Zum Hauptinhalt springen
PlusRechtsdokumente

AVV-Generator

Sobald ein Dienstleister personenbezogene Daten für dich verarbeitet - Newsletter-Tool, Cloud-Hoster, Lohnbüro - verlangt die DSGVO einen Auftragsverarbeitungsvertrag nach Art. 28. Der AVV-Generator baut ihn dir aus fertigen Vorlagen, mit acht TOM-Kategorien, Drittlandtransfer-Prüfung, Unterauftragnehmer-Verwaltung und einem Compliance-Check gegen Art. 28. PDF-Export inklusive.

Ein Blick hinein - live

Live-Vorschau. Interaktiv wird es mit deinem Konto.

Was AVV-Generator kann

Der Auftragsverarbeitungsvertrag, kurz AVV, ist eine der am häufigsten übersehenen DSGVO-Pflichten. Überall dort, wo ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, schreibt Art. 28 DSGVO einen schriftlichen Vertrag mit einem festen Mindestinhalt vor. Das betrifft mehr Fälle, als die meisten denken: E-Mail-Marketing, Cloud-Speicher, Buchhaltungssoftware, Support-Systeme, Webhosting. Fehlt der AVV, ist die Verarbeitung formal rechtswidrig und im Ernstfall bußgeldbewehrt.

Der AVV-Generator nimmt dir das Aufsetzen ab. Er führt dich in klaren Schritten durch die Parteien (Verantwortlicher und Auftragsverarbeiter), den Gegenstand und die Art der Verarbeitung, die Kategorien betroffener Personen und Daten, die technischen und organisatorischen Maßnahmen, die Unterauftragnehmer und die rechtlichen Klauseln. Fertige Vorlagen für typische Dienstleisterkonstellationen geben dir einen sinnvollen Ausgangspunkt.

Das Herzstück sind die technischen und organisatorischen Maßnahmen, die TOM nach Art. 32 DSGVO. Der Generator gliedert sie in acht Kategorien, wie sie in der Praxis üblich sind: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und das Trennungsgebot. Für jede Kategorie wählst du die passenden Maßnahmen aus, statt sie aus dem Nichts zu formulieren.

Ein Punkt, an dem viele AVV scheitern, ist der Drittlandtransfer. Sobald ein Dienstleister oder sein Unterauftragnehmer außerhalb der EU sitzt, brauchst du einen gültigen Transfermechanismus - einen Angemessenheitsbeschluss oder Standardvertragsklauseln (SCC). Der Generator erkennt anhand des Standorts, ob ein Drittlandtransfer vorliegt, und weist dich darauf hin, ob und welcher Transfermechanismus nötig ist, damit du das nicht übersiehst.

Unterauftragnehmer werden systematisch geführt. Wenn dein Dienstleister selbst wieder Dienstleister einsetzt, muss der AVV das regeln, samt Genehmigung und der Weitergabe der Pflichten. Der Generator verwaltet die Unterauftragnehmer als Liste, prüft ihre Standorte auf Drittlandbezug und nimmt sie in den Vertrag auf. Dazu gibt es einen Compliance-Check, der abgleicht, ob dein AVV die Kernanforderungen des Art. 28 abdeckt.

Ehrlichkeit gehört dazu: Ein generierter AVV ist eine solide, DSGVO-orientierte Grundlage, aber er ersetzt bei heiklen Konstellationen nicht die Prüfung durch einen Datenschutzbeauftragten oder Fachanwalt. Für die meisten Standardfälle mit gängigen Dienstleistern ist er eine gute Arbeitsgrundlage. Alles läuft datensparsam, das fertige Dokument exportierst du als PDF, bereit zur Unterschrift durch beide Seiten.

Funktionen

Art. 28 DSGVO abgedeckt

Alle Pflichtbestandteile eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO werden geführt, von den Parteien bis zu den Betroffenenrechten.

Acht TOM-Kategorien

Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle plus Trennungsgebot nach Art. 32 DSGVO.

Drittlandtransfer-Prüfung

Der Generator erkennt am Standort einen Drittlandbezug und weist auf den nötigen Transfermechanismus wie SCC hin.

Unterauftragnehmer-Verwaltung

Unterauftragnehmer als Liste führen, ihre Standorte prüfen und sauber in den Vertrag aufnehmen.

Art. 28 Compliance-Check

Ein Abgleich prüft, ob dein AVV die Kernanforderungen des Art. 28 DSGVO abdeckt, bevor du unterschreibst.

PDF-Export

Das fertige Dokument als PDF ausgeben, bereit zur Unterschrift durch Verantwortlichen und Auftragsverarbeiter.

So funktioniert es

  1. 1

    Vorlage wählen

    Eine passende Vorlage für deinen Dienstleistertyp wählen oder frei beginnen.

  2. 2

    Parteien und Verarbeitung erfassen

    Verantwortlichen und Auftragsverarbeiter, Gegenstand, Art und Zweck der Verarbeitung sowie Daten- und Personenkategorien eintragen.

  3. 3

    TOMs und Unterauftragnehmer wählen

    Aus den acht TOM-Kategorien die passenden Maßnahmen auswählen und Unterauftragnehmer samt Standort erfassen.

  4. 4

    Prüfen und exportieren

    Der Compliance-Check zeigt Lücken zu Art. 28. Danach das fertige PDF herunterladen.

Wer das braucht

Selbstständige und Unternehmen, die ein Newsletter- oder Cloud-Tool nutzen.
Agenturen, die im Kundenauftrag Daten verarbeiten und einen AVV brauchen.
Datenschutzbeauftragte, die AVV mit Dienstleistern standardisieren.
Betriebe, die Dienstleister außerhalb der EU einsetzen und SCC prüfen müssen.
Gründer, die ihre Verarbeitungslandschaft DSGVO-konform absichern wollen.

Häufige Fragen

Wann brauche ich einen Auftragsverarbeitungsvertrag?

Immer dann, wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, etwa dein Newsletter-Tool, Cloud-Hoster, Lohnbüro oder Support-System. Art. 28 DSGVO verlangt dafür einen schriftlichen Vertrag mit festem Mindestinhalt. Ohne AVV ist die Verarbeitung formal rechtswidrig und kann Bußgelder auslösen.

Was sind TOMs?

TOMs sind die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, mit denen der Auftragsverarbeiter die Daten schützt. Der Generator gliedert sie in acht Kategorien wie Zutrittskontrolle, Zugriffskontrolle und Verfügbarkeitskontrolle. Für jede wählst du die konkreten Maßnahmen, die dein Dienstleister umsetzt.

Was passiert bei Dienstleistern außerhalb der EU?

Dann liegt ein Drittlandtransfer vor, der einen gültigen Transfermechanismus braucht, etwa einen Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln (SCC). Der Generator erkennt am Standort, ob ein Drittlandbezug besteht, und weist dich auf den nötigen Mechanismus hin, damit der Transfer rechtmäßig bleibt.

Wie werden Unterauftragnehmer behandelt?

Setzt dein Dienstleister selbst weitere Dienstleister ein, muss der AVV das regeln, samt deiner Genehmigung und der Weitergabe der Datenschutzpflichten. Der Generator führt die Unterauftragnehmer als Liste, prüft ihre Standorte auf Drittlandbezug und nimmt sie in den Vertrag auf.

Ersetzt der generierte AVV eine Rechtsberatung?

Nein. Er ist eine solide, DSGVO-orientierte Grundlage für Standardfälle mit gängigen Dienstleistern. Bei heiklen oder komplexen Konstellationen, etwa umfangreichen Drittlandtransfers oder besonderen Datenkategorien, empfiehlt sich die Prüfung durch einen Datenschutzbeauftragten oder Fachanwalt.

Art. 30 DSGVO Helper

Erstelle dein Verarbeitungsverzeichnis nach DSGVO Art. 30. Alle Pflichtangaben, fertig zum Au…

TOMs Generator

Erstelle dein TOMs-Dokument nach DSGVO Art. 32. Fragebogen ausfüllen, PDF herunterladen, fertig.

Löschkonzept Generator

Erstelle ein strukturiertes Löschkonzept. Datenkategorien, Fristen, Methoden - DSGVO-konform.

DSFA Quick-Check

Prüfe ob eine DSFA nach Art. 35 DSGVO erforderlich ist. 12 Fragen, klares Ergebnis.

AGB Generator

Erstelle nach deutschem Recht strukturierte AGB für Onlineshops, Dienstleister, SaaS, Handwer…

Klausel-Tauscher

13 Vertragsklauseln in je 3 Schärfegraden (mild/standard/streng) kombinieren. Risikobewertung…

Bereit für AVV-Generator?

Keine Installation. Zum Loslegen kein Konto nötig. Direkt im Browser öffnen.

Jetzt öffnen