verein.xhub Logoverein.xhub
Zurück zu allen Ressourcen
Vertrag

AVV-Mustervertrag nach DSGVO Art. 28

Mustervertrag zur Auftrags­verarbeitung für Vereine – einsetzbar gegenüber Vereins­software-Anbietern, Mail­diensten, Cloud-Speichern und Buchhaltungs­büros. Inklusive TOM-Anlage (Technische und Organisatorische Maßnahmen), Sub­unternehmer-Liste und Lösch- und Rückgabe-Konzept. Stand April 2026.

AVV-Vertrag als PDF

16 Seiten inklusive TOM-Anlage und Sub-Liste, druckbar.

Was steckt drin?

  • Vertrags­parteien-Block – Verein als Verantwortlicher, Dienst­leister als Auftrags­verarbeiter. Pflicht­angaben nach Art. 28 Abs. 3 DSGVO.
  • Gegenstand und Dauer – konkrete Beschreibung der Verarbeitung („Mitgliederdaten in der SaaS-Vereinssoftware“) und der Vertrags­laufzeit.
  • Art und Zweck der Verarbeitung – etwa „Speicherung, Anzeige, Sortierung von Mitglied­schafts­daten zwecks Vereins­verwaltung“.
  • Daten­arten und Personen­kategorien – Stamm­daten, Bank­verbindungen, Foto­dateien; Mitglieder, Spender, Mitarbeiter.
  • TOM-Anlage – Technische und Organisatorische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffs­kontrolle, Backups, Wieder­herstellbar­keit, Belastbar­keit.
  • Sub­unternehmer-Liste – Hosting-Provider, Mail-Provider, Backup-Anbieter mit Sitz­ort und Subprozessor-Status.
  • Lösch- und Rückgabe-Konzept – Was passiert nach Vertrags­ende mit den Daten? Export plus Löschung mit Bestätigung.

So füllst du den Vertrag aus

  1. Vertrags­parteien eintragen. Vereinsname als Verantwortlicher, Dienst­leister mit voll­ständigem Namen und Sitz. Bei US-Anbietern (Google, Microsoft, Stripe) zusätzlich Standard­vertrags­klauseln SCC 2021 anhängen.
  2. Gegen­stand der Verarbeitung präzisieren. Nicht generisch („Datenverarbeitung“), sondern konkret („Mitgliederdaten, Beitrags­verarbeitung, Newsletter-Versand“). Je präziser, desto besser bei Behörden­prüfung.
  3. TOM-Anlage prüfen. Der Dienst­leister muss konkrete Maßnahmen belegen: TLS-Verschlüsselung, Backup-Zyklen, Mitarbeiter­schulung. Wenn euch der Anbieter nur einen Standard­text vorlegt, fragt nach Zertifizierungen (ISO 27001, C5).
  4. Sub­unternehmer dokumentieren. Jeder Subprozessor mit Sitz­ort und Funktion. Ihr habt nach Art. 28 Abs. 2 das Recht, neuen Subprozessoren zu widersprechen – schriftlich auf den AVV-Hinweis reagieren.
  5. Beidseitig unterschreiben und archivieren. Der AVV ist Bestand­teil eures Verzeichnisses der Verarbeitungs­tätigkeiten (Art. 30 DSGVO) und muss auf Verlangen der Aufsichts­behörde vorgelegt werden – Aufbewahrung mindestens für die Dauer der Verarbeitung plus drei Jahre.

Wer braucht einen AVV?

Ihr braucht einen Auftrags­verarbeitungs­vertrag mit jedem Dienst­leister, der personen­bezogene Daten in eurem Auftrag verarbeitet. Häufig vergessen:

  • Vereins­software-Anbieter – wenn die Mitglieder­daten in der Cloud des Anbieters liegen. Auch wenn ihr „nur“ ein Online-Tool nutzt.
  • E-Mail-Marketing – Mailchimp, Brevo, Cleverreach. Ihr übergebt Mitglieder-E-Mails, der Anbieter versendet im euren Auftrag.
  • Cloud-Speicher – Google Drive, Dropbox, OneDrive, wenn ihr dort Mitglieder­dokumente ablegt.
  • Steuer­berater und Buch­haltungs­büros – AVV in der Regel überflüssig, weil sie nach §11 BDSG/§203 StGB als „eigen­verantwortliche Berufs­geheimnis­träger“ gelten. Trotzdem viele Berater bieten standardmäßig einen AVV an – kann man unterschreiben.
  • Hosting-Provider der Vereins-Website – wenn Anmelde- oder Kontakt­formulare zum Provider übermittelt werden, ist AVV Pflicht.
  • Druck­dienst­leister – wenn ihr Vereinszeitung oder Mitglieder­ausweise außer Haus drucken lasst und die Adress­daten übergebt.

Kein AVV nötig bei Banken (eigen­verantwortlich nach KWG), Postdienst­leistern (Briefgeheimnis), Telekommunikations­anbietern (TKG) – diese verarbeiten Daten eigen­verantwortlich, nicht im euren Auftrag.

TOM-Anlage konkret formulieren

Die Anlage „Technische und Organisatorische Maßnahmen“ ist der wertvollste Teil des AVV. Sie muss konkret beschreiben, wie der Auftrags­verarbeiter die Datensicherheit gewährleistet. Eine pauschale Aussage „angemessene Maßnahmen“ reicht nicht – die TOM müssen mindestens die folgenden acht Bereiche abdecken:

  • Vertraulichkeit – Zutritts­kontrolle (Schließanlage, Schlüssel­karten), Zugangs­kontrolle (Passwort­richtlinie, Zwei-Faktor-Authentifizierung), Zugriffs­kontrolle (Berechtigungs­konzept, Vier-Augen-Prinzip).
  • Pseudonymisierung und Verschlüsselung – TLS 1.2 oder höher bei Datenübertragung, AES-256 bei Speicherung, separate Schlüssel­verwaltung. Bei Backups: Verschlüsselung am Ruheplatz.
  • Integrität – Eingabe­kontrolle (Audit-Logs), Weitergabe­kontrolle (verschlüsselte Verbindungen), Auftrags­kontrolle (Doku­mentation der Auftrags­ausführung).
  • Verfügbarkeit und Belastbarkeit – Backup-Konzept (Frequenz, Aufbewahrung), Disaster-Recovery-Plan, Hochverfügbarkeit (SLA, redundante Systeme), regel­mäßige Wieder­herstellungs­tests.
  • Verfahren zur regel­mäßigen Überprüfung – Penetration-Tests, Code-Audits, externe ISO 27001 oder C5-Zertifizierung.
  • Datenschutz-Schulung des Personals – jährliche Schulung, Verpflichtung auf das Daten­geheimnis, dokumentierte Teilnahme.
  • Trennung der Verarbeitung – Mandanten­fähigkeit (jeder Verantwortliche sieht nur eigene Daten), getrennte Test- und Produktiv-Systeme.
  • Auftragskontrolle und Sub-Auftragnehmer – schriftlicher Vertrag mit jedem Sub-Auftragnehmer mit gleichwertigem Schutz­niveau, jährliche Liste, Informations­pflicht bei Änderungen.

Ein guter Anbieter legt die TOM proaktiv vor und aktualisiert sie mindestens jährlich. Sind die TOM nur ein PDF aus 2018, ist das ein Warnsignal – dann zur Konkurrenz wechseln oder schriftlich Aktualisierung verlangen.

Rechtliche Hinweise

Der Auftrags­verarbeitungs­vertrag ist seit DSGVO 2018 verpflichtend. Ohne wirksamen AVV ist die Daten­übergabe an den Dienst­leister rechtswidrig. Konsequenzen:

  • Art. 28 DSGVO – Pflicht­bestand­teile des AVV: Gegenstand, Dauer, Art und Zweck, Daten­arten, Pflichten und Rechte des Verantwortlichen, TOM, Sub­unternehmer-Regelung, Lösch-Konzept, Audit-Recht.
  • Art. 30 DSGVO – jeder AVV ist im Verzeichnis der Verarbeitungs­tätigkeiten zu erfassen.
  • Art. 32 DSGVO – Sicherheit der Verarbeitung; die TOM müssen „dem Stand der Technik“ entsprechen. „Wir machen Backups“ reicht nicht – die Backups müssen verschlüsselt, getrennt vom Live-System und regelmäßig getestet sein.
  • Art. 33 DSGVO – 72-Stunden-Melde­pflicht bei Datenpannen. Im AVV regeln, wie der Auftrags­verarbeiter euch Pannen meldet (in der Regel innerhalb von 24 Stunden, damit ihr eure 72-Stunden-Frist halten könnt).
  • Art. 83 Abs. 4 DSGVO – Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahres­umsatzes bei AVV-Verstößen. Für Vereine in der Praxis selten, aber Verbands­abmahnungen sind möglich.
Wichtig: Ein AVV ist keine Pauschal-Lösung. Wenn ein Dienst­leister euch nur einen Standard-AVV vorlegt, prüft die TOM-Anlage konkret – pauschale Sätze wie „der Auftrags­verarbeiter trifft angemessene technische Maßnahmen“ sind unzureichend. Konkretisiert mit Zertifizierungen, Backup-Frequenz und Verschlüsselungs­standard.

AVV beim Onboarding bereit

verein.xhub legt euch direkt beim Onboarding einen vollständigen AVV vor – signiert ist er in unter zwei Minuten. Hosting in Deutschland, ISO-27001-zertifizierte Rechen­zentren.