Kontakt aufnehmen Login Kostenlos testen

Auftragsverarbeitung unterschreiben: Was gilt beim AVV in Deutschland?

5min · Published on 14. Januar 2026 · Updated on 19. Januar 2026
Jasmine Oeschger
Jasmine Oeschger Marketing Manager, campaign & content
Paraphieren mit Skribble
Jasmine Oeschger
Jasmine Oeschger Marketing Manager, campaign & content
 

Ein neues Werkzeug soll in Betrieb genommen werden, ein externer Dienstleister braucht Zugang zu Systemen oder im Einkauf beginnt die Aufnahme eines Lieferanten. Spätestens dann kommt ein Schriftstück auf den Tisch, das oft schnell unterzeichnet werden soll: der Auftragsverarbeitungsvertrag (AVV).

Die zwei Fragen, die meist am meisten Zeit beanspruchen, betreffen in der Regel nicht die technischen und organisatorischen Maßnahmen (TOMs), sondern:

  • Braucht der AVV wirklich eine Unterschrift?
  • Wenn ja: Genügt eine elektronische Unterschrift - und welche Signaturstufe passt?

Hier kommt eine Einordnung, die direkt in den eigenen Arbeitsprozess übernommen werden kann.

Das Wichtigste kurz zusammengefasst

  • Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Anweisung verarbeitet (Art. 28 DSGVO).
  • Ein AVV bildet die vertragliche Basis, auf der Rechte, Pflichten, Kontrollen sowie Unterauftragnehmer klar geregelt sind.
  • Die DSGVO schreibt vor: Der AVV muss schriftlich existieren - das geht auch in einem elektronischen Format (Art. 28 Abs. 9 DSGVO).
  • Aufsichtsbehörden betonen: Nicht jede E-Mail genügt automatisch. Wichtig ist, dokumentiert zu sehen, welchen Inhalt die beteiligten Parteien bestätigt haben (etwa auch per Kontrollkästchen, wenn das nachvollziehbar aufgezeichnet wird).
  • Die qualifizierte elektronische Signatur (QES) ist für einen AVV nach gängiger Meinung in Deutschland nicht zwingend notwendig, stellt aber eine starke Option dar - besonders wenn ein Höchstmaß an Nachweis gewünscht ist (Hinweise finden sich unter anderem beim BayLDA).

Daten aus dem Skribble E-Signing-Report Deutschland (Dezember 2024) zeigen: Für eine Unterschrift braucht man etwa 27 Minuten weniger Zeit als bei einer handschriftlichen Unterschrift (ohne Warte- oder Liegezeiten). 42 Prozent schlossen die Signatur innerhalb eines Tages mit Skribble ab.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung beschreibt den Vorgang, bei dem ein Unternehmen (der Verantwortliche) personenbezogene Daten durch einen Dienstleister (den Auftragsverarbeiter) bearbeiten lässt. Der Auftragsverarbeiter führt dabei die Anweisungen aus und nutzt die Daten nicht für eigene Zwecke.

Typische Anwendungsfälle im Geschäftsalltag

  • SaaS-Werkzeuge, die Kunden-, Mitarbeiter- oder Bewerberdaten verarbeiten
  • Bereitstellung und Betrieb der IT-Infrastruktur, sogenannte Managed Services
  • Support- und Wartungsarbeiten mit der Möglichkeit eines Systemzugriffs
  • Abrechnung der Löhne durch externe Dienstleister

Wichtig für die praktische Umsetzung: Nicht jede Zusammenarbeit stellt automatisch eine Auftragsverarbeitung dar. Sobald der Dienstleister die Zwecke aber auch Mittel der Verarbeitung mitbestimmt, liegt eine andere Rollenverteilung vor (etwa die gemeinsame Verantwortlichkeit). Besteht hier Unsicherheit, sollte man kurz die Rollen prüfen, bevor man den AVV blind unterzeichnet.

Wer schließt den AVV ab?

Der AVV kommt zwischen diesen Parteien zustande:

  • Verantwortlicher (das Unternehmen, das über Zwecke und Mittel entscheidet)
  • Auftragsverarbeiter (der Dienstleister, der im Auftrag verarbeitet)

  • Wer auf der eigenen Seite die Unterschrift leistet, richtet sich nicht nach der DSGVO, sondern nach den internen Vertretungs- und Zeichnungsregeln (oft auch nach dem Prozess im Einkauf oder der Rechtsabteilung). Diesen Teil sollte man intern standardisieren: „Wer darf AVVs freigeben und abschließen?“

Muss man einen AVV unterschreiben?

Kurz gesagt: Der AVV muss abgeschlossen und dokumentiert werden - er muss nicht zwingend auf Papier unterschrieben werden.

Die DSGVO fordert Schriftlichkeit, ausdrücklich auch in einem elektronischen Format (Art. 28 Abs. 9 DSGVO). Aufsichtsbehörden weisen dazu im Wesentlichen auf zwei Punkte hin:

  • Nicht jede bestätigende E-Mail genügt.
  • Elektronische Formate sind akzeptabel, wenn sie für beide Parteien zugänglich sind und nachvollziehbar dokumentiert wurde, welcher Vertragsinhalt bestätigt wurde (dies gelingt je nach Verfahren auch über ein aufgezeichnetes Kontrollkästchen oder eine Bestätigung).

Was bedeutet das in der Praxis?

Schließt man den AVV elektronisch ab, braucht man einen Abschlussweg, der später drei Fragen beantwortet:

  • Welche Version des AVV gilt?
  • Wer hat zugestimmt?
  • Wann erfolgte die Zustimmung?

Genau daran scheitert der Abschluss des AVV per E-Mail oft: Dateien ändern sich, Verknüpfungen zeigen auf dynamische AGB- oder Portalseiten - am Ende bleibt unklar, was wirklich vereinbart wurde.

Mit welchem Signaturstandard unterschreibt man einen AVV?

Die DSGVO selbst schreibt keinen spezifischen eIDAS-Standard (EES/FES/QES) für den AVV vor. Sie verlangt die schriftliche Abfassung - auch elektronisch.

Trotzdem stellt sich in Unternehmen die Standardfrage: Welche Signaturstufe nutzen wir - um rechtlich abgesichert zu sein und im Audit nicht in Schwierigkeiten zu geraten?

Die drei Signaturstufen (kurz)

Im Skribble E-Signing-Report werden die drei Stufen so eingeordnet:

Wichtig (und im Report so vermerkt): Die endgültige Bestimmung des erforderlichen Standards stellt in der Praxis eine juristische Frage dar und kann je nach Land außerdem Unternehmen variieren.

Wann ist QES wichtig?

Der Report formuliert einen klaren Grundsatz: Verlangt das Gesetz für ein Dokument die Schriftform, muss es digital mit QES signiert werden.

Für AVVs ist das in vielen Fällen nicht der ausschlaggebende Punkt, weil Art. 28 Abs. 9 DSGVO ausdrücklich das elektronische Format zulässt. Dennoch kann QES in der Praxis sinnvoll sein, wenn intern ein hohes Nachweisniveau festgelegt wird oder Diskussionen mit externen Parteien vermieden werden sollen.

Entscheidungshilfe für den AVV

Wer eine pragmatische Regelung formulieren möchte, orientiert sich an dieser Logik:

EES/FES kann passend sein, wenn …

  • vorrangig ein sauberer, nachvollziehbarer Abschluss benötigt wird (Version plus Zustimmung plus Ablage)
  • das Risikoprofil überschaubar bleibt
  • das Audit-Konzept nicht zwingend höchste Beweiskraft fordert

QES ist oft sinnvoll, wenn …

  • ein sehr hohes Nachweisniveau angestrebt wird (zum Beispiel in einem streng regulierten Umfeld, bei besonders kritischen Daten oder Dienstleistern)
  • standardmäßig die maximale Beweiskraft für bestimmte Vertragstypen definiert wird
  • Streit über die Form von vornherein vermieden werden soll

  • Ein Blick auf die tatsächliche Nutzung zeigt: Im Skribble E-Signing-Report (Deutschland) werden die drei Standards in der Umfrage nahezu gleich genutzt: 35 Prozent EES, 35 Prozent FES, 30 Prozent QES. Das spricht dafür, dass Unternehmen je nach Dokumenttyp als auch Risiko unterscheiden - statt alles immer mit QES zu erledigen.

AVV audit-sicher dokumentieren

Ein AVV ist erst dann fertig, wenn er sauber auffindbar ist. Für die Akte hat sich folgende minimale Checkliste bewährt:

  • Endgültige AVV-Version (Datum und Versionsstand sind klar)
  • Anlagen (besonders die TOMs)
  • Regelung und Liste zu Unterauftragnehmern/Subprozessoren (einschließlich Änderungen und Versionierung)
  • Nachweis des Abschlusses (Signatur- oder Audit-Protokoll oder ein anderes dokumentiertes elektronisches Verfahren)
  • Definierter Ablageort (Vertragsmanagement/DMS) und Verantwortlichkeit

Wer das konsequent umsetzt, entspannt das AVV-Thema deutlich - auch bei wechselnden Ansprechpartnern.

Praxis: Warum der digitale Abschluss beim AVV oft der entscheidende Faktor ist

AVVs kommen selten allein. Sie sind verbunden mit:

  • Einkauf und Dienstleistungsverträgen
  • IT-Einführung und Sicherheitsfreigaben
  • Datenschutzprüfung und Dokumentation

Gerade dort zählt Schnelligkeit - ohne Abkürzungen.

Aus dem Skribble E-Signing-Report (Deutschland, Dezember 2024):

  • Pro Signatur braucht man etwa 27 Minuten weniger Zeit als bei der handschriftlichen Unterschrift (ohne Warte- und Liegezeiten).
  • Eine konkrete Aussage eines Kunden aus dem Einkauf bringt den Effekt auf den Punkt:
    „Was früher mehrere Tage dauerte, ist heute in wenigen Minuten erledigt.“

Außerdem: Lieferanten- oder Dienstleistungsverträge gehören zu den am häufigsten elektronisch signierten Dokumenten (45 Prozent der Nennungen im Report). Das passt zur Realität: AVV sowie Dienstleistervertrag laufen oft im gleichen Prozess.

Auftragsverarbeitung digital unterschreiben mit Skribble

Wer AVVs regelmäßig abschließt, profitiert von einem Standardprozess mehr als von der perfekten Einzellösung.

Skribble ist darauf ausgerichtet, je nach Bedarf mit EES, FES oder QES zu unterschreiben - oft direkt im Browser (laut Report der häufigste Nutzungsweg). In Anwendungsfall-Unterlagen werden außerdem das Hosting in der Schweiz aber auch Deutschland als wichtiges Kriterium genannt.

Nutzen Sie Skribble, um Ihre Auftragsverarbeitung (AVV) elektronisch zu unterschreiben - nachvollziehbar dokumentiert und passend zur gewünschten Signaturstufe.

Häufige Fragen und Antworten

Ein AVV ist der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Er regelt die weisungsgebundene Verarbeitung personenbezogener Daten durch einen Dienstleister und legt Pflichten, Kontrollen, TOMs außerdem Regeln für Unterauftragnehmer fest.

Die DSGVO verlangt Schriftlichkeit, erlaubt aber ausdrücklich ein elektronisches Format. Entscheidend ist, dass der Vertragsschluss und der bestätigte Inhalt nachvollziehbar dokumentiert sind.

Aufsichtsbehörden betonen, dass nicht jede bestätigende E-Mail genügt. Nachvollziehbar sein muss, welcher Vertragsinhalt bestätigt wurde und dass beide Parteien die Information erhielten.

Hinweise von Aufsichtsbehörden besagen, dass das grundsätzlich möglich ist, wenn dokumentiert wird, welcher Inhalt bestätigt wurde und der Abschluss nachvollziehbar aufgezeichnet ist.

Art. 28 DSGVO nennt keinen eIDAS-Standard. In der Praxis wählen Unternehmen die Stufe nach Risiko, Beweisanforderungen und interner Regelung. QES ist nach gängiger Meinung in Deutschland nicht zwingend notwendig, stellt aber eine Option dar.

Art. 28 DSGVO nennt unter anderem Gegenstand als auch Dauer, Art und Zweck der Verarbeitung, Datenarten, Kategorien betroffener Personen sowie Rechte und Pflichten der Parteien. Hinzu kommen in der Praxis TOMs sowie Regeln für Subprozessoren.

Diese Artikel könnten Sie auch interessieren

Raus aus dem Papierkram. 

Rein in den digitalen Flow.

Einfach. Zertifiziert. Integriert. Lokal.

Kostenlos testen
Preise vergleichen

Kostenlose Testphase verfügbar.
Keine Kreditkarte nötig.
Nutzbar auf Deutsch, Englisch, Französisch und Italienisch.