AVV-Offenlegung: Wer darf reinschauen – und wer nicht?
Immer öfter fragen uns Mandant:innen, ob sie einer Kundin bzw. einem Kunden, Investor:in oder gar einer betroffenen Person ihren Auftragsverarbeitungsvertrag (AVV) offenlegen müssen. Die Situationen ähneln sich: Ein:e Partner:in will „nur kurz“ prüfen, ob alles DSGVO-konform ist – und plötzlich steht der ganze Vertrag zur Debatte. Die Unsicherheit ist verständlich, denn die DSGVO schweigt zu vielen Alltagskonstellationen, während Vertrags- und Prüfpflichten wild durcheinanderlaufen.
Mit diesem Beitrag räumen wir die häufigsten Missverständnisse aus: Wer darf den AVV wirklich einsehen? Wo genügt ein Nachweis-Paket? Und wann sind Behörden oder Gerichte im Spiel? Kurz: Wir liefern eine praxisnahe Entscheidungshilfe, damit Sie im Zweifel souverän antworten können – ohne unnötig Geschäftsgeheimnisse preiszugeben.
Ein aktueller Beschluss des VGH München (21. Februar 2025, Az. 7 ZB 24.651) hat noch einmal klargestellt, dass weder betroffene Personen noch gewöhnliche Geschäftspartner:innen ein gesetzliches Anrecht haben, einen Auftragsverarbeitungsvertrag (AVV) einzusehen.
1. Gesetzlicher Rahmen
Art. 28 DSGVO verpflichtet die bzw. den Auftragsverarbeiter:in, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen … zu ermöglichen“ (Abs. 3 lit. h).
Die Offenlegungspflicht besteht also nur innerhalb des Verhältnisses Verantwortlicher und Auftragsverarbeiter:in.
Gleichzeitig statuiert Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse der Aufsichtsbehörden. Sie können „alle Informationen“ anfordern und Zugang zu Unterlagen und Räumlichkeiten verlangen.
2. Wer darf Einsicht in den AVV verlangen?
| Berechtigte:r | Rechtsgrundlage / Begründung |
| Aufsichtsbehörde | Art. 58 Abs. 1 lit. a, e DSGVO – umfassendes Untersuchungsrecht |
| Verantwortliche:r selbst | Art. 28 Abs. 3 lit. h DSGVO – Rechenschaftspflicht der Auftragsverarbeiterin / des Auftragsverarbeiters |
| (Gemeinsam) Verantwortliche:r | Muss Vertragspartei sein; erhält und verhandelt daher den Vertrag |
| Gerichte/Staatsanwaltschaft | Prozessuale Auskunfts- / Beweisrechte, nicht aus der DSGVO selbst |
Die DSGVO kennt kein subjektives Einsichts- oder Auskunftsrecht „Dritter“ in AV-Verträge.
Sonderfall beachten: Partner:in ist selbst Verantwortliche:r
Sollte Ihr:e Geschäftspartner:in selbst als gemeinschaftliche:r Verantwortliche:r auftreten – etwa weil Sie ihre/seine Beschäftigtendaten im Rahmen eines gemeinsamen Projekts verarbeiten –, brauchen Sie in der Regel einen eigenen AVV oder eine Vereinbarung über gemeinsam Verantwortliche zwischen Ihnen beiden. Auch dann:
- Die/der Partner:in erhält dieses Vertragsdokument (sie/er ist ja Partei).
- Sie/er hat weiterhin kein automatisches Recht, den AVV zwischen Ihnen und der/dem Due-Diligence-Dienstleister:in einzusehen, kann aber eine vertragliche Zusicherung über die Einbindung und Ihr Kontrollrecht verlangen.
3. Wer hat kein Einsichtsrecht?
- Betroffene Personen – Das VGH-Urteil 2025 bestätigt ausdrücklich: Aus Art. 15 DSGVO folgt kein Anspruch auf Vorlage des AVV.
- Externe Geschäftspartner:innen – Auch wenn deren Mitarbeiter:innendaten im Projekt verarbeitet werden, bleiben sie Dritte. Ohne spezielle Vertragsklausel können sie nur Nachweise, nicht den Vertrag selbst, verlangen.
- Interne Abteilungen außerhalb der/des Verantwortlichen (z. B. Konzernunternehmen) – haben ebenfalls keinen gesetzlichen Anspruch, es sei denn, sie werden selbst (Mit-)Verantwortliche.
4. Wann dennoch Offenlegung sinnvoll oder nötig ist
- (Post-)Audit durch Kund:innen
Viele Rahmenverträge sehen ein Audit- oder Nachweisrecht vor. Hier genügt in der Praxis häufig eine anonymisierte oder geschwärzte AVV-Version oder ein separater Compliance-Report. - M&A / Vendor-Due-Diligence
Potenzielle Käufer:innen oder Investor:innen prüfen Datenschutzrisiken. Offenlegung erfolgt dann auf NDA-Basis, nicht kraft Gesetzes. - Zertifizierungen & Branchenregeln
ISO 27001, TISAX & Co. verlangen oft Einsicht in Verträge – wiederum vertraglich, nicht per DSGVO.
5. Best-Practice-Ansatz statt Volloffenlegung
- „Nachweispaket“ anbieten – Bestätigung, dass ein AVV gem. Art. 28 DSGVO abgeschlossen wurde, plus kurze Beschreibung der TOMs.
- Liste der Unterauftragsverarbeiter:innen – sofern vertraglich vereinbart oder nach Art. 28 Abs. 2 gefordert.
- Aktuelle Audit- oder SOC-Berichte – objektiver Beleg, ohne Geschäftsgeheimnisse preiszugeben.
- Pass-Through-Klauseln – Im Hauptvertrag zusichern, dass alle Dienstleister:innen per AVV gebunden sind.
6. Fazit
Ein AVV ist in erster Linie ein Kontroll- und Nachweisinstrument zwischen Verantwortlicher bzw. Verantwortlichem und Auftragsverarbeiter:in. Gesetzlich zwingend offengelegt werden muss er nur gegenüber der Datenschutzaufsichtsbehörde – nicht aber gegenüber Kund:innen, Partner:innen oder betroffenen Personen. Gleichwohl können Sie durch schlanke Nachweispakete Transparenz schaffen, ohne sensible Vertragsdetails preiszugeben.
Ihre Ansprechperson
Dr. Sonja Detlefsen
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Was sind „EULA“, und wer braucht sie eigentlich?
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- AGB-Änderungen im laufenden Vertrag – Teil 1: Voraussetzungen