Auftragsverarbeitung (AVV)
Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Für jede solche Verarbeitung ist nach Art. 28 DSGVO ein Auftragsverarbeitungsvertrag (AVV) erforderlich.
In der Praxis betrifft das fast jede Website: Wer Google Analytics, Mailchimp, einen externen Hoster oder ein Cloud-CMP nutzt, gibt personenbezogene Daten an Dritte weiter – und braucht einen AVV mit jedem dieser Anbieter.
Typische Auftragsverarbeiter
- Analytics-Anbieter – Google, Adobe, Matomo Cloud
- CMP-Anbieter – Cookiebot, Usercentrics, OneTrust
- Hosting-Anbieter – Hetzner, AWS, Strato
- E-Mail-Dienste – Mailchimp, Brevo, CleverReach
Was prüft exatics?
exatics erkennt automatisch, welche externen Dienste auf Ihrer Website aktiv sind. Aus dieser Liste können Sie ableiten, mit welchen Anbietern Sie einen AVV benötigen.
In der Praxis
Für Website-Betreiber sind AVVs besonders relevant bei der Nutzung von Analytics-Diensten, Newsletter-Tools, Cloud-Hosting und CRM-Systemen. Auch Self-Hosted-Lösungen wie Matomo können einen AVV erfordern — nämlich dann, wenn der Hosting-Provider als Auftragsverarbeiter fungiert. Tipp: Viele SaaS-Anbieter stellen AVVs als Standarddokument im Account-Bereich bereit.
Häufige Fragen zu Auftragsverarbeitung (AVV)
Wann brauche ich einen AVV?
Sobald ein externer Dienstleister personenbezogene Daten Ihrer Nutzer verarbeitet – z. B. Analytics-Tools, Newsletter-Dienste, Cloud-Hosting oder CDN-Anbieter.
Was muss in einem AVV stehen?
Art und Zweck der Verarbeitung, Dauer, Art der Daten, Kreis der Betroffenen, technisch-organisatorische Maßnahmen (TOMs) und Weisungsrechte des Auftraggebers.
Brauche ich für Google Analytics einen AVV?
Ja. Google stellt einen Standard-AVV bereit, der in den Kontoeinstellungen aktiviert werden muss. Ohne AVV ist der Einsatz von GA4 ein DSGVO-Verstoß.
Verwandte Begriffe
Ausführlicher Ratgeber: Matomo datenschutzkonform einrichten