verstöße gegen Art. 28: Art. 83 Abs. 4 DSGVO (bis 10 Mio. €/2 %); fehlende Rechtsgrundlage der Verarbeitung ggf. Art. 83 Abs. 5 DSGVO (bis 20 Mio. €/4 %)
ergänzend BDSG (deutsches Datenschutzrecht)

AVV auf dem Tisch?

Klauselklaus zeigt dir, welche Datenschutz- und Subunternehmer-Klauseln typische Muster sind und welche Punkte in der Praxis häufig diskutiert werden. Erste Voranalyse kostenlos.

Vertrag jetzt prüfen

Stand: Juni 2026. Klauselklaus ist kein Anwalt, erbringt keine Rechtsdienstleistung im Sinne des § 2 RDG und ersetzt keine individuelle Rechtsberatung. Genannte Vorschriften beziehen sich auf deutsches Recht und können im Einzelfall abweichen. Für Streitfälle und vor Gericht brauchst du einen Anwalt. Dieser Artikel wurde mit KI-Unterstützung erstellt und redaktionell geprüft.