AVV-Pflicht 2025: Für welche Dienste brauchen Sie einen Auftragsverarbeitungsvertrag?

Ihre Website lädt Google Analytics, nutzt Mailchimp für den Newsletter und hat Cloudflare als CDN. Für welche dieser Dienste brauchen Sie einen Auftragsverarbeitungsvertrag (AVV)? Und wo finden Sie ihn?

Die Antwort ist weniger kompliziert als gedacht — wenn man eine klare Übersicht hat. Genau die liefert dieser Artikel: Eine Tabelle mit über 30 gängigen Diensten, ihrem AVV-Status und dem direkten Link zum Vertrag. Dazu die Grundlagen, damit Sie bei neuen Tools selbst einschätzen können, ob ein AVV nötig ist.

Was ist ein AVV — und warum brauchen Sie einen?

Ein Auftragsverarbeitungsvertrag regelt, was passiert, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Die Rechtsgrundlage ist Art. 28 DSGVO.

Die Logik dahinter: Wenn Ihre Website Besucherdaten an Google Analytics schickt, verarbeitet Google diese Daten für Sie (zur Auswertung Ihres Website-Traffics). Damit ist Google Ihr Auftragsverarbeiter — und Sie brauchen einen Vertrag, der regelt:

• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Welche Sicherheitsmaßnahmen der Dienstleister trifft
• Was bei Datenpannen passiert
• Wie lange Daten gespeichert werden

Ohne AVV verstoßen Sie gegen die DSGVO. Die Bußgelder können bis zu 10 Mio. EUR oder 2% des Jahresumsatzes betragen (Art. 83 Abs. 4 DSGVO). In der Praxis sind es bei kleinen Unternehmen eher 5.000–50.000 EUR — aber auch das tut weh.

Wann brauchen Sie keinen AVV?

Nicht jeder Dienst erfordert einen AVV. Kein AVV nötig bei:

• Eigenverantwortlicher Verarbeitung: Der Dienst verarbeitet Daten für eigene Zwecke (z.B. PayPal verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher, nicht als Ihr Auftragsverarbeiter)
• Keine personenbezogenen Daten: Der Dienst erhält keine Daten, die auf Personen zurückführbar sind
• Rein technische Infrastruktur ohne Datenzugriff: Z.B. ein Domain-Registrar, der nur DNS-Einträge verwaltet

Die Abgrenzung ist manchmal schwierig. Im Zweifel: Lieber einen AVV abschließen als keinen. Schaden richtet ein unnötiger AVV nicht an.

Die große AVV-Tabelle: 30+ Dienste im Überblick

Diese Tabelle zeigt den AVV-Status der gängigsten Dienste, die auf Websites und in Onlineshops eingesetzt werden. Stand: April 2026.

Analytics & Tracking

| Dienst | AVV nötig? | AVV verfügbar? | Wo abschließen? | DPF-Status | |---|---|---|---|---| | Google Analytics 4 | ✅ Ja | ✅ Ja | Google Ads Konto → Einstellungen → Datenverarbeitung | ✅ DPF | | Google Tag Manager | ✅ Ja | ✅ Ja | Über Google Analytics AVV abgedeckt | ✅ DPF | | Matomo (Self-Hosted) | ❌ Nein | — | Daten bleiben auf Ihrem Server | — | | Matomo Cloud | ✅ Ja | ✅ Ja | matomo.org/privacy-policy → DPA | 🇪🇺 EU | | Hotjar | ✅ Ja | ✅ Ja | hotjar.com/legal/compliance/dpa | ✅ DPF | | Microsoft Clarity | ✅ Ja | ✅ Ja | Microsoft Online Services DPA | ✅ DPF | | Meta Pixel | ✅ Ja | ✅ Ja | Facebook Business Suite → Einstellungen → Datenverarbeitungsbedingungen | ✅ DPF | | TikTok Pixel | ✅ Ja | ✅ Ja | TikTok Business → Datenschutz → Datenverarbeitungsvertrag | ⚠️ Prüfen | | Pinterest Tag | ✅ Ja | ✅ Ja | Pinterest Business → Privacy Settings | ✅ DPF | | Umami (Self-Hosted) | ❌ Nein | — | Daten bleiben auf Ihrem Server, cookieless | — | | Plausible Analytics | ✅ Ja | ✅ Ja | plausible.io/dpa | 🇪🇺 EU |

E-Mail-Marketing

| Dienst | AVV nötig? | AVV verfügbar? | Wo abschließen? | DPF-Status | |---|---|---|---|---| | Mailchimp | ✅ Ja | ✅ Ja | mailchimp.com/legal/data-processing-addendum | ✅ DPF | | Brevo (ex Sendinblue) | ✅ Ja | ✅ Ja | brevo.com → Datenschutz → DPA | 🇫🇷 EU | | ActiveCampaign | ✅ Ja | ✅ Ja | activecampaign.com/legal/dpa | ✅ DPF | | CleverReach | ✅ Ja | ✅ Ja | cleverreach.com → AV-Vertrag im Account | 🇩🇪 EU | | MailerLite | ✅ Ja | ✅ Ja | mailerlite.com/legal/data-processing-agreement | 🇱🇹 EU | | ConvertKit (Kit) | ✅ Ja | ✅ Ja | kit.com → Legal → DPA | ✅ DPF | | HubSpot | ✅ Ja | ✅ Ja | legal.hubspot.com/dpa | ✅ DPF |

Hosting & CDN

| Dienst | AVV nötig? | AVV verfügbar? | Wo abschließen? | DPF-Status | |---|---|---|---|---| | Cloudflare | ✅ Ja | ✅ Ja | cloudflare.com/de-de/cloudflare-customer-dpa | ✅ DPF | | Hetzner | ✅ Ja | ✅ Ja | hetzner.com → Datenschutz → AVV | 🇩🇪 EU | | IONOS | ✅ Ja | ✅ Ja | IONOS Konto → Datenschutz → AVV | 🇩🇪 EU | | AWS | ✅ Ja | ✅ Ja | AWS GDPR DPA (automatisch Teil der Nutzungsbedingungen) | ✅ DPF | | DigitalOcean | ✅ Ja | ✅ Ja | digitalocean.com/legal/data-processing-agreement | ✅ DPF | | Vercel | ✅ Ja | ✅ Ja | vercel.com/legal/dpa | ✅ DPF | | Netlify | ✅ Ja | ✅ Ja | netlify.com/legal/data-processing-agreement | ✅ DPF |

Zahlungsdienstleister

| Dienst | AVV nötig? | AVV verfügbar? | Hinweis | |---|---|---|---| | PayPal | ❌ Nein (eigenverantwortlich) | — | PayPal ist eigenständiger Verantwortlicher, kein Auftragsverarbeiter | | Stripe | ⚠️ Teils | ✅ Ja | Für Stripe.js (Zahlungsformular): eigenverantwortlich. Für Stripe Radar (Betrugserkennung): AVV empfohlen | | Klarna | ❌ Nein (eigenverantwortlich) | — | Klarna verarbeitet als eigenständiger Verantwortlicher | | Mollie | ✅ Ja | ✅ Ja | mollie.com → Legal → DPA | 🇳🇱 EU |

Sonstige Dienste

| Dienst | AVV nötig? | AVV verfügbar? | Wo abschließen? | DPF-Status | |---|---|---|---|---| | Google Fonts (extern) | ⚠️ Umstritten | — | Lösung: Lokal einbinden, dann kein AVV nötig. Siehe: Google Fonts Abmahnung 2025 | — | | Google Maps | ✅ Ja | ✅ Ja | Google Cloud Platform → DPA | ✅ DPF | | YouTube (Embed) | ✅ Ja | ✅ Ja | Über Google-DPA abgedeckt. Nutzen Sie youtube-nocookie.com | ✅ DPF | | Calendly | ✅ Ja | ✅ Ja | calendly.com → Legal → DPA | ✅ DPF | | Typeform | ✅ Ja | ✅ Ja | typeform.com → Legal → DPA | 🇪🇸 EU | | Zendesk | ✅ Ja | ✅ Ja | zendesk.com → Legal → DPA | ✅ DPF | | Intercom | ✅ Ja | ✅ Ja | intercom.com → Legal → DPA | ✅ DPF | | Zoom | ✅ Ja | ✅ Ja | zoom.us → Legal → GDPR DPA | ✅ DPF |

Legende:

• ✅ DPF = Unternehmen nimmt am EU-US Data Privacy Framework teil
• 🇪🇺 EU / Länderflagge = Server in der EU, kein Drittlandtransfer
• ⚠️ = Rechtslage unklar oder Einzelfallprüfung nötig

Das EU-US Data Privacy Framework (DPF)

Seit Juli 2023 gibt es das EU-US Data Privacy Framework — der Nachfolger des gescheiterten Privacy Shield. Das DPF ermöglicht den Datentransfer an US-Unternehmen, die am Programm teilnehmen, ohne zusätzliche Schutzmaßnahmen (wie Standardvertragsklauseln).

Was bedeutet das für Ihren AVV?

• DPF-Unternehmen: AVV + DPF-Teilnahme reichen aus. Keine zusätzlichen Klauseln nötig.
• Nicht-DPF-Unternehmen in den USA: AVV + Standardvertragsklauseln (SCCs) + Transfer Impact Assessment (TIA).
• EU-Unternehmen: AVV reicht aus. Kein Drittlandtransfer.

Sie können auf der DPF-Website prüfen, ob ein US-Unternehmen teilnimmt.

Wie stabil ist das DPF?

Das EuG (Gericht der Europäischen Union) hat am 3. September 2025 (Az. T-553/23) den Angemessenheitsbeschluss für das DPF bestätigt und die Nichtigkeitsklage abgewiesen. Das ist eine wichtige Stabilisierung — das DPF steht auf deutlich festerem Boden als sein Vorgänger Privacy Shield.

Allerdings gibt es Unsicherheiten: Eine EuGH-Berufung ist möglich, und die politische Lage in den USA (FISA-Verlängerung) bleibt ein Faktor. Die FISA Section 702 — die Rechtsgrundlage für US-Geheimdienstzugriffe, die Schrems I und II auslösten — lief im April 2026 aus. Ob und wie sie verlängert wird, ist offen.

Praxis-Tipp: Schließen Sie trotz DPF zusätzlich Standardvertragsklauseln (SCCs) ab, wo der Anbieter sie anbietet. Falls das DPF doch kippt, sind Sie abgesichert. Die meisten großen Anbieter bieten beides an.

WordPress: Welche Plugins senden Daten?

WordPress-Websites laden oft mehr externe Dienste als gedacht. Hier die häufigsten Plugins und Themes, die Daten an Dritte übertragen:

Plugins mit Datentransfer

| Plugin | Wohin gehen Daten? | AVV nötig? | |---|---|---| | WooCommerce | Wenn Payment-Gateway extern (Stripe, PayPal): Daten gehen dorthin | Je nach Gateway | | Contact Form 7 + Flamingo | Daten bleiben auf dem Server | ❌ Nein | | Elementor | Lädt Google Fonts extern (Standard-Einstellung!) | ⚠️ Google Fonts lokal einbinden | | WPForms | Daten bleiben lokal — ABER: Stripe-Integration sendet Daten | Je nach Integration | | MonsterInsights | Sendet Daten an Google Analytics | ✅ Ja (Google-AVV nötig) | | Yoast SEO | Keine personenbezogenen Daten | ❌ Nein | | UpdraftPlus | Wenn Backup in Cloud (Google Drive, Dropbox): Daten gehen dorthin | ✅ Ja (Cloud-AVV nötig) | | Wordfence | IP-Adressen gehen an Wordfence-Server | ✅ Ja | | Jetpack | Daten gehen an WordPress.com / Automattic | ✅ Ja |

So finden Sie versteckte Datentransfers

1. Browser DevTools: F12 → Network-Tab → Seite laden → Alle externen Requests anzeigen
2. Builtwith.com: Zeigt an, welche Technologien eine Website nutzt
3. Abmahn-Risiko-Check: Erkennt automatisch alle eingebundenen Drittanbieter-Dienste

So prüfen Sie bei jedem neuen Dienst, ob ein AVV nötig ist

Drei Fragen. Wenn Sie alle drei mit „Ja" beantworten, brauchen Sie einen AVV:

1. Werden personenbezogene Daten übertragen? (IP-Adressen, E-Mails, Namen, Cookies mit User-ID — alles personenbezogen)
2. Verarbeitet der Dienst die Daten in Ihrem Auftrag? (Nicht für eigene Zwecke, sondern für Ihre Analyse, Ihr Marketing, Ihr Hosting)
3. Handelt es sich um einen externen Dienst? (Nicht selbst gehostet, sondern ein SaaS/Cloud-Dienst)

Wenn Sie unsicher sind, schauen Sie in die Datenschutzerklärung des Dienstes. Dort steht in der Regel, ob der Anbieter sich als Auftragsverarbeiter oder als eigenständiger Verantwortlicher sieht.

AVV abschließen: So geht's in der Praxis

Die meisten großen Anbieter bieten den AVV als Online-Formular oder PDF zum Download an. Der Ablauf:

1. AVV finden: Suchen Sie auf der Website des Anbieters nach „DPA", „Data Processing Agreement", „Auftragsverarbeitungsvertrag" oder „GDPR".
2. AVV abschließen: In der Regel ein Klick im Account-Dashboard oder ein PDF, das Sie digital unterschreiben.
3. AVV archivieren: Speichern Sie den AVV als PDF. Die Datenschutzbehörde kann ihn bei einer Prüfung verlangen.
4. In die Datenschutzerklärung aufnehmen: Jeder Dienst, für den ein AVV existiert, muss in Ihrer Datenschutzerklärung genannt werden.

Automatisch prüfen: Welche Dienste lädt Ihre Website?

Sie wissen nicht genau, welche externen Dienste Ihre Website einbindet? Der Abmahn-Risiko-Check von easyRechtssicher crawlt Ihre Website und erkennt automatisch alle Drittanbieter-Dienste — inklusive AVV-Status und DPF-Teilnahme.

So sehen Sie auf einen Blick, wo noch ein AVV fehlt.

→ Jetzt Website auf AVV-Pflicht prüfen

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die AVV-Tabelle wird regelmäßig aktualisiert, kann aber nicht alle Änderungen in Echtzeit abbilden. Prüfen Sie den aktuellen Status direkt beim Anbieter. Stand: April 2026.