Welche Bußgelder drohen in Österreich bei fehlendem AVV?

Das Fehlen eines DSGVO-konformen AVV (Auftragsverarbeitungsvertrag) ist eine eigenständige Pflichtverletzung, die nach DSGVO Art. 83 Abs. 4 lit. a mit Bußgeldern von bis zu €10.000.000 oder 2% des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres (je nachdem, welcher Betrag höher ist) sanktioniert werden kann. In Österreich verhängt die Datenschutzbehörde (DSB, dsb.gv.at) die Bußgelder. Die DSB berücksichtigt bei der Bemessung: Schwere und Dauer des Verstoßes; Anzahl der betroffenen Personen; Art der verarbeiteten Daten (besondere Kategorien nach Art. 9 erhöhen das Bußgeld); Vorsatz oder Fahrlässigkeit; Kooperationsbereitschaft mit der DSB. Bisherige DSB-Praxis: Bußgelder im Bereich von €500 bis €40.000 für mittlere Unternehmen; für Großunternehmen können Millionenbeträge verhängt werden (europaweit: Amazon €746 Mio., Meta €1,2 Mrd., in Österreich: Uniper SE €8 Mio.). Neben Bußgeldern: zivilrechtliche Schadenersatzansprüche betroffener Personen nach DSGVO Art. 82; Reputationsschäden durch DSB-Veröffentlichungen.

Brauchen auch kleine Unternehmen einen AVV in Österreich?

Ja — die DSGVO gilt unabhängig von der Unternehmensgröße. Es gibt keine Ausnahme von der AVV-Pflicht für KMU oder Kleinstunternehmen. Wenn ein kleines Unternehmen externe Dienstleister beauftragt, die personenbezogene Daten verarbeiten — z.B. eine externe Buchhaltungsstelle für die Lohnverrechnung, ein Webhosting-Anbieter für die Unternehmenswebsite, ein Cloud-E-Mail-Anbieter (Google Workspace, Microsoft 365) oder einen IT-Supportdienstleister — ist ein AVV zwingend erforderlich. Die einzige Ausnahme: Unternehmen mit weniger als 250 Mitarbeitern sind nach DSGVO Art. 30 Abs. 5 grundsätzlich von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ausgenommen, sofern die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nicht regelmäßig erfolgt und keine besonderen Datenkategorien nach Art. 9 umfasst. Diese Ausnahme betrifft NUR das Verarbeitungsverzeichnis — nicht die AVV-Pflicht nach Art. 28.

Können Standardvertragsklauseln der EU als AVV verwendet werden?

Ja — die Europäische Kommission hat mit Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 Standardvertragsklauseln (Standard Contractual Clauses — SCCs) für Auftragsverarbeitungsverträge innerhalb der EU erlassen. Diese EU-Standardklauseln können als AVV nach DSGVO Art. 28 verwendet werden und gelten als DSGVO-konform. Die Klauseln sind auf der Website der Europäischen Kommission frei verfügbar. Wichtig zu beachten: Die SCCs für Auftragsverarbeitung (Modul 3 des Durchführungsbeschlusses 2021/914 für internationale Übermittlungen) sind nicht dieselben wie die SCCs für internationale Datentransfers (Art. 46 DSGVO). Die Standardklauseln können auch als Vorlage für einen individuell angepassten AVV dienen; alle zwingenden Elemente nach Art. 28 Abs. 3 müssen enthalten sein. forms-legal.com bietet eine vollständige, österreichischrechtskonforme AVV-Vorlage nach DSGVO Art. 28, die alle Pflichtinhalte abdeckt und für die häufigsten Dienstleister-Szenarien (IT-Support, Cloud-Services, Marketing, Buchhaltung) angepasst werden kann.

Wie lange muss ein AVV in Österreich aufbewahrt werden?

Die Aufbewahrungspflicht für AVV ergibt sich aus mehreren Rechtsgrundlagen: (1) DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht): Der Verantwortliche muss nachweisen können, dass er DSGVO-konform handelt. Der AVV ist ein zentrales Dokument dieser Rechenschaftspflicht und sollte für die gesamte Dauer der Verarbeitung plus mindestens 3 Jahre nach Vertragsende aufbewahrt werden. (2) §212 UGB: Unternehmer sind verpflichtet, Geschäftsunterlagen (einschließlich Verträge) mindestens 7 Jahre aufzubewahren. (3) §132 BAO: Für steuerrelevante Unterlagen gilt eine 7-jährige Aufbewahrungspflicht. (4) Für Verträge, die besondere Datenkategorien nach DSGVO Art. 9 betreffen (z.B. Gesundheitsdaten in der Arztpraxis), empfiehlt sich eine längere Aufbewahrung gemäß den fachspezifischen Aufbewahrungsfristen (z.B. Krankenunterlagen: 30 Jahre nach §51 Abs. 3 ÄrzteG). Empfehlung: AVV sowie alle Weisungen, TOM-Dokumente, Sub-Auftragsverarbeiterlisten und Löschbestätigungen für mindestens 7 Jahre aufbewahren; bei länger laufenden Verarbeitungsverhältnissen: für die Dauer plus 7 Jahre.

Was passiert mit dem AVV, wenn der Auftragsverarbeiter insolvent wird?

Die Insolvenz des Auftragsverarbeiters ist ein Datenschutznotfall für den Verantwortlichen. Bei Eröffnung eines Insolvenzverfahrens nach der österreichischen Insolvenzordnung (IO) kann der Masseverwalter bestehende Verträge nach IO §21 erfüllen oder kündigen. Für den Verantwortlichen bedeutet die Kündigung des AVV: Verlust des Zugangs zu personenbezogenen Daten, die beim Auftragsverarbeiter gespeichert sind; sofortige Datenschutzrisiken, wenn der Masseverwalter keinen ausreichenden Datenschutz gewährleistet; Meldepflicht an die DSB, wenn Datenpannen aufgetreten sind. Schutzmaßnahmen im AVV: (1) Auflösende Bedingung bei Insolvenz: AVV endet mit Insolvenzeröffnung; alle Daten sind sofort herauszugeben oder zu löschen. (2) Daten-Herausgabepflicht: Masseverwalter muss alle personenbezogenen Daten des Verantwortlichen herausgeben — DSGVO verpflichtet zur Herausgabe auch im Insolvenzfall. (3) Sofortige Datenmigration: Vereinbaren Sie im AVV ein Notfallrecht zur sofortigen Datenmigration bei Insolvenz, ohne Kündigungsfristen einhalten zu müssen. (4) Daten-Escrow: Kritische Daten in einem unabhängigen Backup bei einem anderen Anbieter sichern.

Auftragsverarbeitungsvertrag (AVV) Österreich

Q: Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter nach DSGVO?

Der Verantwortliche (Controller) ist nach DSGVO Art. 4 Z 7 die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche bestimmt, WARUM und WIE Daten verarbeitet werden. Beispiele: Ein Unternehmen, das Kundendaten im CRM-System verwaltet; ein Arbeitgeber, der Mitarbeiterdaten für die Lohnverrechnung verarbeitet. Der Auftragsverarbeiter (Processor) ist nach DSGVO Art. 4 Z 8 jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter verarbeitet Daten nach den Weisungen des Verantwortlichen, ohne eigene Entscheidungsbefugnis über Zwecke und Mittel. Beispiele: IT-Dienstleister, der Server des Kunden wartet; Lohnverrechnungsstelle; Cloud-Anbieter. Die Abgrenzung ist entscheidend für die DSGVO-Pflichten: Verantwortliche haben die volle Rechtfertigungspflicht für die Datenverarbeitung; Auftragsverarbeiter haben spezifische Pflichten (nur auf Weisung handeln, AVV abschließen, TOMs implementieren). Beide können für DSGVO-Verstöße mit Bußgeldern belegt werden.

Q: Was sind technische und organisatorische Maßnahmen (TOMs) im AVV?

Technische und organisatorische Maßnahmen (TOMs) sind die konkreten Sicherheitsvorkehrungen, die der Auftragsverarbeiter nach DSGVO Art. 32 implementieren muss, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. DSGVO Art. 32 nennt als Beispiele: Pseudonymisierung und Verschlüsselung personenbezogener Daten; Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste; rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Fall eines physischen oder technischen Zwischenfalls; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs. In der AVV sollten folgende TOMs konkret beschrieben werden: Zugangskontrolle (Multi-Faktor-Authentifizierung, Berechtigungskonzept); Datenverschlüsselung (at rest: AES-256; in transit: TLS 1.3); Backup und Disaster-Recovery (RPO, RTO); Patch-Management (regelmäßige Sicherheits-Updates); Physische Sicherheit des Rechenzentrums (ISO 27001-Zertifizierung); Mitarbeiterschulungen; Pseudonymisierung wo möglich; Logging und Monitoring (SIEM). Die TOMs sind als verbindlicher Anhang zum AVV zu dokumentieren und bei technischen Änderungen zu aktualisieren.

DSGVO Art. 28; DSG §6 (BGBl I Nr. 165/1999)

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

gemäß DSGVO Art. 28; DSG §6 (BGBl I Nr. 165/1999 idF 2018)

1. VERTRAGSPARTEIEN

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) wird abgeschlossen zwischen:

VERANTWORTLICHER (Controller, Art. 4 Z 7 DSGVO): [Verantwortlicher Name] Firmenbuchnummer: [Verantwortlicher FN] UID-Nummer: [Verantwortlicher UID] Geschäftsanschrift: [Verantwortlicher Adresse] Datenschutzbeauftragter: [Verantwortlicher DSB]

AUFTRAGSVERARBEITER (Processor, Art. 4 Z 8 DSGVO): [Auftragsverarbeiter Name] Firmenbuchnummer: [Auftragsverarbeiter FN] UID-Nummer: [Auftragsverarbeiter UID] Geschäftsanschrift: [Auftragsverarbeiter Adresse] Datenschutzbeauftragter: [Auftragsverarbeiter DSB]

2. GEGENSTAND, ZWECK UND DAUER DER VERARBEITUNG (ART. 28 ABS. 3 DSGVO)

2.1

Gegenstand der Verarbeitung: [Verarbeitungsgegenstand]

2.2

Zweck der Verarbeitung: [Verarbeitungszweck]

2.3

Kategorien personenbezogener Daten: [Datenkategorien]

2.4

Kategorien betroffener Personen: [Betroffenenkategorien]

2.5

Dauer der Verarbeitung: Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende wird die Verarbeitung eingestellt; Daten werden nach den gesetzlichen Aufbewahrungsfristen gelöscht (§132 BAO — 7 Jahre für steuerrelevante Daten; DSGVO Art. 5 Abs. 1 lit. e für übrige Daten).

2.6

Verarbeitungsort: [Verarbeitungsort]

3. PFLICHTEN DES AUFTRAGSVERARBEITERS (ART. 28 ABS. 3 DSGVO)

3.1

Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO): Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Wenn eine Weisung nach Ansicht des Auftragsverarbeiters gegen DSGVO oder nationales Recht verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

3.2

Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO): Alle Personen des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten haben, wurden zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Schweigepflicht.

3.3

Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c; Art. 32 DSGVO): [TOM-Maßnahmen]

3.4

Sub-Auftragsverarbeiter (Art. 28 Abs. 2 und 3 lit. d DSGVO): Genehmigungsmodell: [Sub-AV-Genehmigung] Genehmigte Sub-Auftragsverarbeiter: [Sub-AV-Liste] Der Auftragsverarbeiter stellt sicher, dass Sub-Auftragsverarbeiter denselben Datenschutzpflichten unterliegen (Art. 28 Abs. 4 DSGVO).

3.5

Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Rechte betroffener Personen: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen sind binnen 72 Stunden an den Verantwortlichen weiterzuleiten.

3.6

Unterstützung bei Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen bei der DSB.

3.7

Meldung von Datenpannen (Art. 33 DSGVO; §22a DSG): Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten — in jedem Fall binnen 24 Stunden — um dem Verantwortlichen die Einhaltung der 72-Stunden-Meldefrist an die österreichische Datenschutzbehörde (DSB, dsb.gv.at) nach Art. 33 DSGVO zu ermöglichen.

3.8

Löschung und Rückgabe (Art. 28 Abs. 3 lit. g DSGVO): Nach Abschluss der Verarbeitungsleistungen gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück oder löscht diese binnen 30 Tagen nach Vertragsende, es sei denn, Unionsrecht oder österreichisches Recht schreibt eine Speicherung vor. Der Auftragsverarbeiter stellt dem Verantwortlichen eine schriftliche Löschbestätigung aus.

3.9

Prüfungen und Audits (Art. 28 Abs. 3 lit. h DSGVO): Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und ermöglicht Audits und Inspektionen durch den Verantwortlichen oder einen beauftragten Dritten (z.B. Wirtschaftsprüfer, DSB-Inspektion). Audits sind mit 4 Wochen Voranmeldung anzukündigen; maximal 1 Audit pro Jahr.

4. HAFTUNG UND SCHADENSERSATZ (ART. 82 DSGVO; §1295 ABGB)

4.1

Der Auftragsverarbeiter haftet dem Verantwortlichen für Schäden, die durch Verletzung der in diesem AVV oder der DSGVO auferlegten Pflichten entstehen, nach §1295 ABGB und DSGVO Art. 82.

4.2

Gegenüber betroffenen Personen haftet der Auftragsverarbeiter nach DSGVO Art. 82 Abs. 2, wenn er gegen die ihm nach DSGVO auferlegten Pflichten verstoßen hat oder außerhalb der rechtmäßigen Weisungen des Verantwortlichen gehandelt hat. Eine vertragliche Haftungsbeschränkung entbindet nicht von der Haftung gegenüber betroffenen Personen.

5. SCHLUSSBESTIMMUNGEN

5.1

Dieser AVV gilt für die Dauer des Hauptvertrags und endet automatisch mit diesem. Die Pflichten aus Punkt 3.3 (TOMs), 3.2 (Vertraulichkeit) und 3.8 (Löschung) überdauern das Vertragsende.

5.2

Anwendbares Recht: Österreich (DSGVO; DSG BGBl I Nr. 165/1999 idF 2018; ABGB). Österreichische Datenschutzbehörde (DSB, dsb.gv.at) als Aufsichtsbehörde. Gerichtsstand: Wien.

5.3

Salvatorische Klausel (§916 ABGB): Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt der übrige Inhalt davon unberührt. Dieser AVV ist schriftlich oder in gleichwertiger elektronischer Form zu führen (DSGVO Art. 28 Abs. 9).

Abgeschlossen am: _______________

Verantwortlicher (Controller) / Vertretungsberechtigte Person

________________

Signature

Auftragsverarbeiter (Processor) / Vertretungsberechtigte Person

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Auftragsverarbeitungsvertrag (AVV) Österreich?

Der Auftragsverarbeitungsvertrag (AVV) in Österreich ist ein zwingend vorgeschriebener Vertrag nach DSGVO Art. 28 (Datenschutz-Grundverordnung, Verordnung EU 2016/679) zwischen einem Verantwortlichen (Controller) und einem Auftragsverarbeiter (Processor). Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (DSGVO Art. 4 Z 7). Auftragsverarbeiter ist jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (DSGVO Art. 4 Z 8).

Der AVV ist kein optionales Vertragszusatz, sondern eine gesetzliche Pflicht: DSGVO Art. 28 Abs. 3 bestimmt ausdrücklich, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen muss, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien von betroffenen Personen und die Pflichten und Rechte des Verantwortlichen festlegt. Der AVV muss schriftlich oder in einem gleichwertigen elektronischen Format vorliegen (DSGVO Art. 28 Abs. 9).

In Österreich überwacht die Datenschutzbehörde (DSB) als nationale Aufsichtsbehörde gemäß DSGVO Art. 51 die Einhaltung der DSGVO-Pflichten. Das Fehlen eines DSGVO-konformen AVV stellt eine eigenständige Pflichtverletzung des Verantwortlichen dar, die gemäß DSGVO Art. 83 Abs. 4 lit. a mit Bußgeldern bis zu €10.000.000 oder 2% des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) sanktioniert werden kann. Neben der DSB können nach §29 DSG (Datenschutzgesetz BGBl I Nr. 165/1999 idF 2018) auch betroffene Personen eine Datenschutzbeschwerde einbringen.

Das österreichische Datenschutzgesetz (DSG) als nationales Durchführungsgesetz zur DSGVO enthält in §6 DSG ergänzende Regelungen zur Auftragsverarbeitung. Der OGH hat in seiner Rechtsprechung (z.B. OGH 6 Ob 171/22t) die zivilrechtliche Haftung zwischen Verantwortlichen und Auftragsverarbeitern für DSGVO-Verstöße konkretisiert: Auftragsverarbeiter haften betroffenen Personen direkt nach DSGVO Art. 82 Abs. 2, wenn sie gegen die ihnen nach DSGVO auferlegten Pflichten verstoßen haben oder außerhalb der rechtmäßigen Weisungen des Verantwortlichen gehandelt haben.

Wann brauchen Sie Auftragsverarbeitungsvertrag (AVV) Österreich?

Einen Auftragsverarbeitungsvertrag (AVV) in Österreich benötigen Sie immer, wenn ein Dritter (externe Dienstleister, Subunternehmer, Cloud-Anbieter) personenbezogene Daten im Auftrag Ihres Unternehmens verarbeitet. Dies ist in folgenden typischen Situationen der Fall:

IT-Dienstleister und Managed Service Provider (MSP): Jeder IT-Support-Anbieter, der auf Server mit personenbezogenen Daten zugreift (Mitarbeiterdaten im Active Directory, E-Mail-Postfächer, CRM-Kundendaten), ist Auftragsverarbeiter. Ohne AVV zwischen Ihrem Unternehmen (Verantwortlicher) und dem IT-Dienstleister (Auftragsverarbeiter) ist die Auslagerung nicht DSGVO-konform.

Cloud-Computing und SaaS: Jeder Cloud-Dienst, der personenbezogene Daten speichert oder verarbeitet — von Microsoft 365 und Google Workspace über AWS bis zu branchenspezifischer Fachsoftware — erfordert einen AVV. Microsoft, Google und AWS bieten standardisierte Data Processing Addenda (DPA) an, die als AVV nach DSGVO Art. 28 qualifizieren.

Marketing und Newsletter-Dienstleister: E-Mail-Marketing-Plattformen (z.B. Mailchimp, CleverReach, GetResponse) verarbeiten personenbezogene Daten der Newsletter-Abonnenten im Auftrag des Unternehmens. Ohne AVV ist der Newsletter-Versand nicht DSGVO-konform — auch wenn die Empfänger eingewilligt haben, betrifft die AVV-Pflicht das Verhältnis zum Dienstleister, nicht zum Empfänger.

Buchhaltung und Lohnverrechnung: Steuerberater und externe Lohnverrechnungsstellen, die Mitarbeiterdaten (Löhne, Bankverbindungen, Sozialversicherungsnummern) verarbeiten, sind Auftragsverarbeiter. Die AVV ist neben dem Steuerberatungsvertrag ein eigenständiges DSGVO-Dokument.

Marktforschung und Datenanalyse: Externe Marktforschungsunternehmen, die Kundendaten analysieren, und Datenanalyse-Dienstleister (Business Intelligence, CRM-Analytics) sind Auftragsverarbeiter und benötigen eine AVV.

Was gehört in Ihr Auftragsverarbeitungsvertrag (AVV) Österreich?

Die DSGVO Art. 28 Abs. 3 schreibt einen Pflichtinhalt für den AVV vor. Der forms-legal.com AVV Österreich enthält alle gesetzlich vorgeschriebenen und empfohlenen Elemente:

**1. Weisungsgebundenheit (DSGVO Art. 28 Abs. 3 lit. a):** Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (schriftliche Weisungen im Vertrag, per E-Mail oder in Änderungsaufträgen). Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, eine Weisung verstoße gegen DSGVO oder nationales Datenschutzrecht.

**2. Vertraulichkeit (Art. 28 Abs. 3 lit. b):** Alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind (Mitarbeiter, Subunternehmer), wurden zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Schweigepflicht. Nachweis durch Vertraulichkeitserklärungen der Mitarbeiter.

**3. Technische und organisatorische Maßnahmen (TOMs) (Art. 28 Abs. 3 lit. c iVm Art. 32):** Sicherheitsmaßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus: Pseudonymisierung und Verschlüsselung; Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme; Wiederherstellung nach Datenpannen (Backup, Disaster Recovery); regelmäßige Überprüfung (Penetrationstests, Audits). TOM-Liste als verbindlicher Anhang zum AVV.

**4. Sub-Auftragsverarbeiter (Art. 28 Abs. 3 lit. d; Art. 28 Abs. 2):** Der Auftragsverarbeiter darf keine weiteren Auftragsverarbeiter (Sub-Auftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen einsetzen. Zwei Modelle: Einzelgenehmigung (für jeden Sub-AV) oder allgemeine Genehmigung (Liste der genehmigten Sub-AVs mit Widerspruchsrecht bei Änderungen). Der Auftragsverarbeiter stellt sicher, dass Sub-AVs denselben Datenschutzpflichten unterliegen (Art. 28 Abs. 4). Bei Nichterfüllung: Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen.

**5. Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e):** Auskunftsrecht (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21): Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung dieser Rechte.

**6. Löschung und Rückgabe (Art. 28 Abs. 3 lit. g):** Nach Abschluss der Verarbeitungsleistung: Rückgabe aller personenbezogenen Daten und Löschung bestehender Kopien, es sei denn, Unionsrecht oder nationales Recht schreibt die Speicherung vor. Löschbestätigung schriftlich binnen 30 Tagen nach Vertragsende.

**7. Prüfungen und Audits (Art. 28 Abs. 3 lit. h):** Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und ermöglicht Audits und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer.

**8. Meldepflicht bei Datenpannen (Art. 33 DSGVO; §22a DSG):** Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Datenpanne). Meldung an die DSB durch den Verantwortlichen binnen 72 Stunden (Art. 33 DSGVO); Information betroffener Personen bei hohem Risiko (Art. 34 DSGVO).

**9. Verarbeitungsverzeichnis (Art. 30 DSGVO):** Sowohl Verantwortlicher als auch Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis führen. Im AVV klären: Wer führt welchen Teil des Verarbeitungsverzeichnisses?

So füllen Sie Ihr Auftragsverarbeitungsvertrag (AVV) Österreich aus

Den AVV Österreich auf forms-legal.com befüllen Sie in folgenden Schritten DSGVO-konform:

**Schritt 1 — Parteien identifizieren:** Verantwortlicher: Ihr Unternehmen (Firma, Firmenbuchnummer FN, UID-Nummer ATU…, Adresse, Datenschutzbeauftragter falls vorhanden). Auftragsverarbeiter: Dienstleister (Firma, FN, UID, Adresse, Datenschutzbeauftragter). Tipp: Prüfen Sie auf firmenbuch.at, ob der Dienstleister korrekt eingetragen ist.

**Schritt 2 — Verarbeitung beschreiben:** Gegenstand der Verarbeitung: Was für Daten werden verarbeitet? (z.B. Namen, E-Mail-Adressen, Telefonnummern, Zahlungsdaten, Gesundheitsdaten). Kategorien betroffener Personen: Kunden, Mitarbeiter, Interessenten, Webseitenbesucher. Zweck der Verarbeitung: IT-Support, Buchhaltung, E-Mail-Marketing, Lohnverrechnung. Dauer der Verarbeitung: Vertragslaufzeit plus Aufbewahrungsfristen nach §132 BAO (7 Jahre für steuerrelevante Daten).

**Schritt 3 — Weisungen dokumentieren:** Legen Sie fest, in welcher Form Weisungen erteilt werden: per E-Mail, im Ticket-System, als schriftliche Änderungsaufträge. Legen Sie fest, wer auf Kundenseite weisungsbefugt ist (z.B. nur Datenschutzbeauftragter und Geschäftsführer).

**Schritt 4 — TOM-Anhang erstellen:** Technische und organisatorische Maßnahmen: Beschreiben Sie konkret, welche Sicherheitsmaßnahmen der Auftragsverarbeiter implementiert: Verschlüsselung (TLS 1.3, AES-256); Zugriffskontrolle (Multi-Faktor-Authentifizierung, Role-Based Access Control); Logging und Monitoring; Backup-Konzept; Schulungen der Mitarbeiter. Die DSB und betroffene Personen können im Streitfall die Einhaltung prüfen.

**Schritt 5 — Sub-Auftragsverarbeiter genehmigen:** Listen Sie alle Sub-Auftragsverarbeiter des Dienstleisters auf (z.B. Cloud-Provider: Microsoft Azure, EU-Rechenzentrum Frankfurt; E-Mail-Server: Google Workspace). Entscheiden Sie: Einzelgenehmigung oder allgemeine Genehmigung mit Widerspruchsrecht (Ankündigungsfrist: mindestens 30 Tage vor Einsatz eines neuen Sub-AVs).

**Schritt 6 — Löschkonzept festlegen:** Nach Vertragsende: Welche Daten werden wann gelöscht? Wo werden Datenkopien aufbewahrt? Wer bestätigt die vollständige Löschung schriftlich? Löschfristen beachten: §132 BAO (7 Jahre für steuerrelevante Daten) geht der DSGVO-Löschpflicht vor.

**Schritt 7 — Unterzeichnen und aufbewahren:** AVV und TOM-Anhang unterzeichnen (elektronische Signatur nach eIDAS-Verordnung rechtlich gleichwertig). Aufbewahrung für die Dauer der Verarbeitung plus 3 Jahre (DSGVO Art. 5 Abs. 2 — Rechenschaftspflicht).

Rechtliche Anforderungen für Auftragsverarbeitungsvertrag (AVV) Österreich

Der AVV in Österreich muss folgende gesetzliche Anforderungen erfüllen:

**DSGVO Art. 28 — Pflichtinhalt:** Der AVV muss schriftlich oder elektronisch (Art. 28 Abs. 9) vorliegen und alle in Art. 28 Abs. 3 lit. a–h genannten Pflichten des Auftragsverarbeiters festlegen. Die Europäischen Standardvertragsklauseln (Durchführungsbeschluss EU 2021/915 der Europäischen Kommission) können als Vorlage verwendet werden und gelten als DSGVO-konform.

**Datenschutzbehörde (DSB) als österreichische Aufsichtsbehörde:** Die DSB (dsb.gv.at) ist nach DSGVO Art. 51 iVm §18 DSG die österreichische Aufsichtsbehörde. Die DSB kann nach DSGVO Art. 58 untersuchungs- und abhilfebefugte Maßnahmen ergreifen (Prüfungen, Weisungen, vorübergehende/dauerhafte Verarbeitungsverbote) und Bußgelder nach Art. 83 verhängen. Verstöße gegen Art. 28 (fehlender AVV, unvollständiger AVV): bis zu €10.000.000 oder 2% des Jahresumsatzes.

**DSG §6 — Nationales Durchführungsrecht:** Das österreichische DSG ergänzt die DSGVO in Bereichen, die Mitgliedstaaten regeln dürfen: Datenverarbeitung im öffentlichen Bereich; strafrechtliche Sanktionen nach §62–64 DSG (Freiheitsstrafe bis zu 1 Jahr oder Geldstrafe bei vorsätzlichem unbefugtem Zugriff auf Daten). Die §§27–31 DSG regeln die Rechte betroffener Personen in Österreich.

**Drittlandtransfers (DSGVO Kapitel V):** Wenn Daten an Auftragsverarbeiter in Drittländern (außerhalb EU/EWR) übermittelt werden, ist ein Angemessenheitsbeschluss (Art. 45) oder ein geeignetes Schutzinstrument (Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c; verbindliche interne Datenschutzvorschriften nach Art. 47; EU-US Data Privacy Framework nach Durchführungsbeschluss 2023/1795) erforderlich. Im AVV muss geregelt sein, ob und in welche Drittländer Daten übermittelt werden.

**Besondere Datenkategorien (DSGVO Art. 9):** Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen und andere besondere Kategorien personenbezogener Daten erfordern eine ausdrückliche Rechtsgrundlage nach Art. 9 Abs. 2. Im AVV sollte dies ausdrücklich geregelt sein.

Häufige Fehler bei Ihrem Auftragsverarbeitungsvertrag (AVV) Österreich

Häufige Fehler bei Auftragsverarbeitungsverträgen in Österreich:

**Fehler 1 — Fehlen des AVV:** Viele Unternehmen beauftragen IT-Dienstleister, Marketingagenturen oder externe Buchhaltungsstellen ohne AVV und bemerken den Verstoß erst bei einer DSB-Prüfung oder nach einem Datenschutzvorfall. Jede Beauftragung eines externen Dienstleisters, der personenbezogene Daten verarbeitet, erfordert einen AVV — ohne Ausnahme.

**Fehler 2 — Unvollständiger AVV ohne TOM-Anhang:** Viele AVV enthalten keine konkreten technischen und organisatorischen Maßnahmen (TOMs) oder verweisen nur vage auf „angemessene Sicherheitsmaßnahmen“. Die DSGVO Art. 32 erfordert ein dem Risiko angemessenes Schutzniveau; abstrakte Formulierungen sind nicht ausreichend. Lösung: Konkrete TOM-Liste als AVV-Anhang mit Angaben zu Verschlüsselung, Zugriffskontrolle, Backup, Löschkonzept.

**Fehler 3 — Sub-Auftragsverarbeiter nicht genehmigt:** Cloud-Provider (AWS, Azure, Google Cloud), E-Mail-Anbieter und andere Sub-Auftragsverarbeiter des Dienstleisters müssen entweder einzeln genehmigt oder durch eine allgemeine Genehmigungsklausel mit Widerspruchsrecht abgedeckt sein. Fehlende Genehmigung ist eine eigenständige DSGVO-Pflichtverletzung nach Art. 28 Abs. 2.

**Fehler 4 — Kein Drittlandtransfer-Kapitel trotz US-Cloud:** US-amerikanische Cloud-Dienste (AWS, Google, Microsoft) waren nach dem Schrems-II-Urteil des EuGH (C-311/18, 16.7.2020) ohne gültige Übermittlungsgrundlage problematisch. Seit dem EU-US Data Privacy Framework (Durchführungsbeschluss 2023/1795) können Übermittlungen an zertifizierte US-Unternehmen wieder einfacher erfolgen. Im AVV muss die Übermittlungsgrundlage ausdrücklich angegeben werden.

**Fehler 5 — Keine Löschbestätigung nach Vertragsende:** DSGVO Art. 28 Abs. 3 lit. g schreibt vor, dass nach Ende der Verarbeitung alle personenbezogenen Daten gelöscht oder zurückgegeben werden müssen. Viele Dienstleister versäumen die Löschbestätigung; viele Auftraggeber fragen nicht nach. Lösung: Im AVV konkrete Löschfrist (z.B. 30 Tage nach Vertragsende) und Pflicht zur schriftlichen Löschbestätigung festlegen.

Quellen und Zitate

Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.

eIDASEU official

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Auftragsverarbeitungsvertrag (AVV) Österreich (Österreich) [Legal document template]. Forms Legal. https://forms-legal.com/de/austria/business/contracts/datenschutz-auftragsverarbeitung-oesterreich

MLA

"Auftragsverarbeitungsvertrag (AVV) Österreich (Österreich)." Forms Legal, 2026, https://forms-legal.com/de/austria/business/contracts/datenschutz-auftragsverarbeitung-oesterreich.

BibTeX

@misc{formslegal-datenschutz-auftragsverarbeitung-oesterreich,
  author       = {{Forms Legal}},
  title        = {Auftragsverarbeitungsvertrag (AVV) Österreich (Österreich)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/austria/business/contracts/datenschutz-auftragsverarbeitung-oesterreich}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid