Ein Blick hinein - live
Live-Vorschau. Interaktiv wird es mit deinem Konto.
Was AVV-Generator kann
Der Auftragsverarbeitungsvertrag, kurz AVV, ist eine der am häufigsten übersehenen DSGVO-Pflichten. Überall dort, wo ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, schreibt Art. 28 DSGVO einen schriftlichen Vertrag mit einem festen Mindestinhalt vor. Das betrifft mehr Fälle, als die meisten denken: E-Mail-Marketing, Cloud-Speicher, Buchhaltungssoftware, Support-Systeme, Webhosting. Fehlt der AVV, ist die Verarbeitung formal rechtswidrig und im Ernstfall bußgeldbewehrt.
Der AVV-Generator nimmt dir das Aufsetzen ab. Er führt dich in klaren Schritten durch die Parteien (Verantwortlicher und Auftragsverarbeiter), den Gegenstand und die Art der Verarbeitung, die Kategorien betroffener Personen und Daten, die technischen und organisatorischen Maßnahmen, die Unterauftragnehmer und die rechtlichen Klauseln. Fertige Vorlagen für typische Dienstleisterkonstellationen geben dir einen sinnvollen Ausgangspunkt.
Das Herzstück sind die technischen und organisatorischen Maßnahmen, die TOM nach Art. 32 DSGVO. Der Generator gliedert sie in acht Kategorien, wie sie in der Praxis üblich sind: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und das Trennungsgebot. Für jede Kategorie wählst du die passenden Maßnahmen aus, statt sie aus dem Nichts zu formulieren.
Ein Punkt, an dem viele AVV scheitern, ist der Drittlandtransfer. Sobald ein Dienstleister oder sein Unterauftragnehmer außerhalb der EU sitzt, brauchst du einen gültigen Transfermechanismus - einen Angemessenheitsbeschluss oder Standardvertragsklauseln (SCC). Der Generator erkennt anhand des Standorts, ob ein Drittlandtransfer vorliegt, und weist dich darauf hin, ob und welcher Transfermechanismus nötig ist, damit du das nicht übersiehst.
Unterauftragnehmer werden systematisch geführt. Wenn dein Dienstleister selbst wieder Dienstleister einsetzt, muss der AVV das regeln, samt Genehmigung und der Weitergabe der Pflichten. Der Generator verwaltet die Unterauftragnehmer als Liste, prüft ihre Standorte auf Drittlandbezug und nimmt sie in den Vertrag auf. Dazu gibt es einen Compliance-Check, der abgleicht, ob dein AVV die Kernanforderungen des Art. 28 abdeckt.
Ehrlichkeit gehört dazu: Ein generierter AVV ist eine solide, DSGVO-orientierte Grundlage, aber er ersetzt bei heiklen Konstellationen nicht die Prüfung durch einen Datenschutzbeauftragten oder Fachanwalt. Für die meisten Standardfälle mit gängigen Dienstleistern ist er eine gute Arbeitsgrundlage. Alles läuft datensparsam, das fertige Dokument exportierst du als PDF, bereit zur Unterschrift durch beide Seiten.
Funktionen
Art. 28 DSGVO abgedeckt
Alle Pflichtbestandteile eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO werden geführt, von den Parteien bis zu den Betroffenenrechten.
Acht TOM-Kategorien
Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle plus Trennungsgebot nach Art. 32 DSGVO.
Drittlandtransfer-Prüfung
Der Generator erkennt am Standort einen Drittlandbezug und weist auf den nötigen Transfermechanismus wie SCC hin.
Unterauftragnehmer-Verwaltung
Unterauftragnehmer als Liste führen, ihre Standorte prüfen und sauber in den Vertrag aufnehmen.
Art. 28 Compliance-Check
Ein Abgleich prüft, ob dein AVV die Kernanforderungen des Art. 28 DSGVO abdeckt, bevor du unterschreibst.
PDF-Export
Das fertige Dokument als PDF ausgeben, bereit zur Unterschrift durch Verantwortlichen und Auftragsverarbeiter.
So funktioniert es
- 1
Vorlage wählen
Eine passende Vorlage für deinen Dienstleistertyp wählen oder frei beginnen.
- 2
Parteien und Verarbeitung erfassen
Verantwortlichen und Auftragsverarbeiter, Gegenstand, Art und Zweck der Verarbeitung sowie Daten- und Personenkategorien eintragen.
- 3
TOMs und Unterauftragnehmer wählen
Aus den acht TOM-Kategorien die passenden Maßnahmen auswählen und Unterauftragnehmer samt Standort erfassen.
- 4
Prüfen und exportieren
Der Compliance-Check zeigt Lücken zu Art. 28. Danach das fertige PDF herunterladen.
Wer das braucht
Häufige Fragen
Wann brauche ich einen Auftragsverarbeitungsvertrag?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, etwa dein Newsletter-Tool, Cloud-Hoster, Lohnbüro oder Support-System. Art. 28 DSGVO verlangt dafür einen schriftlichen Vertrag mit festem Mindestinhalt. Ohne AVV ist die Verarbeitung formal rechtswidrig und kann Bußgelder auslösen.
Was sind TOMs?
TOMs sind die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, mit denen der Auftragsverarbeiter die Daten schützt. Der Generator gliedert sie in acht Kategorien wie Zutrittskontrolle, Zugriffskontrolle und Verfügbarkeitskontrolle. Für jede wählst du die konkreten Maßnahmen, die dein Dienstleister umsetzt.
Was passiert bei Dienstleistern außerhalb der EU?
Dann liegt ein Drittlandtransfer vor, der einen gültigen Transfermechanismus braucht, etwa einen Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln (SCC). Der Generator erkennt am Standort, ob ein Drittlandbezug besteht, und weist dich auf den nötigen Mechanismus hin, damit der Transfer rechtmäßig bleibt.
Wie werden Unterauftragnehmer behandelt?
Setzt dein Dienstleister selbst weitere Dienstleister ein, muss der AVV das regeln, samt deiner Genehmigung und der Weitergabe der Datenschutzpflichten. Der Generator führt die Unterauftragnehmer als Liste, prüft ihre Standorte auf Drittlandbezug und nimmt sie in den Vertrag auf.
Ersetzt der generierte AVV eine Rechtsberatung?
Nein. Er ist eine solide, DSGVO-orientierte Grundlage für Standardfälle mit gängigen Dienstleistern. Bei heiklen oder komplexen Konstellationen, etwa umfangreichen Drittlandtransfers oder besonderen Datenkategorien, empfiehlt sich die Prüfung durch einen Datenschutzbeauftragten oder Fachanwalt.
Ähnliche Werkzeuge
Art. 30 DSGVO Helper
Erstelle dein Verarbeitungsverzeichnis nach DSGVO Art. 30. Alle Pflichtangaben, fertig zum Au…
TOMs Generator
Erstelle dein TOMs-Dokument nach DSGVO Art. 32. Fragebogen ausfüllen, PDF herunterladen, fertig.
Löschkonzept Generator
Erstelle ein strukturiertes Löschkonzept. Datenkategorien, Fristen, Methoden - DSGVO-konform.
DSFA Quick-Check
Prüfe ob eine DSFA nach Art. 35 DSGVO erforderlich ist. 12 Fragen, klares Ergebnis.
AGB Generator
Erstelle nach deutschem Recht strukturierte AGB für Onlineshops, Dienstleister, SaaS, Handwer…
Klausel-Tauscher
13 Vertragsklauseln in je 3 Schärfegraden (mild/standard/streng) kombinieren. Risikobewertung…
Bereit für AVV-Generator?
Keine Installation. Zum Loslegen kein Konto nötig. Direkt im Browser öffnen.
Jetzt öffnen