Auftragsverarbeitungsvertrag 2026: AVV richtig prüfen
Rechtsanwalt
Zuletzt aktualisiert
• 18 Min Lesezeit
Das Wichtigste in Kürze
- Wer braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO?
- Jedes Unternehmen, das Cloud-Dienste, externe IT oder Lohnabrechnung nutzt, braucht einen Auftragsverarbeitungsvertrag (AVV) mit den verbindlichen Pflichtinhalten aus Art. 28 Abs. 3 DSGVO.
- Wie hoch sind die Bußgelder ohne AVV?
- Ohne wirksamen AVV drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) – plus Schadensersatzansprüche Betroffener.
- Was fordert der BGH zur Kontrolle des Auftragsverarbeiters?
- Der BGH stellt klar: Verantwortliche dürfen nicht blind auf Zusagen des Auftragsverarbeiters vertrauen, sondern müssen dessen Pflichterfüllung aktiv kontrollieren. Andernfalls haftet das Unternehmen für entstandene Schäden.
Individuelle Prüfung
Jeder Fall ist speziell. Lassen Sie uns Ihren Sachverhalt unverbindlich prüfen.
Wer personenbezogene Daten durch externe Dienstleister verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag.
Ohne diesen Vertrag drohen Bußgelder bis zu zehn Millionen Euro, Schadensersatzansprüche betroffener Personen und der Verlust der eigenen Datenschutz-Compliance.
Trotzdem fehlt der AVV in der Praxis erstaunlich oft - oder er entspricht nicht den gesetzlichen Mindestanforderungen. Die Einzelheiten dazu behandelt unser Ratgeber zu Mitarbeiterschulung nach DSGVO.
Dieser Ratgeber beantwortet drei Fragen:
- Wann ist ein Auftragsverarbeitungsvertrag nach der DSGVO erforderlich - und wann nicht?
- Welche Mindestinhalte muss ein AVV enthalten und welche Fehler passieren dabei am häufigsten?
- Welche Konsequenzen drohen ohne AVV und wie schützen sich Unternehmen wirksam?
Was genau ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag ist eine verbindliche Vereinbarung zwischen einem Verantwortlichen und einem externen Dienstleister, der in dessen Auftrag personenbezogene Daten verarbeitet.
Der AVV regelt, unter welchen Bedingungen die Datenverarbeitung stattfindet, und stellt sicher, dass beide Seiten ihre Pflichten nach der DSGVO einhalten.
In der Praxis begegnet der AVV Unternehmen regelmäßig: beim Einsatz von Cloud-Diensten, bei der Auslagerung der Lohnabrechnung, beim Newsletter-Versand über externe Anbieter oder bei der Zusammenarbeit mit IT-Dienstleistern.
Rechtsgrundlage und Einordnung
Art. 28 DSGVO ist die zentrale Vorschrift für Auftragsverarbeitungsverträge. Sie verpflichtet den Verantwortlichen, nur solche Auftragsverarbeiter einzusetzen, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
Erwägungsgrund 81 der DSGVO konkretisiert diese Pflicht: Der Verantwortliche soll nur Auftragsverarbeiter heranziehen, die insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen hinreichende Garantien bieten.
Der AVV ist dabei kein fakultatives Zusatzdokument, sondern eine gesetzliche Pflicht.
Er muss schriftlich oder in elektronischem Format vorliegen, bevor die Datenverarbeitung beginnt.
Eine mündliche Vereinbarung reicht nicht aus.
Allerdings - und das ist eine häufige Fehlvorstellung - akzeptiert die DSGVO ausdrücklich elektronische Formate.
Ein AVV kann also per elektronischer Signatur oder sogar durch Zustimmung zu Online-Vertragsbedingungen geschlossen werden.
Die Einzelheiten dazu behandelt unser Ratgeber zu Datenschutz-Audit.
Nach Art. 28 Abs. 9 DSGVO ist der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter schriftlich abzufassen, wobei dies auch in einem elektronischen Format erfolgen kann.
Ein wichtiger Unterschied zum früheren deutschen Datenschutzrecht: Die DSGVO hat die alte Kategorie der “Funktionsübertragung” abgeschafft.
Früher unterschied das BDSG zwischen einer weisungsgebundenen Auftragsdatenverarbeitung und einer eigenverantwortlichen Funktionsübertragung.
Seit Mai 2018 gibt es nur noch die klare Zweiteilung: Auftragsverarbeitung nach Art. 28 DSGVO oder gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Die Einzelheiten dazu behandelt Details zu Auskunftsanspruch.
Abgrenzung: AVV, ADV und gemeinsame Verantwortlichkeit
Die Begriffe AVV und ADV sorgen regelmäßig für Verwirrung.
Deutlich wichtiger ist die Abgrenzung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.
Der Europäische Datenschutzausschuss hat in seinen Leitlinien 07/2020 (Version 2.1 vom 20. September 2022) klargestellt, dass die Einordnung als Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher funktional zu beurteilen ist - anhand der tatsächlichen Kontrolle über Zwecke und Mittel, nicht anhand der formalen Vertragsbezeichnung.
Konkret: Wenn der Dienstleister die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, liegt Auftragsverarbeitung vor.
Wenn beide Seiten gemeinsam über den Zweck der Verarbeitung entscheiden, handelt es sich um gemeinsame Verantwortlichkeit - und statt eines AVV braucht es eine Vereinbarung nach Art. 26 DSGVO.
| Kriterium | Auftragsverarbeitung (Art. 28) | Gemeinsame Verantwortlichkeit (Art. 26) | Eigenverantwortliche Verarbeitung |
|---|---|---|---|
| Wer bestimmt den Zweck? | Nur der Verantwortliche | Beide gemeinsam | Jeder selbst |
| Wer bestimmt die Mittel? | Verantwortlicher (essentielle), AV darf nicht-essentielle bestimmen | Beide gemeinsam | Jeder selbst |
| Weisungsbindung | Ja - AV handelt nur auf Weisung | Nein - beide entscheiden mit | Nein |
| Vertraglicher Rahmen | AVV nach Art. 28 DSGVO | Vereinbarung nach Art. 26 DSGVO | Ggf. normaler Dienstvertrag |
| Typisches Beispiel | Cloud-Hosting, Newsletter-Versand | Gemeinsames Marketing, Facebook-Fanpage | Steuerberater, Rechtsanwalt |
Warum der AVV gerade jetzt besonders relevant ist
Die Anforderungen an Auftragsverarbeitungsverträge sind in den vergangenen Monaten deutlich gestiegen. Zwei Entwicklungen treiben diese Verschärfung:
Neue Leitentscheidung zu Kontrollpflichten
Der Bundesgerichtshof hat in seinem Urteil vom 11. November 2025 (Az. VI ZR 396/24) die Kontrollpflichten des Verantwortlichen erheblich verschärft. Die Überwachungspflicht endet demnach nicht mit dem Abschluss eines AVV - der Verantwortliche muss aktiv Löschbestätigungen einholen und die Einhaltung der vertraglichen Pflichten laufend kontrollieren.
Gleichzeitig hat das EU-US Data Privacy Framework die Transferlandschaft verändert.
Seit Juli 2023 können Daten an zertifizierte US-Unternehmen ohne zusätzliche Standardvertragsklauseln übermittelt werden.
Der AVV selbst bleibt aber in jedem Fall erforderlich - das Framework ersetzt ihn nicht.
Für Unternehmen bedeutet das: Bestehende AVVs müssen auf die neue Rechtsprechung geprüft werden. Insbesondere Regelungen zur Löschung, zur Kontrolle von Unterauftragsverarbeitern und zu Audit-Rechten verdienen eine kritische Durchsicht.
Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Ein AVV ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Entscheidend ist nicht die Art der Daten oder die Größe des Unternehmens, sondern allein die Frage, ob eine weisungsgebundene Verarbeitung personenbezogener Daten durch einen Dritten stattfindet.
Typische Fälle der Auftragsverarbeitung
Im Unternehmensalltag gibt es zahlreiche Konstellationen, die einen AVV erfordern. Die häufigsten Fälle im Überblick:
-
Das gilt für große Hyperscaler ebenso wie für kleinere Hosting-Provider. Der Hoster verarbeitet die Daten technisch im Auftrag des Kunden und hat dabei Zugriff auf den Datenbestand.
Cloud-Hosting und Infrastruktur. Wer Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten bei einem Cloud-Anbieter speichert, benötigt einen AVV.
- Newsletter-Versand und E-Mail-Marketing. E-Mail-Marketing-Plattformen verarbeiten E-Mail-Adressen und Nutzungsstatistiken im Auftrag. Ein AVV ist hier zwingend erforderlich - unabhängig davon, ob der Anbieter bereits einen Standardvertrag anbietet.
- CRM- und ERP-Systeme. Wenn Kundendaten in einem extern gehosteten CRM gespeichert werden, liegt Auftragsverarbeitung vor. Gleiches gilt für cloud-basierte ERP-Systeme, die Mitarbeiterdaten oder Lieferantendaten enthalten.
- Externe Lohn- und Gehaltsabrechnung. Ein klassischer Fall: Das Unternehmen übergibt Mitarbeiterdaten an einen externen Lohnabrechnungsdienstleister. Dieser verarbeitet die Daten weisungsgebunden - ein AVV ist Pflicht.
- IT-Wartung und Fernzugriff. Sobald ein IT-Dienstleister per Fernwartung auf Systeme zugreift, die personenbezogene Daten enthalten, liegt in der Regel Auftragsverarbeitung vor. Das gilt auch dann, wenn der Dienstleister die Daten nicht aktiv nutzt, sondern nur technisch Zugang hat.
- Website-Analyse und Tracking. Web-Analyse- und Tracking-Tools verarbeiten Nutzerdaten im Auftrag des Website-Betreibers. Auch hier ist ein AVV erforderlich.
Wann liegt keine Auftragsverarbeitung vor?
Nicht jeder externe Dienstleister, der mit personenbezogenen Daten in Berührung kommt, ist Auftragsverarbeiter. In folgenden Fällen besteht keine AVV-Pflicht:
-
Sie unterliegen eigenen berufsrechtlichen Pflichten und handeln nicht weisungsgebunden.
Berufsgeheimnisträger mit eigenem Verantwortungsbereich. Steuerberater und Rechtsanwälte verarbeiten Mandantendaten eigenverantwortlich.
- Postdienstleister und Kurierdienste. Die reine Beförderung von Briefen oder Paketen stellt keine Auftragsverarbeitung dar. Der Postdienstleister verarbeitet die Adressdaten für die Zustellung auf Basis eigener gesetzlicher Verpflichtungen.
- Reinigungsunternehmen. Obwohl Reinigungskräfte theoretisch Zugang zu Dokumenten haben könnten, verarbeiten sie keine personenbezogenen Daten im Auftrag. Hier genügen organisatorische Maßnahmen wie Zugangsregelungen.
- Banken und Zahlungsdienstleister. Banken führen Überweisungen auf Basis eigener regulatorischer Pflichten durch. Sie sind keine Auftragsverarbeiter, sondern eigenverantwortliche Stellen.
Die Datenschutzkonferenz hat in ihrem Kurzpapier Nr. 13 vom 16. Januar 2018 klargestellt, dass die frühere Figur der Funktionsübertragung in der DSGVO nicht vorgesehen ist. Für die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter ist insbesondere die funktionale Betrachtung maßgeblich, etwa wer über Verarbeitungszwecke entscheidet und ob der Dienstleister weisungsgebunden handelt.
Entscheidungshilfe: Brauche ich für diesen Dienstleister einen AVV?
Die Abgrenzung ist in der Praxis nicht immer eindeutig. Die folgende Tabelle hilft bei der Einordnung typischer Dienstleister:
| Dienstleister | AVV erforderlich? | Begründung |
|---|---|---|
| Cloud-Hosting-Anbieter | Ja | Daten werden im Auftrag gespeichert und technisch verarbeitet |
| Newsletter- und E-Mail-Marketing-Tool | Ja | E-Mail-Adressen und Nutzungsdaten werden im Auftrag verarbeitet |
| Externer Lohnabrechnungsdienst | Ja | Mitarbeiterdaten werden weisungsgebunden verarbeitet |
| IT-Fernwartung mit Systemzugriff | Ja | Technischer Zugang zu personenbezogenen Daten |
| Google Analytics / Tracking-Tools | Ja | Nutzerdaten werden im Auftrag erhoben und ausgewertet |
| Aktenvernichtung / Datenträgerentsorgung | Ja | Personenbezogene Daten werden im Auftrag vernichtet |
| Steuerberater | Nein | Eigenverantwortliche Tätigkeit mit berufsrechtlicher Bindung |
| Rechtsanwalt | Nein | Eigenverantwortliche Tätigkeit mit berufsrechtlicher Bindung |
| Reinigungsfirma | Nein | Keine Datenverarbeitung im Auftrag |
| Bank / Zahlungsdienstleister | Nein | Eigenverantwortliche Verarbeitung auf regulatorischer Basis |
| Freelancer (Webdesign mit CMS-Zugriff) | Kommt drauf an | AVV nötig, wenn Zugriff auf personenbezogene Daten im CMS |
| Marketing-Agentur | Kommt drauf an | AVV bei Newsletter-Versand ja, bei reiner Strategieberatung nein |
Sonderfall: Freelancer und Agenturen in der Doppelrolle
Freelancer und Agenturen stehen häufig vor einer besonderen Herausforderung: Sie sind in einer Kundenbeziehung Auftragsverarbeiter, in einer anderen selbst Verantwortlicher - und manchmal beides gleichzeitig.
Ein typisches Beispiel: Eine Marketing-Agentur betreut den Newsletter eines Kunden.
Diese Doppelrolle erfordert eine saubere vertragliche Abbildung in beide Richtungen. Wer hier unsauber arbeitet, riskiert Haftungslücken in beide Richtungen.
Die Abgrenzung wird noch schwieriger, wenn Freelancer oder Agenturen eigene Entscheidungen über die Datenverarbeitung treffen.
Die Pflichtinhalte eines AVV nach der DSGVO
Ein AVV muss bestimmte Mindestinhalte regeln.
Die zehn Mindestanforderungen im Überblick
Art. 28 Abs. 3 DSGVO verlangt, dass der Auftragsverarbeitungsvertrag Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt.
Darüber hinaus muss der AVV acht konkrete Pflichten des Auftragsverarbeiters regeln:
| Pflichtinhalt | Was konkret geregelt sein muss | Häufiger Fehler |
|---|---|---|
| Gegenstand und Dauer | Welche Verarbeitungstätigkeiten, für welchen Zeitraum | Zu pauschale Beschreibung ohne Bezug zur konkreten Dienstleistung |
| Art und Zweck | Welche Datenarten zu welchem Zweck | Fehlende Zuordnung der Zwecke zu den einzelnen Verarbeitungen |
| Datenkategorien | Welche Arten personenbezogener Daten betroffen sind | Besondere Kategorien nach Art. 9 DSGVO vergessen |
| Betroffene Personen | Kunden, Mitarbeiter, Websitebesucher etc. | Zu eng gefasst - z.B. nur Kunden, obwohl auch Mitarbeiterdaten fliessen |
| Weisungsbindung | AV verarbeitet nur auf dokumentierte Weisung | Keine Regelung für den Fall rechtswidriger Weisungen |
| Vertraulichkeit | Verpflichtung aller befugten Personen | Nur allgemeiner Verweis, keine konkrete Vereinbarung |
| TOM nach Art. 32 DSGVO | Konkrete technisch-organisatorische Maßnahmen | Generische Standardliste ohne Bezug zur konkreten Verarbeitung |
| Unterauftragsverarbeitung | Genehmigungserfordernis, Informationspflicht | Fehlende oder veraltete Liste der Unterauftragsverarbeiter |
| Betroffenenrechte-Support | Technische und organisatorische Hilfe | Keine konkreten Fristen oder Prozesse definiert |
| Löschung oder Rückgabe | Datenhandling nach Vertragsende | Keine Frist, keine Löschbestätigung vorgesehen |
| Audit-Rechte | Recht auf Inspektionen und Überprüfungen | Audit auf Selbstauskünfte beschränkt |
Technisch-organisatorische Maßnahmen richtig dokumentieren
Die Dokumentation der technisch-organisatorischen Maßnahmen (TOM) ist der Punkt, an dem in der Praxis die meisten Fehler passieren. Das liegt daran, dass viele Unternehmen die TOM als bürokratische Pflicht betrachten und nicht als echtes Sicherheitsinstrument.
Art. 32 Abs. 1 DSGVO verlangt, dass Verantwortlicher und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos geeignete technische und organisatorische Maßnahmen treffen.
Konkret bedeutet das: Die TOM müssen zum Risiko der jeweiligen Verarbeitung passen.
Ein Newsletter-Dienstleister braucht andere Maßnahmen als ein Cloud-Anbieter, der Gesundheitsdaten verarbeitet. Genau hier liegt das Problem mit Standardvorlagen - sie bieten oft eine generische Checkliste, die weder zum konkreten Dienstleister noch zur spezifischen Verarbeitung passt.
Gute TOM-Dokumentation umfasst mindestens vier Bereiche:
- Vertraulichkeit: Zugangskontrollen, Berechtigungskonzepte, Verschlüsselung
- Integrität: Eingabekontrollen, Transportverschlüsselung, Protokollierung
- Verfügbarkeit: Backup-Konzepte, Redundanz, Notfallpläne
- Belastbarkeit: Skalierbarkeitsmaßnahmen, DDoS-Schutz, Kapazitätsplanung
Der risikobasierte Ansatz bedeutet auch: Die TOM müssen regelmäßig überprüft und aktualisiert werden.
Ein AVV, dessen TOM-Anlage seit drei Jahren unverändert ist, genügt den Anforderungen wahrscheinlich nicht mehr.
Unterauftragsverarbeiter: Genehmigung, Kontrolle, Haftung
Die Regelung zur Unterauftragsverarbeitung ist eines der komplexesten Themen im AVV. In der Praxis nutzen die meisten Auftragsverarbeiter selbst weitere Dienstleister - sogenannte Unterauftragsverarbeiter oder Sub-Processor.
Art. 28 Abs. 2 DSGVO verbietet dem Auftragsverarbeiter, ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen einen weiteren Auftragsverarbeiter einzusetzen. Bei allgemeiner Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung informieren und ihm die Möglichkeit geben, Einspruch zu erheben.
In der Praxis haben sich zwei Modelle etabliert:
-
Dieses Modell bietet maximale Kontrolle, ist aber bei großen Cloud-Anbietern mit dutzenden Sub-Processorn kaum praktikabel.
Einzelgenehmigung: Der Verantwortliche muss jedem einzelnen Unterauftragsverarbeiter vorab zustimmen.
- Allgemeine Genehmigung mit Widerspruchsrecht: Der Verantwortliche stimmt der Unterauftragsverarbeitung grundsätzlich zu. Der Auftragsverarbeiter informiert ihn über Änderungen und gibt ihm die Möglichkeit, innerhalb einer bestimmten Frist zu widersprechen.Dieses Modell ist bei SaaS-Anbietern der Standard.
Art. 28 Abs. 4 DSGVO verlangt, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden wie dem Auftragsverarbeiter im ursprünglichen AVV. Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen.
Veraltete Subprocessor-Listen als Risikofaktor
Große SaaS-Anbieter ändern ihre Sub-Processor regelmäßig - und nicht jeder Verantwortliche bemerkt die Änderungsbenachrichtigung. Wer den Überblick verliert, riskiert, dass personenbezogene Daten an Dienstleister fliessen, die nie genehmigt wurden. Praxis-Tipp: Kalender-Erinnerung für die quartalsweise Prüfung der Subprocessor-Listen einrichten.
Warum Standardvorlagen oft nicht ausreichen
Eine der hartnäckigsten Fehlvorstellungen: “Mein SaaS-Anbieter hat einen Standard-AVV, der reicht schon.” In der Praxis stimmt das nur bedingt.
Standard-AVVs großer Anbieter wie Google, Microsoft oder Amazon sind juristisch solide formuliert. Sie decken die formalen Anforderungen in der Regel ab. Das Problem liegt woanders: Standard-AVVs sind einseitig zugunsten des Anbieters formuliert. Audit-Rechte werden häufig auf Selbstauskünfte oder Zertifikate beschränkt. Haftungsregelungen bevorzugen den Anbieter. Und die TOM-Anlage ist oft generisch gehalten, ohne Bezug zur konkreten Verarbeitung des jeweiligen Kunden.
Für viele KMU reicht der Standard-AVV trotzdem - weil sie keine Verhandlungsmacht haben und die Alternative wäre, den Dienst nicht zu nutzen. In komplexeren Konstellationen - etwa bei Verarbeitung besonderer Datenkategorien, bei mehrstufigen Unterauftragsverarbeiterketten oder bei Drittlandtransfers - lohnt sich eine individuelle Anpassung aber deutlich.
Die Datenschutzkonferenz hat für solche Fälle ein offizielles Muster veröffentlicht, das als Ausgangspunkt für individuelle AVVs dienen kann.
Auch der Bitkom hat im November 2025 aktualisierte Praxisleitfäden zur Auftragsverarbeitung herausgegeben, die branchenspezifische Formulierungshilfen enthalten.
Drittlandtransfer und internationale AVV-Anforderungen
Sobald personenbezogene Daten an einen Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums übermittelt werden, kommen neben dem AVV zusätzliche Anforderungen hinzu.
Der AVV allein reicht für internationale Datentransfers nicht aus - er muss durch geeignete Transferinstrumente ergänzt werden.
Zusammenspiel von AVV und Standardvertragsklauseln
Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind das in der Praxis am häufigsten eingesetzte Instrument für Datentransfers in Drittländer.
Der Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 legt Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer fest. Modul 2 (Controller-to-Processor) und Modul 3 (Processor-to-Processor) sind für die Auftragsverarbeitung relevant.
Wichtig ist das Verhältnis zwischen AVV und SCC: Die SCC ersetzen den AVV nicht.
Vielmehr ergänzen sie ihn um die Transferkomponente. In der Praxis werden die SCC oft als Anlage zum AVV vereinbart. Beide Dokumente müssen konsistent sein - widersprüchliche Regelungen in AVV und SCC sind ein häufiger Fehler.
Daneben hat die EU-Kommission mit dem Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 eigene Standardvertragsklauseln speziell für das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern nach Art. 28 Abs. 7 DSGVO bereitgestellt, die auch ohne Drittlandbezug verwendet werden können.
Auswirkungen des EU-US Data Privacy Framework
Seit dem 10.
Transfers an zertifizierte US-Unternehmen benötigen keine SCC mehr.
Der AVV selbst bleibt aber weiterhin erforderlich.
Für nicht-zertifizierte US-Unternehmen gelten die bisherigen Anforderungen unverändert: SCC plus ergänzende Maßnahmen.
In der Praxis bedeutet das: Vor jedem Datentransfer in die USA muss geprüft werden, ob der konkrete Dienstleister auf der Zertifizierungsliste des US-Handelsministeriums steht.
Wann ist eine Risikoanalyse bei Drittlandtransfers nötig?
Der Europäische Datenschutzausschuss hat in seinen Empfehlungen 01/2020 (Version 2.0 vom 18. Juni 2021) vorgegeben, dass der Datenexporteur bei Transfers auf Basis von Standardvertragsklauseln prüfen muss, ob das Recht und die Praxis des Drittlandes den Schutz der übermittelten Daten beeinträchtigen könnten.
Dieses Transfer Impact Assessment (TIA) ist bei jedem Transfer in ein Drittland ohne Angemessenheitsbeschluss erforderlich.
Es umfasst eine Analyse der Rechtslage im Zielland, eine Bewertung der konkreten Risiken und - falls nötig - die Definition ergänzender Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung.
Für Transfers in die USA auf Basis des Data Privacy Framework ist kein TIA erforderlich, solange der Empfänger zertifiziert ist.
Für alle anderen Drittländer - etwa Indien, die Türkei oder Russland - bleibt das TIA Pflicht.
Haftung und Bußgelder: Was droht ohne AVV?
Die Konsequenzen eines fehlenden oder mangelhaften AVV sind weitreichender, als viele Unternehmen vermuten.
Bußgeldrisiken nach der DSGVO
Art. 83 Abs. 4 lit. a DSGVO sieht für Verstöße gegen die Pflichten des Verantwortlichen und des Auftragsverarbeiters nach Art. 28 DSGVO Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes vor, je nachdem welcher Betrag höher ist.
In der Praxis verhängen Aufsichtsbehörden Bußgelder für fehlende oder mangelhafte AVVs, wie verschiedene Fälle und Verfahren gegen Unternehmen zeigen.
Höchststrafen werden nur in wenigen, besonders schweren Fällen verhängt; viele Sanktionen liegen im fünfstelligen Bereich, einzelne DSGVO-Entscheidungen gegen große Unternehmen können aber deutlich höher ausfallen.
Besonders häufig betroffen: Unternehmen ohne jeglichen AVV bei Cloud-Diensten oder Newsletter-Anbietern.
Durchsetzungsbereitschaft der Behörden
Der Europäische Datenschutzausschuss (EDPB) hat im April 2023 die irische Aufsichtsbehörde angewiesen, gegen Meta Platforms Ireland ein Bußgeld wegen systematischer Datentransfers in die USA auf Basis unzureichender Standardvertragsklauseln zu verhängen. In Umsetzung dieser Entscheidung setzte die irische Behörde im Mai 2023 ein Rekordbußgeld in Höhe von 1,2 Milliarden Euro fest.
Auch wenn dieses Bußgeld nicht direkt einen fehlenden AVV betraf, zeigt es die Bereitschaft der Behörden, hohe Strafen für Mängel im Auftragsverarbeitungsumfeld zu verhängen.
Schadensersatzansprüche Betroffener
Art. 82 Abs. 1 DSGVO gibt jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Gegenüber der betroffenen Person haften Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch - der Betroffene kann sich also an jeden der beiden wenden.
Im Innenverhältnis hängt die Haftungsquote davon ab, wer den Verstoß verursacht hat.
Für den Verantwortlichen bedeutet das: Ein mangelhafter AVV schützt nicht vor Haftung - im Gegenteil. Wer keinen AVV hat oder einen unvollständigen, erhöht sein Haftungsrisiko erheblich, weil er seine eigene Organisationspflicht verletzt.
Verschärfte Kontrollpflichten nach aktueller Rechtsprechung
Die jüngste Rechtsprechung hat die Position des Verantwortlichen nochmals verschärft:
Der Bundesgerichtshof hat in seinem Urteil vom 11. November 2025 (Az. VI ZR 396/24) entschieden, dass der Verantwortliche nach Art. 82 DSGVO auch für Fehler des Auftragsverarbeiters nach Vertragsende haftet. Eine blosse Ankündigung der Datenlöschung durch den Auftragsverarbeiter reicht nicht aus - der Verantwortliche muss die tatsächliche Durchführung aktiv kontrollieren und eine Löschbestätigung einfordern.
Das Oberlandesgericht Dresden hat in seinem Urteil vom 15. Oktober 2024 (Az. 4 U 940/24) als Vorinstanz bereits klargestellt, dass die Kontrollpflicht risikobasiert ausgestaltet werden darf - aber nicht vollständig auf Vertrauen in den Auftragsverarbeiter reduziert werden kann.
In der Praxis heißt das: Unternehmen müssen ein System etablieren, das die Einhaltung der AVV-Pflichten überwacht. Das kann von einfachen jährlichen Selbstauskünften bis hin zu regelmäßigen Vor-Ort-Audits reichen - je nach Risiko der Verarbeitung.
Häufige Fehler, die zu Bußgeldern führen
Die Aufsichtsbehörden beanstanden bestimmte Fehler besonders häufig:
- Kein AVV vorhanden - der offensichtlichste Verstoß, trotzdem erstaunlich verbreitet, besonders bei kleinen Unternehmen mit Cloud-Diensten oder Newsletter-Anbietern.
- Veraltete Unterauftragsverarbeiter-Listen - SaaS-Anbieter ändern ihre Sub-Processor regelmäßig, die AVV-Anlage bleibt aber unverändert.
- Generische TOM ohne Verarbeitungsbezug - Standardformulierungen statt konkreter Maßnahmen, die zur spezifischen Datenverarbeitung passen.
- Keine Audit-Regelung vereinbart - der Verantwortliche hat kein Recht, die Einhaltung der Pflichten zu überprüfen.
- Fehlende Löschkonzepte - keine Regelung dazu, was nach Vertragsende mit den Daten passiert. Seit dem BGH-Urteil ein besonders kritischer Punkt.
- Keine Regelung für Datenpannen - der AVV schweigt zur Meldung und Zusammenarbeit bei Sicherheitsvorfällen.
Branchenspezifische Besonderheiten beim AVV
Die Mindestanforderungen aus Art. 28 DSGVO gelten branchenübergreifend; berufsspezifische Gesetze können Auftragsverarbeitung aber zusätzlich einschränken.
In der praktischen Umsetzung gibt es aber erhebliche Unterschiede, die branchenspezifische Anpassungen des AVV erfordern. Ein AVV für einen Cloud-Hosting-Anbieter sieht anders aus als einer für einen Fulfillment-Dienstleister im E-Commerce.
AVV für SaaS- und Cloud-Dienste
SaaS-Anbieter stellen den AVV in der Regel als Standardvertrag bereit, den der Kunde per Klick akzeptiert.
Diese Standard-AVVs haben typische Besonderheiten:
-
Die Widerspruchsfrist liegt oft bei nur 30 Tagen. Wer die Benachrichtigung verpasst, stimmt stillschweigend zu.
Automatische Subprocessor-Updates. Große Cloud-Anbieter informieren per E-Mail oder im Online-Portal über neue Unterauftragsverarbeiter.
- Beschränkte Audit-Rechte. Große Cloud-Anbieter bieten statt Vor-Ort-Audits Zertifikate (SOC 2, ISO 27001) und Compliance-Reports an. Für die meisten Unternehmen ist das ausreichend - für hochregulierte Branchen kann es zu wenig sein.
- Datenresidenz und Serverstandorte. Wo die Daten physisch gespeichert werden, ist für die Drittland-Frage entscheidend. Viele Cloud-Anbieter bieten inzwischen EU-Datenresidenz an - aber nicht alle Dienste und Funktionen sind davon abgedeckt.
AVV im E-Commerce
Online-Händler haben typischerweise eine Vielzahl von Auftragsverarbeitern: Shop-System, Payment-Provider, Fulfillment-Dienstleister, Newsletter-Anbieter, Tracking-Tools, Bewertungsplattformen.
Die besondere Herausforderung im E-Commerce liegt in den Dienstleisterketten. Wenn ein Fulfillment-Dienstleister seinerseits einen Logistikpartner einsetzt, der Kundenadressen erhält, entsteht eine mehrstufige Unterauftragsverarbeiterkette.
Ein weiterer Sonderfall: Dropshipping.
AVV für Agenturen und Freelancer
Agenturen und Freelancer befinden sich häufig in einer Doppelrolle. Sie verarbeiten Kundendaten im Auftrag und nutzen gleichzeitig eigene Tools, mit denen sie ihrerseits Auftragsverarbeiter beauftragen.
Ein Webdesigner, der Zugang zum CMS eines Kunden hat, ist in der Regel Auftragsverarbeiter - weil er auf personenbezogene Daten zugreifen kann.
Ein Social-Media-Berater, der eigenständig Content-Strategien entwickelt und dabei keine personenbezogenen Daten verarbeitet, ist dagegen kein Auftragsverarbeiter.
Die entscheidende Frage ist immer: Hat der Freelancer oder die Agentur Zugang zu personenbezogenen Daten des Kunden? Wenn ja, ist ein AVV erforderlich.
AVV im Gesundheitswesen
Im Gesundheitswesen gelten erhöhte Anforderungen, weil Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten gehören.
Art. 9 Abs. 1 DSGVO verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten. Ausnahmen bestehen unter anderem bei ausdrücklicher Einwilligung, bei Erforderlichkeit für die Gesundheitsversorgung oder auf Grundlage nationaler Rechtsvorschriften.
In der Praxis bedeutet das: Die TOM-Anforderungen im Gesundheitswesen sind höher.
Arztpraxen, die Patientendaten bei einem Cloud-Anbieter speichern, müssen zusätzlich die ärztliche Schweigepflicht nach Paragraph 203 StGB beachten.
Die Vertraulichkeitspflicht kann im AVV selbst geregelt werden; eine gesonderte Vereinbarung ist nicht in jedem Fall erforderlich.
Praxis-Checkliste: AVV richtig aufsetzen und prüfen
Der Weg zu einem rechtssicheren AVV lässt sich in klare Schritte unterteilen. Die folgende Checkliste deckt den kompletten Prozess ab - von der Bestandsaufnahme bis zur laufenden Kontrolle.
Schritt für Schritt zum rechtssicheren AVV
- Bestandsaufnahme durchführen - alle externen Dienstleister erfassen, die personenbezogene Daten verarbeiten. Das Verarbeitungsverzeichnis ist der ideale Ausgangspunkt.
- Dienstleister klassifizieren - für jeden Dienstleister prüfen: Auftragsverarbeiter, gemeinsam Verantwortlicher oder eigenverantwortliche Stelle?
- Bestehende AVVs sichten - viele SaaS-Anbieter stellen bereits Standard-AVVs bereit. Diese auf Vollständigkeit der Pflichtinhalte prüfen.
- TOM-Anlage individualisieren - die technisch-organisatorischen Maßnahmen müssen zur konkreten Verarbeitung passen. Standardtexte durch spezifische Maßnahmen ersetzen.
- Unterauftragsverarbeiter-Management aufsetzen - aktuelle Liste aller Sub-Processor einholen. Benachrichtigungen aktivieren. Widerspruchsprozess definieren.
- Löschkonzept vereinbaren - klare Fristen und Verfahren für die Datenlöschung nach Vertragsende. Löschbestätigung einfordern.
- Audit-Plan erstellen - je nach Risiko: jährliche Selbstauskünfte, Zertifikatsprüfung oder Vor-Ort-Audits einplanen.
- Regelmäßige Überprüfung einplanen - AVVs sind keine Set-and-forget-Dokumente. Mindestens jährlich prüfen, ob Vertragsinhalt und Praxis noch übereinstimmen.
Bestandsaufnahme: Alle Dienstleister erfassen
Die größte Lücke in der Praxis: Unternehmen denken an ihre großen Anbieter, vergessen aber die kleinen. Typische vergessene Dienstleister sind Bewertungsplattformen, Terminbuchungstools, Videokonferenz-Anbieter, Cookie-Consent-Tools, Backup-Dienstleister und externe Datenschutzbeauftragte.
Ein vollständiges Verarbeitungsverzeichnis ist der beste Startpunkt. Wer noch keines hat, sollte mit einer einfachen Tabelle beginnen: Dienstleister, Verarbeitungszweck, Datenkategorien, Standort, AVV vorhanden ja/nein.
Praxis-Hinweis von Rechtsanwalt Dr. Sener Dincer
“Viele Unternehmen unterschätzen die Zahl ihrer Auftragsverarbeiter. Wer systematisch alle Tools und Dienstleister erfasst, kommt schnell auf 15 bis 30 Auftragsverarbeitungsverhältnisse - selbst bei kleinen Unternehmen.”
Wann sich anwaltliche Unterstützung lohnt
Die meisten Standard-AVV-Situationen können Unternehmen eigenständig lösen: SaaS-Anbieter stellt AVV bereit, Kunde akzeptiert nach Prüfung. Kein Anwalt nötig.
Anwaltliche Unterstützung wird dann sinnvoll, wenn die Konstellation über den Standard hinausgeht. Typische Fälle, in denen wir Mandanten bei datenschutzrechtlichen Fragen begleiten: Verhandlung individueller AVVs mit Anbietern ohne Standardvertrag, Drittlandtransfers in Länder ohne Angemessenheitsbeschluss, Auftragsverarbeitung mit besonderen Datenkategorien, komplexe Unterauftragsverarbeiterketten und die Reaktion auf Behördenanfragen zum Thema AVV.
Wer seine DSGVO-Compliance umfassend prüfen lassen möchte, findet in einer systematischen Beratung den effizientesten Weg - weil der AVV immer nur ein Baustein des Gesamtkonzepts ist.
Fazit
Der Auftragsverarbeitungsvertrag ist kein bürokratisches Nebendokument, sondern eine zentrale Säule der Datenschutz-Compliance.
Für die meisten Unternehmen lässt sich das Thema mit einem strukturierten Ansatz gut bewältigen: Bestandsaufnahme aller Dienstleister, Prüfung bestehender Standard-AVVs, Individualisierung der TOM-Dokumentation und ein einfaches System zur laufenden Kontrolle. Der Aufwand lohnt sich - nicht nur wegen der Bußgelder, sondern weil ein sauberes AVV-Management auch das Vertrauen von Kunden und Geschäftspartnern stärkt.
Wer bei komplexen Konstellationen unsicher ist, sollte frühzeitig rechtlichen Rat einholen. Die Investition in eine saubere vertragliche Grundlage spart langfristig erheblichen Aufwand - und schützt vor Risiken, die im Ernstfall existenzbedrohend sein können.
Antworten auf einen Blick
Häufige Fragen
Die häufigsten Fragen zum Thema, kompakt beantwortet. Für die vollständige Einordnung bleiben die Abschnitte oben maßgeblich.
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AVV) ist eine verbindliche Vereinbarung zwischen einem Verantwortlichen und einem externen Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Art. 28 DSGVO verpflichtet seit Mai 2018 jeden Verantwortlichen, nur Auftragsverarbeiter mit hinreichenden Garantien einzusetzen. Der AVV regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenkategorien, Betroffenengruppen und zehn konkrete Pflichten des Auftragsverarbeiters. Er muss schriftlich oder elektronisch vorliegen, bevor die Datenverarbeitung beginnt. Typische Anwendungsfälle sind Cloud-Hosting, Newsletter-Versand, externe Lohnabrechnung und IT-Wartung mit Fernzugriff.
Wann ist ein Auftragsverarbeitungsvertrag Pflicht?
Ein AVV ist immer dann erforderlich, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet. Das betrifft Cloud-Hosting, Newsletter-Tools, CRM-Systeme, externe Lohnabrechnung, IT-Fernwartung und Web-Analyse-Tools. Keine AVV-Pflicht besteht für Steuerberater, Rechtsanwälte, Postdienstleister und Banken, die eigenverantwortlich handeln. Die Datenschutzkonferenz hat in Kurzpapier Nr. 13 vom 16. Januar 2018 klargestellt, dass es für die Einordnung maßgeblich darauf ankommt, wer über Zwecke und wesentliche Mittel der Verarbeitung entscheidet; technisch-organisatorische Fragen können dagegen auf den Auftragsverarbeiter übertragen werden. Selbst Freelancer benötigen einen AVV, wenn sie Zugriff auf personenbezogene Daten im CMS oder in anderen Systemen haben.
Welche Pflichtinhalte muss ein AVV enthalten?
Art. 28 Abs. 3 DSGVO definiert verbindliche Mindestinhalte: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Datenkategorien, Kategorien betroffener Personen, Weisungsbindung, Vertraulichkeitsverpflichtung, technisch-organisatorische Maßnahmen nach Art. 32 DSGVO, Regelung zur Unterauftragsverarbeitung, Unterstützung bei Betroffenenrechten sowie Audit-Rechte. Fehlt auch nur eine Klausel, ist der Vertrag mangelhaft und kann Bußgelder nach sich ziehen. Die TOM müssen konkret auf die jeweilige Verarbeitung zugeschnitten und regelmäßig aktualisiert werden. Seit dem BGH-Urteil vom 11. November 2025 müssen insbesondere Löschregelungen und Löschbestätigungen explizit vereinbart sein.
Welche Bußgelder drohen ohne Auftragsverarbeitungsvertrag?
Ohne wirksamen AVV drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes gemäß Art. 83 Abs. 4 DSGVO. In der Praxis verhängen Aufsichtsbehörden bei fehlenden oder mangelhaften AVVs Bußgelder, die je nach Schwere des Verstoßes und Unternehmensgröße auch fünfstellige Beträge erreichen können. Zusätzlich haften Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch für Schadensersatzansprüche Betroffener nach Art. 82 DSGVO. Der Bundesbeauftragte für den Datenschutz hat im Juni 2025 allein wegen unzureichender Kontrolle von Auftragsverarbeitern ein Bußgeld von 15 Millionen Euro verhängt. Ein mangelhafter AVV erhöht das Haftungsrisiko des Verantwortlichen erheblich.
Was ist der Unterschied zwischen AVV und gemeinsamer Verantwortlichkeit?
Der Unterschied liegt in der Entscheidungsgewalt über Zwecke und Mittel der Datenverarbeitung. Beim AVV nach Art. 28 DSGVO handelt der Dienstleister ausschließlich auf Weisung des Verantwortlichen. Bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO entscheiden beide Seiten gemeinsam über den Verarbeitungszweck, was eine eigene Vereinbarung erfordert. Der Europäische Datenschutzausschuss hat in seinen Leitlinien 07/2020 klargestellt, dass die Einordnung funktional anhand der tatsächlichen Kontrolle zu beurteilen ist, nicht anhand der formalen Vertragsbezeichnung. Typisches Beispiel für gemeinsame Verantwortlichkeit ist gemeinsames Marketing oder der Betrieb einer Facebook-Fanpage.
Reicht ein Standard-AVV eines Cloud-Anbieters aus?
Standard-AVVs großer Cloud-Anbieter decken die formalen Anforderungen der DSGVO in der Regel ab, sind aber einseitig zugunsten des Anbieters formuliert. Audit-Rechte werden häufig auf Selbstauskünfte oder Zertifikate beschränkt, Haftungsregelungen bevorzugen den Anbieter und die TOM-Anlage ist oft generisch. Für viele KMU reicht der Standard-AVV dennoch, weil keine Verhandlungsmacht besteht. Bei Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO, mehrstufigen Unterauftragsverarbeiterketten oder Drittlandtransfers sollte der AVV an den konkreten Einzelfall angepasst werden. Die Datenschutzkonferenz und der Bitkom haben im November 2025 aktualisierte Praxisleitfäden als Ausgangspunkt veröffentlicht.
Was muss beim Drittlandtransfer im AVV beachtet werden?
Bei Datenübermittlung an Auftragsverarbeiter außerhalb des EWR braucht es neben dem AVV zusätzliche Transferinstrumente. Seit Juni 2021 gelten die modularen Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914. Das EU-US Data Privacy Framework ermöglicht seit dem 10. Juli 2023 vereinfachte Transfers an zertifizierte US-Unternehmen ohne zusätzliche SCC. Der AVV bleibt dennoch in jedem Fall erforderlich. Der EDPB verlangt in seinen Empfehlungen 01/2020 ein Transfer Impact Assessment bei Transfers auf SCC-Basis in Drittländer ohne Angemessenheitsbeschluss. AVV und SCC müssen konsistent formuliert sein, widersprüchliche Regelungen sind ein häufiger Praxisfehler.
Was bedeutet das BGH-Urteil zur Kontrollpflicht für Unternehmen?
Der BGH hat am 11. November 2025 (Az. VI ZR 396/24) die Kontrollpflichten des Verantwortlichen erheblich verschärft. Die Überwachungspflicht endet demnach nicht mit dem Abschluss eines AVV. Der Verantwortliche muss die tatsächliche Einhaltung der vertraglichen Pflichten laufend kontrollieren und aktiv Löschbestätigungen einholen. Eine bloße Ankündigung der Datenlöschung reicht nicht aus. Das OLG Dresden hatte als Vorinstanz am 15. Oktober 2024 bereits klargestellt, dass die Kontrollpflicht risikobasiert ausgestaltet werden darf, aber nicht vollständig auf Vertrauen reduziert werden kann. Unternehmen müssen ein dokumentiertes Überwachungssystem etablieren.
Brauche ich für Freelancer einen Auftragsverarbeitungsvertrag?
Ob ein Freelancer einen AVV benötigt, hängt davon ab, ob er Zugang zu personenbezogenen Daten des Auftraggebers hat. Ein Webdesigner mit CMS-Zugriff ist in der Regel Auftragsverarbeiter und braucht einen AVV. Ein Strategieberater ohne Datenzugriff benötigt keinen AVV, sondern nur einen normalen Dienstvertrag. Agenturen und Freelancer befinden sich häufig in einer Doppelrolle: gegenüber dem Kunden Auftragsverarbeiter, gegenüber eigenen Dienstleistern Verantwortliche. Wenn der Freelancer eigenständig über Datenverarbeitungszwecke entscheidet, kann statt Auftragsverarbeitung eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen, die andere vertragliche Pflichten auslöst.
Wie oft muss ein Auftragsverarbeitungsvertrag überprüft werden?
AVVs sind keine statischen Dokumente und sollten mindestens jährlich auf Aktualität geprüft werden. Anlässe für eine Überprüfung sind neue Rechtsprechung wie das BGH-Urteil vom November 2025, geänderte Unterauftragsverarbeiterketten, neue Verarbeitungstätigkeiten oder Änderungen bei Drittlandtransfers. Die EDSA-Stellungnahme 22/2024 vom Oktober 2024 betont, dass die endgültige Kontrolllast stets beim Verantwortlichen liegt und nicht delegiert werden kann. Ein strukturiertes AVV-Management mit quartalsweiser Prüfung der Unterauftragsverarbeiter-Listen ist empfehlenswert. Besonders die TOM-Anlage ist in der Praxis häufig veraltet und muss dem aktuellen Stand der Technik angepasst werden.
Noch offene Fragen?
Wir prüfen Ihre Auftragsverarbeitungsverträge auf Vollständigkeit und identifizieren Lücken.
Weiterlesen
Beliebte Ratgeber
Rechtlicher Hinweis: Die Informationen auf dieser Seite dienen der allgemeinen Orientierung und stellen keine Rechtsberatung im Einzelfall dar. Für eine verbindliche Einschätzung Ihrer konkreten Situation kontaktieren Sie uns bitte direkt.