AVV für Adressdaten: Wann ein Vertrag Pflicht ist

Ein Verein will seine Mitgliederliste von Duplikaten bereinigen lassen. Eine Agentur übergibt 50.000 Kundenadressen an einen Lettershop für den Versand. Ein Online-Shop nutzt einen Cloud-Dienst zur Adressvalidierung. Drei Szenarien, eine gemeinsame Pflicht: der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Der AVV gehört zu den am häufigsten ignorierten DSGVO-Pflichten im Umgang mit Adressdaten. Dabei drohen bei Verstößen Bußgelder bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes. In der Praxis verhängen deutsche Datenschutzaufsichtsbehörden regelmäßig Bußgelder zwischen 5.000 und 50.000 EUR für fehlende oder mangelhafte AVVs – auch bei kleinen Unternehmen.

Was ein AVV ist und warum Adressdaten besonders betroffen sind

Ein Auftragsverarbeitungsvertrag (AVV) ist eine schriftliche Vereinbarung zwischen dem Verantwortlichen (Sie) und einem Auftragsverarbeiter (der Dienstleister). Er regelt, wie personenbezogene Daten verarbeitet werden dürfen, welche Sicherheitsmaßnahmen gelten und welche Rechte und Pflichten beide Seiten haben.

Adressdaten sind praktisch immer personenbezogene Daten im Sinne der DSGVO. Name, Straße, PLZ, Ort, eventuell Telefonnummer oder E-Mail – damit lässt sich eine natürliche Person direkt identifizieren. Art. 4 Nr. 1 DSGVO ist hier eindeutig.

Wann genau ein AVV nötig ist

Die Grundregel: Sobald ein externer Dienstleister in Ihrem Auftrag Zugang zu Adressdaten erhält und diese verarbeitet, brauchen Sie einen AVV. Konkret betrifft das:

Szenario	AVV nötig?	Begründung
Cloud-Tool zur Adressbereinigung	Ja	Daten werden auf fremde Server übertragen
Lettershop druckt und versendet Mailings	Ja	Lettershop verarbeitet Adressen in Ihrem Auftrag
IT-Dienstleister wartet Ihre CRM-Datenbank	Ja	Technischer Zugang zu personenbezogenen Daten
Steuerberater erhält Kundenliste	Nein	Eigenverantwortliche Tätigkeit (kein Auftragsverarbeiter)
Offline-Software auf eigenem Rechner	Nein	Keine Datenübertragung an Dritte

Was in einen AVV für Adressdaten gehört

Art. 28 Abs. 3 DSGVO schreibt verbindlich vor, welche Mindestinhalte ein AVV haben muss. Für Adressdaten bedeutet das konkret:

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

1. Gegenstand und Dauer der Verarbeitung – z.B. "Bereinigung und Deduplizierung von 25.000 Kundenadressen im Zeitraum 01.04.–30.04.2026"
2. Art und Zweck der Verarbeitung – z.B. "Dublettenprüfung, PLZ-Validierung, Normalisierung von Straßennamen"
3. Art der personenbezogenen Daten – bei Adressdaten typischerweise: Name, Vorname, Straße, Hausnummer, PLZ, Ort, ggf. Firma, Anrede, Telefon
4. Kategorien betroffener Personen – z.B. Kunden, Vereinsmitglieder, Interessenten
5. Pflichten und Rechte des Verantwortlichen
6. Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

TOMs speziell für Adressdatenverarbeitung

Die technischen und organisatorischen Maßnahmen müssen zum Schutzbedarf der Daten passen. Für Adressdaten empfehlen die Aufsichtsbehörden mindestens:

• Verschlüsselung bei Übertragung (TLS 1.2+) und Speicherung (AES-256)
• Zugriffskontrolle – nur autorisierte Mitarbeiter des Dienstleisters
• Protokollierung – wer hat wann auf welche Daten zugegriffen
• Löschkonzept – klare Fristen, wann Daten nach Auftragsende gelöscht werden
• Subunternehmer-Regelung – welche Sub-Auftragsverarbeiter eingesetzt werden

Ein AVV-Beispiel aus der Praxis: Lettershop-Mailing

Ein mittelständischer Versandhändler in Hamburg schickt 35.000 Dialogpost-Sendungen pro Quartal. Die Adressdaten gehen an einen Lettershop in Düsseldorf, der die Sendungen druckt, kuvertiert und an die Deutsche Post übergibt.

Ohne AVV: Der Versandhändler übergibt 35.000 Kundenadressen (Name, Adresse, Kundennummer) an den Lettershop – ohne vertragliche Regelung. Das ist ein DSGVO-Verstoß.

Mit korrektem AVV wird geregelt:

Gegenstand: Druck und Versand von Dialogpost-Mailings
Datenarten: Vorname, Nachname, Straße, PLZ, Ort, Kundennr.
Betroffene: Bestandskunden des Auftraggebers
Dauer: Laufender Vertrag, Kündigung mit 3 Monaten Frist
Löschung: Adressdaten werden 14 Tage nach Versandbestätigung
          unwiderruflich gelöscht
Subunternehmer: Deutsche Post AG (Transport), kein weiterer
TOMs: Zutrittskontrolle Druckzentrum, verschlüsselte
      Datenübertragung via SFTP, 4-Augen-Prinzip

Kostenberechnung ohne AVV: Angenommen, der Hamburger Datenschutzbeauftragte prüft den Versandhändler. Das Bußgeld für einen fehlenden AVV bei dieser Datenmenge liegt erfahrungsgemäß bei 10.000–25.000 EUR. Dazu kommen interne Kosten für Nachbesserung, Rechtsberatung und mögliche Meldepflichten – schnell weitere 5.000–10.000 EUR.

Häufige Fehler bei AVVs für Adressdaten

Selbst wenn ein AVV existiert, scheitern viele Unternehmen an der korrekten Umsetzung. Die fünf häufigsten Fehler:

1. Standard-AVV ohne Anpassung übernommen

Viele Cloud-Anbieter stellen einen generischen AVV als PDF bereit. Dieser deckt aber selten die spezifischen Anforderungen Ihrer Adressdatenverarbeitung ab. Prüfen Sie mindestens: Sind die Datenarten korrekt benannt? Passt die Löschfrist? Sind alle Subunternehmer gelistet?

2. Subunternehmer nicht dokumentiert

Ihr Lettershop nutzt einen externen Drucker? Der Cloud-Anbieter hostet bei AWS in Irland? Jeder Subunternehmer muss im AVV gelistet sein – mit Name, Adresse und Zweck. Bei Änderungen haben Sie ein Widerspruchsrecht.

3. Keine Löschfrist vereinbart

"Die Daten werden nach Auftragsende gelöscht" reicht nicht. Definieren Sie konkrete Fristen: "Löschung innerhalb von 14 Kalendertagen nach Auftragsabschluss, Bestätigung der Löschung per E-Mail."

4. TOMs veraltet oder zu unspezifisch

"Es werden angemessene technische Maßnahmen getroffen" ist keine gültige TOM-Beschreibung. Listen Sie konkrete Maßnahmen auf: Verschlüsselungsstandard, Firewall-Konzept, Zugriffsprotokollierung.

5. AVV nur einmal abgeschlossen und nie geprüft

Art. 28 Abs. 3 lit. h DSGVO gibt Ihnen ein Auditrecht. Nutzen Sie es – mindestens einmal jährlich eine schriftliche Bestätigung des Dienstleisters einholen, dass die TOMs eingehalten werden.

Wann Sie keinen AVV brauchen

Nicht jeder Kontakt mit Adressdaten erfordert einen AVV. Es gibt klare Ausnahmen:

Eigenverantwortliche Verarbeitung: Wenn ein Dienstleister Daten nicht in Ihrem Auftrag, sondern eigenverantwortlich verarbeitet. Beispiel: Ein Inkassounternehmen, das Forderungen für Sie eintreibt, handelt eigenverantwortlich – hier brauchen Sie eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) oder gar keine besondere Vereinbarung.

Rein lokale Verarbeitung: Wenn Sie Adressdaten ausschließlich auf Ihrem eigenen Rechner verarbeiten, ohne dass ein Dritter Zugang hat, entfällt der AVV. Die Daten verlassen nie Ihre Kontrolle.

Genau hier setzt ListenFix an: Als Desktop-Software verarbeitet ListenFix Ihre Adressdaten vollständig lokal auf Ihrem Computer. Keine Cloud, keine Datenübertragung, kein AVV nötig. Die DSGVO-konforme Adressbereinigung wird damit erheblich einfacher.

Checkliste: AVV für Adressdaten in 7 Schritten

Wenn Sie doch einen externen Dienstleister beauftragen, gehen Sie systematisch vor:

1. Bestandsaufnahme – Listen Sie alle Dienstleister auf, die Zugang zu Ihren Adressdaten haben
2. AVV-Pflicht prüfen – Auftragsverarbeitung oder eigenverantwortlich? (Tabelle oben hilft)
3. AVV erstellen oder prüfen – Alle Pflichtinhalte nach Art. 28 Abs. 3 vorhanden?
4. TOMs dokumentieren – Konkrete technische Maßnahmen, nicht nur Floskeln
5. Subunternehmer erfassen – Vollständige Liste mit Widerspruchsrecht
6. Löschfrist festlegen – Konkrete Tage, schriftliche Bestätigung
7. Jährliches Audit einplanen – Mindestens schriftliche Bestätigung der TOM-Einhaltung

Adressdaten und AVV – eine Pflicht, die sich lohnt

Der Auftragsverarbeitungsvertrag ist kein bürokratisches Hindernis, sondern Ihr Schutzschild. Bei Adressdaten und DSGVO gilt: Wer die Grundlagen sauber regelt, spart sich teure Nachbesserungen und Bußgelder. Und wer die Wahl hat zwischen Cloud-Dienst mit AVV-Pflicht und lokaler Software ohne AVV-Pflicht, sollte sich fragen, ob der Cloud-Komfort die zusätzlichen Compliance-Kosten wirklich wert ist.