AVV-Review – Auftragsverarbeitungsvertrag Art. 28 DSGVO
Zweck
Strukturierte Prüfung eingehender oder ausgehender Auftragsverarbeitungsverträge gegen Art. 28 DSGVO-Mindestanforderungen, das eigene AVV-Playbook (aus CLAUDE.md) und aktuelle EDSA-Leitlinien. Der Skill prüft zusätzlich, ob Drittlandtransfers wirksam abgesichert sind (EU-SCC, DPF, TIA) und ob Sub-Auftragsverarbeiter-Klauseln den Anforderungen entsprechen.
Eingaben
- AVV-Dokument (Datei oder Paste)
- Richtung (optional): "Wir sind AV" oder "Wir sind Verantwortlicher" – sonst automatische Erkennung
- Optional: Liste bekannter Sub-AVs des Anbieters
- Optional: Land der Datenverarbeitung / Hosting-Region
Ablauf
-
Richtungserkennung. Wer ist "Auftraggeber" / "Verantwortlicher", wer "Auftragnehmer" / "Auftragsverarbeiter" im vorgelegten Dokument? Parteienbezeichnung, Weisungsklauseln und Haftungsstruktur prüfen. Bei Unklarheit fragen.
-
Art. 28 DSGVO Pflichtklausel-Check. Jede gesetzlich vorgeschriebene Klausel prüfen:
Art. 28 Abs. 3 DSGVO Pflichtinhalt Status lit. a Weisungsgebundenheit + Weisungsregister ✓ / ⚠️ / ✗ lit. b Vertraulichkeitsverpflichtung verarbeitendes Personal ✓ / ⚠️ / ✗ lit. c Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO ✓ / ⚠️ / ✗ lit. d Sub-Auftragsverarbeiter-Regelung (allgemeine oder spezifische Genehmigung) ✓ / ⚠️ / ✗ lit. e Unterstützung bei Betroffenenrechten ✓ / ⚠️ / ✗ lit. f Unterstützung bei Art. 32–36 DSGVO (DSFA, Datenpanne, Vorab-Konsultation) ✓ / ⚠️ / ✗ lit. g Löschung oder Rückgabe nach Vertragsende ✓ / ⚠️ / ✗ lit. h Audit-Recht und Nachweispflichten ✓ / ⚠️ / ✗ -
Playbook-Abgleich. Jede Klausel mit der eigenen Standardposition aus
CLAUDE.mdvergleichen:- ✅ Standardposition = akzeptabel
- ⚠️ Fallback-Position = bedingt akzeptabel, mit Bedingungen
- 🔴 Unter Playbook-Minimum = nicht akzeptabel, Redline-Vorschlag
-
Sub-Auftragsverarbeiter-Prüfung.
- Allgemeine vs. spezifische Genehmigung (Art. 28 Abs. 2 DSGVO)?
- Wechselbenachrichtigungsfrist vorhanden? (Praxis: 4 Wochen; kürzer = Einspruchsrecht faktisch ausgehöhlt)
- Haftungsüberleitung auf Sub-AV in gleichem Umfang (Art. 28 Abs. 4 DSGVO)?
- Liste der Sub-AVs verfügbar / aktuell?
- Sub-AVs in Drittländern? → Weiterleitung zu Schritt 5 (TIA).
-
Drittlandtransfer-Check (TIA).
- Werden Daten außerhalb EU/EWR verarbeitet oder zugänglich gemacht?
- Welcher Transfermechanismus: EU-SCC (Beschluss 2021/914), DPF, BCR, Art. 49 Abs. 1 DSGVO Ausnahmen?
- EU-SCC: Modul korrekt (AV-zu-AV, Verantwortlicher-zu-AV)? Technische Anlage befüllt?
- DPF: Anbieter auf DPF-Liste eingetragen (data.privacyframework.gov)?
[Modellwissen – prüfen, da DPF ggf. geändert] - TIA nach EDSA-Empfehlungen 01/2020 erforderlich? (Ja, wenn SCC ohne zusätzliche Schutzmaßnahmen nicht ausreichen)
- Rechtsprechung live prüfen: Keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über amtliche oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
-
Redline-Vorschläge. Für jede 🔴-Klausel konkreten Änderungsvorschlag formulieren – in Vertragssprache, nicht als Memo-Kommentar.
-
Bewertungstabelle und Empfehlung.
- Gesamt-Risikobewertung: 🔴 Blockend / 🟠 Hoch / 🟡 Mittel / 🟢 Gering
- Empfehlung: Unterzeichnen / Mit Redlines unterzeichnen / Ablehnen / Eskalieren
Quellen und Zitierweise
Verbindlich nach ../../references/zitierweise.md.
- Art. 28 DSGVO (Auftragsverarbeitung, Mindestinhalt AVV)
- Art. 28 Abs. 2 DSGVO (Sub-Auftragsverarbeiter)
- Art. 28 Abs. 4 DSGVO (Haftungsüberleitung Sub-AV)
- Art. 32 DSGVO (TOM)
- Art. 44–49 DSGVO (Drittlandtransfer)
- Beschluss 2021/914/EU (EU-SCC, neue Standardvertragsklauseln)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- EDSA-Empfehlungen 01/2020 zur Transferfolgenabschätzung (TIA), Stand 2022
- EDSA-Leitlinien 07/2022 zu Zertifizierungen als Transfermechanismus
- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
- Schantz, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 1 ff.
- Werkmeister, in: Gola, DSGVO, 2. Aufl. 2018, Art. 28 Rn. 1 ff.
- Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2021, Art. 28 Rn. 1 ff.
- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.
Strategische Optionen (vor dem Template entscheiden)
Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.
| Konstellation | Empfohlener Weg |
|---|---|
| Standard — AVV eines KI-Anbieters fuer Kanzlei pruefen | Pruefschema Art. 28 DSGVO; Template unten |
| Variante A — AVV des Anbieters nicht verhandelbar | Risikoanalyse dokumentieren; Mandantenhinweis erwaegen |
| Variante B — eigene AVV als Auftragsverarbeiter erstellen | Umgekehrte Perspektive; eigene Pflichten aus Art. 28 Abs. 3 DSGVO |
| Variante C — mehrstufige Subunternehmer-Kette | Subunternehmer-Klausel gesondert pruefen; Haftungskette sichern |
Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
Ausgabeformat
- Kopfzeile: Dokumentbezeichnung, Datum des Reviews, Richtung, Risikobewertung Gesamt
- Pflichtklausel-Tabelle (Art. 28 Abs. 3 DSGVO, alle Buchstaben, Status ✓/⚠️/🔴)
- Playbook-Abgleich (Klausel | Ist-Position | Soll-Position | Bewertung | Empfehlung)
- Sub-AV-Abschnitt (Listenformat)
- TIA-Abschnitt (nur wenn Drittlandexposure vorhanden)
- Redline-Vorschläge (Vertragssprache, nummeriert)
- Entscheidungsoptionen
Beispiel (Gutachtenstil)
Sachverhalt: Ein SaaS-Anbieter aus den USA legt einen AVV vor. Daten werden auf AWS-Servern in der EU (Frankfurt) sowie auf Support-Systemen in den USA verarbeitet.
Analyse Sub-AV-Klausel: Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.
Redline-Vorschlag:
"Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 (dreißig) Tage im Voraus über geplante Änderungen an der Sub-Auftragsverarbeiter-Liste. Innerhalb dieser Frist kann der Verantwortliche Einspruch erheben. Bei berechtigtem Einspruch, den der Auftragsverarbeiter nicht durch zumutbare technische oder organisatorische Maßnahmen ausräumen kann, ist der Verantwortliche zur außerordentlichen Kündigung berechtigt."
Analyse Drittlandtransfer (USA, Support-Systeme): Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- Rechtslage im Empfängerland (USA: FISA Section 702, EO 14086 – PPD-28-Nachfolger)
[Modellwissen – prüfen] - Praktische Wahrscheinlichkeit des Zugriffs (Support-Systeme mit Personalbezug: mittel)
- Zusätzliche Schutzmaßnahmen erforderlich? (Empfehlung: Pseudonymisierung Support-Daten, Zugriffsprotokolle)
Risiken / typische Fehler
- Richtungsverwechslung: Falsches SCC-Modul hat keine Schutzwirkung. Art. 28 Abs. 4 DSGVO setzt voraus, dass Sub-AV-Kette rechtswirksam abgesichert ist.
- Veraltete SCC: Altes SCC-Muster (2001/497/EG, 2004/915/EG) ist seit 27.09.2021 nicht mehr für neue Verträge verwendbar; bestehende Altverträge waren bis 27.12.2022 umzustellen (§ 46 Abs. 5