Auftragsverarbeitungs-Vertrag (DSGVO Art. 28)
Der Auftragsverarbeitungs-Vertrag (AVV) ist die nach DSGVO Art. 28 verpflichtende schriftliche Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter über die Verarbeitung personenbezogener Daten.
Definition und Rechtsgrundlage
Der Auftragsverarbeitungs-Vertrag — kurz AVV, im Englischen Data Processing Agreement (DPA) — ist nach Artikel 28 Absatz 3 DSGVO ein gesetzlich vorgeschriebener Vertrag zwischen einem Verantwortlichen (Controller) und einem Auftragsverarbeiter (Processor). Er regelt verbindlich, wie der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet — Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der Daten, Kategorie betroffener Personen sowie die Rechte und Pflichten beider Parteien.
Für Vereine wird der AVV überall dort relevant, wo personenbezogene Mitglieder-, Spender- oder Veranstaltungsdaten an externe Dienstleister übermittelt werden: Vereinssoftware-Anbieter, E-Mail-Versanddienstleister (Newsletter), Online-Bezahldienstleister, externe Buchhaltung, Cloud-Speicher. Wird kein AVV abgeschlossen oder enthält dieser nicht alle Pflicht-Inhalte, drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) — auch für ehrenamtlich geführte Vereine.
Seit Juni 2021 existiert ein offizielles EU-Standardvertragsmuster (Standard Contractual Clauses), das viele Anbieter direkt verwenden. Bei Sub-Auftragsverarbeitern (z. B. Cloud-Hosting des Anbieters) muss der Auftragsverarbeiter den Verantwortlichen vorab informieren und Einspruchsrechte einräumen. Übermittlungen in Drittländer ohne Angemessenheitsbeschluss (außerhalb EU/EWR) erfordern zusätzliche Garantien — seit dem EU-US Data Privacy Framework von Juli 2023 ist eine Übermittlung in die USA an zertifizierte Empfänger wieder zulässig.
Pflicht-Inhalte eines AVV nach DSGVO Art. 28 Abs. 3
- Gegenstand und Dauer der Verarbeitung sowie Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit oder gesetzliches Geheimnis
- Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO als Anlage — Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Belastbarkeit
- Regelung zu Sub-Auftragsverarbeitern: vorherige schriftliche Zustimmung oder Liste mit Einspruchsrecht
- Unterstützung des Verantwortlichen bei Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit)
- Löschung oder Rückgabe der Daten nach Vertragsende sowie Nachweispflicht über Einhaltung
AVV mit verein.xhub: in 30 Sekunden unterzeichnet
verein.xhub stellt den AVV mit dem Verein automatisch beim ersten Login bereit — vorausgefüllt mit Vereinsname, Vereinssitz, Anschrift und Vorstandsdaten aus dem Onboarding. Unterzeichnet wird per Klick (qualifizierte elektronische Signatur nach eIDAS); das fertige PDF liegt im Vereinsdokumente-Ordner zum Abruf für Datenschutzbeauftragte und Behörden.
TOM-Anlage und Sub-Auftragsverarbeiter-Liste werden mit dem AVV ausgeliefert: Hosting in deutschem Rechenzentrum nach BSI-C5, Verschlüsselung at-rest mit AES-256 und in-transit mit TLS 1.3, Zwei-Faktor-Authentifizierung, dokumentierte Datenschutz-Folgenabschätzung. Bei Änderungen der Sub-Liste — etwa beim Wechsel des E-Mail-Versanddienstleisters — werden Vereine 30 Tage vor Wirksamwerden informiert und können Einspruch einlegen, wie es Art. 28 Abs. 2 DSGVO verlangt.