Auftragsverarbeitungsvertrag (AVV) für Online-Shops: Vorlage & Pflichten
Ein Auftragsverarbeitungsvertrag (AVV) ist ein schriftlicher Vertrag, den Sie nach Art. 28 DSGVO mit jedem Dienstleister abschließen müssen, der personenbezogene Daten Ihrer Kunden in Ihrem Auftrag verarbeitet. Für Shopify-Händler bedeutet das: Sobald Sie Shopify, ein E-Mail-Marketing-Tool, Google Analytics oder einen Zahlungsanbieter einsetzen, brauchen Sie einen gültigen AVV. Fehlt er, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Dieser Leitfaden erklärt, wann ein AVV Pflicht ist, was er enthalten muss, und wie Sie die Verwaltung für Ihren Shopify-Shop einfach und rechtssicher organisieren.
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (kurz AVV, früher auch ADV nach BDSG) regelt das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Als Online-Shop-Betreiber sind Sie der Verantwortliche: Sie entscheiden, welche Daten Sie für welche Zwecke erheben. Der Auftragsverarbeiter ist der externe Dienstleister, der Ihre Daten nach Ihren Vorgaben verarbeitet, ohne selbst die Zwecke zu bestimmen.
Die Rechtsgrundlage ist Art. 28 DSGVO. Er legt fest, dass eine Auftragsverarbeitung nur auf Grundlage eines Vertrags erfolgen darf, der den Auftragsverarbeiter bindet und bestimmte Mindestinhalte enthält.
Wichtige Abgrenzung: Nicht jede Datenweitergabe an Dritte ist eine Auftragsverarbeitung. Wenn ein Empfänger die Daten für eigene Zwecke nutzt (z. B. Kreditkartenunternehmen, die Transaktionsdaten für eigene Betrugsanalysen verwenden), handelt es sich um eine gemeinsame Verantwortlichkeit oder eine eigenständige Verarbeitung. Für diese Konstellationen sind andere Vereinbarungen erforderlich.
Wann ist ein AVV erforderlich?
Ein AVV ist immer dann erforderlich, wenn alle drei folgenden Voraussetzungen erfüllt sind:
- Personenbezogene Daten werden übermittelt oder zugänglich gemacht. Dazu gehören Namen, E-Mail-Adressen, IP-Adressen, Kaufhistorien und sämtliche anderen Informationen, die eine natürliche Person identifizierbar machen.
- Ein externer Dienstleister verarbeitet diese Daten. Das schließt Cloud-Dienste, SaaS-Plattformen, Hosting-Anbieter und Agenturen ein.
- Der Dienstleister handelt nach Ihren Weisungen. Er bestimmt nicht selbst den Zweck der Verarbeitung, sondern führt eine Dienstleistung für Sie aus.
Typische Fälle, die keinen AVV erfordern:
- Kreditkartenunternehmen oder PayPal (eigenständige Verantwortliche für ihren Teil der Transaktion)
- Steuerbehörden und Behörden (gesetzliche Verpflichtung)
- Unabhängige Auftragnehmer, die Daten für eigene Geschäftszwecke nutzen
Typische Fälle, die einen AVV erfordern:
- Shopify als Plattformbetreiber
- E-Mail-Marketing-Dienste (Klaviyo, Mailchimp, Brevo)
- Web-Analytics-Tools (Google Analytics, Matomo, wenn gehostet)
- Cloud-Hosting und CDN-Anbieter
- Kundensupport-Plattformen (Gorgias, Zendesk)
- Druckdienstleister und Fulfillment-Partner
Pflichtinhalt nach Art. 28 DSGVO
Art. 28 DSGVO schreibt vor, welche Mindestinhalte ein AVV haben muss. Fehlt auch nur ein Pflichtelement, ist der Vertrag nicht DSGVO-konform. Die folgenden Punkte müssen im AVV geregelt sein:
- Gegenstand, Dauer und Art der Verarbeitung: Was wird verarbeitet, wie lange und in welcher Form?
- Zweck der Verarbeitung: Wofür werden die Daten genutzt?
- Art der personenbezogenen Daten: Welche Datenkategorien sind betroffen (z. B. Kontaktdaten, Zahlungsdaten)?
- Kategorien betroffener Personen: Welche Personengruppen sind betroffen (z. B. Kunden, Interessenten)?
- Weisungsgebundenheit: Der Auftragsverarbeiter darf Daten nur nach schriftlicher Weisung des Verantwortlichen verarbeiten.
- Vertraulichkeit: Alle beteiligten Personen müssen zur Verschwiegenheit verpflichtet sein.
- Technische und organisatorische Maßnahmen (TOM): Nachweis geeigneter Sicherheitsmaßnahmen gemäß Art. 32 DSGVO.
- Unterauftragsverarbeiter: Bedingungen, unter denen weitere Dienstleister einbezogen werden dürfen; Listenpflicht.
- Betroffenenrechte: Unterstützung bei Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsanfragen.
- Löschung oder Rückgabe nach Vertragsende: Was passiert mit den Daten nach Beendigung der Zusammenarbeit?
- Nachweispflicht und Audits: Der Auftragsverarbeiter muss Kontrollen durch den Verantwortlichen oder Drittprüfer ermöglichen.
- Unterrichtungspflicht bei Datenpannen: Meldepflicht gegenüber dem Verantwortlichen bei Sicherheitsvorfällen.
Typische AVV-Pflichten für Shopify-Shops
Als Shopify-Händler arbeiten Sie in der Regel mit einer Vielzahl von Drittanbietern zusammen. Für alle folgenden Dienste benötigen Sie einen gültigen AVV:
Shopify selbst
Shopify verarbeitet alle Kundendaten, die über Ihren Shop laufen, inklusive Bestelldaten, Zahlungsinformationen und Verhaltensdaten. Shopify stellt unter den Datenschutzeinstellungen im Händler-Dashboard einen eigenen DPA (Data Processing Agreement) bereit. Diesen müssen Sie aktiv akzeptieren.
Zahlungsanbieter
Bei Shopify Payments (betrieben von Stripe) ist ein separater DPA mit Stripe erforderlich. Für PayPal gilt: PayPal agiert als eigenständiger Verantwortlicher für seine eigenen Dienste, jedoch verarbeitet PayPal als Checkout-Anbieter in bestimmten Szenarien auch Daten in Ihrem Auftrag. Prüfen Sie die aktuellen Vertragsdokumente von PayPal.
E-Mail-Marketing
Klaviyo, Mailchimp und Brevo erhalten Kundendaten wie E-Mail-Adressen, Kaufhistorien und Klickverhalten. Für alle drei Anbieter müssen Sie den DPA im jeweiligen Account-Einstellungsbereich akzeptieren oder separat anfordern.
| Anbieter | Wo der AVV zu finden ist |
|---|---|
| Shopify | Admin > Einstellungen > Datenschutz und Compliance |
| Klaviyo | Account > Privacy > Data Processing Agreement |
| Mailchimp | Account > Legal > Data Processing Agreement |
| Brevo | Profil > DSGVO > DPA herunterladen |
| Google Analytics 4 | Google Ads Datenschutzzentrum oder Analytics-Admin |
Analytics und Tracking
Google Analytics 4 verarbeitet IP-Adressen und Nutzungsverhalten Ihrer Besucher. Google stellt einen DPA bereit, den Sie in der Google-Konsolenverwaltung akzeptieren müssen. Beachten Sie zudem die Anforderungen an die Einwilligung (Consent Mode).
Kundensupport und Fulfillment
Dienste wie Gorgias oder Zendesk erhalten Kundennamen, E-Mail-Adressen und Bestelldetails. Für Fulfillment-Dienstleister und 3PL-Anbieter, die Zugriff auf Kundenadressen haben, ist ebenfalls ein AVV abzuschließen.
AVV Muster: Die wichtigsten Klauseln
Ein vollständiger AVV für Ihren Shopify-Shop sollte folgende Kernklauseln enthalten. Das folgende Muster dient als Orientierung und ersetzt keine rechtliche Beratung im Einzelfall.
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
zwischen [Name und Adresse des Verantwortlichen, also Ihres Unternehmens] (nachfolgend: “Verantwortlicher”)
und [Name und Adresse des Auftragsverarbeiters, also des Dienstleisters] (nachfolgend: “Auftragsverarbeiter”)
§ 1 Gegenstand und Dauer
Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen von [Beschreibung der Dienstleistung, z. B. “E-Mail-Marketing-Dienstleistungen”]. Die Laufzeit des Vertrags entspricht der Laufzeit des Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet folgende Datenkategorien:
- Kontaktdaten (Name, E-Mail-Adresse, Anschrift)
- Kaufhistorie und Bestelldaten
- Verhaltensdaten (z. B. Öffnungsraten, Klickverhalten)
Zweck der Verarbeitung: [Konkreter Zweck, z. B. “Versand von Transaktions- und Marketing-E-Mails an Kunden des Verantwortlichen”].
Betroffene Personengruppen: Kunden und Interessenten des Verantwortlichen.
§ 3 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen werden schriftlich oder in Textform erteilt.
§ 4 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet worden sind.
§ 5 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft die in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.
§ 6 Unterauftragsverarbeiter
Die Beauftragung von Unterauftragsverarbeitern ist nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig. Eine Liste aktuell eingesetzter Unterauftragsverarbeiter ist als Anlage 2 beigefügt.
§ 7 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit).
§ 8 Datenpannen
Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen.
§ 9 Löschung und Rückgabe
Nach Beendigung der Dienstleistung löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
§ 10 Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Kontrollen.
Hinweis zur Verwendung: Passen Sie dieses Muster an die konkrete Dienstleistungsbeziehung an. Viele große Anbieter (Shopify, Klaviyo, Google) stellen eigene, rechtlich geprüfte DPA-Vorlagen bereit, die Sie nutzen sollten.
So schließen Sie einen AVV ab: Schritt für Schritt
Der Abschluss eines AVV ist kein bürokratisches Hindernis, wenn Sie systematisch vorgehen.
Schritt 1: Alle Auftragsverarbeiter identifizieren
Erstellen Sie eine Liste aller Dienste und Dienstleister, die Zugriff auf personenbezogene Daten Ihrer Kunden haben. Durchsuchen Sie Ihre Shopify-Apps, Ihre DNS-Einstellungen, Ihre Analytics-Tools und jede externe Plattform, die Sie für den Shop nutzen.
Schritt 2: Bestehende DPAs prüfen
Viele große Anbieter bieten ihren AVV bereits automatisch als Teil ihrer Nutzungsbedingungen an oder stellen ihn zum Download bereit. Prüfen Sie zunächst, ob ein DPA bereits vorhanden ist und ob er alle Pflichtinhalte nach Art. 28 DSGVO abdeckt.
Schritt 3: AVV abschließen oder anfordern
Für Anbieter ohne vorgefertigten DPA: Verwenden Sie Ihr eigenes Muster (siehe oben) und lassen Sie es vom Dienstleister unterzeichnen. Bei Anbietern, die keine AVV akzeptieren, müssen Sie prüfen, ob die Zusammenarbeit DSGVO-konform fortgeführt werden kann.
Schritt 4: Dokumentieren
Speichern Sie alle abgeschlossenen AVVs zentral und mit Datum. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO sollte für jede Verarbeitungstätigkeit auf den zugehörigen AVV verweisen.
Schritt 5: Regelmäßig überprüfen
Jedes Mal, wenn Sie einen neuen Dienst in Ihren Shopify-Shop integrieren, müssen Sie prüfen, ob ein AVV erforderlich ist. Bestehende AVVs sollten bei Vertragsänderungen oder Änderungen in der Datenverarbeitung aktualisiert werden.
Was passiert ohne AVV? Bußgelder und Abmahnungen
Das Fehlen eines AVV ist kein Kavaliersdelikt. Die Konsequenzen können erheblich sein.
Bußgelder nach DSGVO
Nach Art. 83 Abs. 4 DSGVO können Verstöße gegen Art. 28 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.
Datenschutzbehörden in Deutschland (wie der BfDI oder die Landesdatenschutzbehörden) haben in der Vergangenheit Bußgelder auch gegen kleine und mittelständische Unternehmen verhängt, die keine oder mangelhafte AVVs vorgewiesen haben.
Abmahnungen durch Mitbewerber und Verbände
In Deutschland ist es Mitbewerbern und abmahnberechtigten Verbänden (z. B. nach UWG) grundsätzlich möglich, DSGVO-Verstöße abzumahnen, wenn diese zugleich einen Wettbewerbsnachteil begründen. Obwohl die Rechtslage hier nicht vollständig einheitlich ist, haben mehrere Gerichte Abmahnungen wegen DSGVO-Verstößen anerkannt.
Reputationsrisiken
Datenschutzrechtliche Vorfälle werden zunehmend öffentlich. Ein fehlendes AVV, das im Zuge einer Datenpanne bekannt wird, kann das Vertrauen Ihrer Kunden nachhaltig beschädigen.
Zivilrechtliche Ansprüche Betroffener
Kunden, deren Daten ohne gültigen AVV verarbeitet wurden, können nach Art. 82 DSGVO Schadensersatz verlangen. Gerichte haben in jüngerer Zeit auch immaterielle Schäden (z. B. Kontrollverlust über eigene Daten) als ausreichend anerkannt.
Fazit: Die Kosten für einen ordentlichen AVV sind gering im Vergleich zu den potenziellen Folgekosten eines fehlenden Vertrags.
AVV automatisiert verwalten mit shopcompliance.net
Die manuelle Verwaltung von AVVs für einen Shopify-Shop wird mit wachsender App-Zahl schnell unübersichtlich. Shopcompliance.net ist eine Compliance-Lösung, die speziell für Shopify-Händler entwickelt wurde und die DSGVO-Pflichten direkt im Shop-Backend zentralisiert.
Mit shopcompliance.net können Sie:
- Alle installierten Shopify-Apps scannen und automatisch prüfen, welche davon personenbezogene Daten verarbeiten und damit AVV-pflichtig sind.
- Vorgefertigte AVV-Vorlagen für die gängigsten Shopify-Dienste aufrufen und anpassen.
- Den Status aller AVVs zentral dokumentieren und auf aktuellem Stand halten, ohne zwischen verschiedenen Dashboards wechseln zu müssen.
- Beim Einrichten rechtlicher Pflichtseiten unterstützt werden, die den DSGVO-Anforderungen entsprechen.
Gerade wenn Sie regelmäßig neue Apps testen oder Ihren Tech-Stack erweitern, sorgt ein zentrales Compliance-Tool dafür, dass kein AVV vergessen wird. Sie erhalten zudem Hinweise, wenn Anbieter ihre Datenschutzbestimmungen aktualisieren und ein bestehendes Dokument möglicherweise überprüft werden muss.
FAQ
Ist ein AVV dasselbe wie eine Datenschutzerklärung?
Nein. Die Datenschutzerklärung richtet sich an Ihre Kunden und informiert diese über die Datenverarbeitung in Ihrem Shop. Der AVV ist ein interner Vertrag zwischen Ihnen und Ihrem Dienstleister. Beide Dokumente sind DSGVO-Pflicht, erfüllen aber unterschiedliche Funktionen.
Muss der AVV schriftlich abgeschlossen werden?
Art. 28 Abs. 9 DSGVO verlangt, dass der Vertrag schriftlich oder in einem elektronischen Format abgeschlossen wird. Ein per E-Mail bestätigter oder im Dienstleister-Dashboard akzeptierter DPA erfüllt diese Anforderung, sofern der Inhalt alle Pflichtbestandteile enthält.
Was ist der Unterschied zwischen AVV und ADV?
Die Begriffe sind inhaltlich identisch. ADV (Auftragsdatenverarbeitung) war die Bezeichnung unter dem alten Bundesdatenschutzgesetz (BDSG). Mit Einführung der DSGVO hat sich der Begriff AVV (Auftragsverarbeitung) etabliert. Ältere Verträge, die auf ADV Bezug nehmen, sollten auf DSGVO-Konformität geprüft werden.
Brauche ich für jeden Shopify-App-Anbieter einen separaten AVV?
Ja, grundsätzlich ist für jeden Auftragsverarbeiter ein eigener AVV erforderlich. Viele Anbieter haben diesen bereits in ihre Nutzungsbedingungen integriert oder bieten ihn auf Anfrage an. Mit einem zentralen Compliance-Tool wie shopcompliance.net behalten Sie den Überblick über alle abgeschlossenen und noch ausstehenden Verträge.
Was tue ich, wenn ein Anbieter keinen AVV abschließen will?
Wenn ein Dienstleister keinen AVV abschließen möchte oder kann, sollten Sie prüfen, ob die Nutzung des Dienstes DSGVO-konform fortgeführt werden kann. In vielen Fällen bedeutet das: Dienst wechseln oder auf den Einsatz verzichten. Das Fehlen eines AVV rechtfertigt nicht die weitere Nutzung des Dienstes, auch wenn dieser technisch gut funktioniert.
EU-Pflichten automatisch im Shop erfüllen
ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.
Module & Preise ansehenDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.