InsurAgent

Datenschutz

AVV mit Software-Anbietern: was Art. 28 DSGVO von Maklern verlangt

Stand: 17. Juli 2026 · 8 Min. Lesezeit

Sobald Sie Ihren Kundenstamm in eine Software hochladen, wird deren Anbieter zu Ihrem Auftragsverarbeiter, und Art. 28 DSGVO verlangt einen schriftlichen Vertrag darüber. Für Makler kommt eine Besonderheit hinzu: Gesundheits- und Finanzdaten der Kunden heben die Sorgfaltsanforderungen an. Dieser Beitrag sortiert, wann eine Auftragsverarbeitung vorliegt, was in den Auftragsverarbeitungsvertrag (AVV) gehört, welche Sub-Auftragsverarbeiter zu listen sind und was Sie vor Vertragsschluss prüfen sollten. Stand Juli 2026, keine Rechtsberatung.

Wann liegt eine Auftragsverarbeitung vor?

Sobald ein Dienstleister personenbezogene Daten Ihrer Kunden in Ihrem Auftrag verarbeitet, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Eine Software, in die Sie Ihren Kundenstamm hochladen, ist datenschutzrechtlich Auftragsverarbeiter. Sie als Makler bleiben Verantwortlicher, der Anbieter handelt weisungsgebunden für Sie.

Kein AVV entlässt Sie aus der Rolle des Verantwortlichen: Rechtsgrundlage, Verzeichnis der Verarbeitungstätigkeiten und Betroffenenrechte bleiben Ihre Aufgabe. Abzugrenzen ist die Auftragsverarbeitung von Konstellationen, in denen ein Dritter über Zweck und Mittel selbst entscheidet, denn dann ist er eigener Verantwortlicher und kein weisungsgebundener Auftragsverarbeiter. Für den Regelfall der Marketing- oder Analysesoftware, die genau das tut, was Sie einstellen, greift Art. 28.

Was muss ein wirksamer AVV enthalten?

Ein wirksamer AVV deckt die Vorgaben aus Art. 28 Abs. 3 lit. a bis h DSGVO ab und enthält eine Anlage zu den technischen und organisatorischen Maßnahmen (TOMs). Er regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen sowie die Pflichten und Rechte beider Seiten.

Die Pflichtinhalte im Kern:

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
  • Vertraulichkeitsverpflichtung der eingesetzten Personen.
  • Angemessene Sicherheit der Verarbeitung, ausgeführt in der TOMs-Anlage.
  • Einsatz von Sub-Auftragsverarbeitern nur mit Genehmigung.
  • Unterstützung bei der Erfüllung von Betroffenenrechten.
  • Unterstützung bei Meldepflichten und Datenschutz-Folgenabschätzung.
  • Löschung oder Rückgabe der Daten nach Vertragsende.
  • Nachweis der Einhaltung, inklusive Duldung von Überprüfungen.

Fehlt die TOMs-Anlage oder einer dieser Bausteine, ist der AVV unvollständig. In die TOMs gehören unter anderem Zugriffskontrolle, Verschlüsselung, Mandantentrennung sowie Backup- und Löschkonzepte.

Welche Sub-Auftragsverarbeiter gehören in den AVV?

In die Subunternehmerliste gehört nur, wer tatsächlich personenbezogene Daten Ihrer Endkunden verarbeitet. Ein Hosting-Provider und ein Versand-Dienstleister zählen dazu, ein Zahlungsdienstleister, der nur Ihre eigene Abrechnung abwickelt, nicht. Prüfen Sie diese Liste, denn sie zeigt, wohin die Daten tatsächlich fließen.

Die Faustregel lautet: erst prüfen, wessen Daten der Sub-Dienstleister sieht, dann entscheiden, ob er zu listen ist. Der Einsatz weiterer Sub-Auftragsverarbeiter steht unter Genehmigungsvorbehalt. Bei einem geplanten Wechsel muss der Anbieter Sie informieren, und Ihnen bleibt die Möglichkeit, dem zu widersprechen. Ein Anbieter, der seine Subunternehmerliste nicht transparent macht, gibt Ihnen keine Grundlage, die Datenflüsse zu beurteilen.

Warum ist EU-Residenz ein Auswahlkriterium?

Weil behördliche Zugriffspflichten am Betreiber ansetzen, nicht am Serverstandort. Ein EU-Rechenzentrum eines US-Konzerns bleibt dem US CLOUD Act unterworfen. Eine echte Vermeidung von Drittlandtransfers gelingt nur mit Anbietern ohne Drittland-Mutterkonzern oder mit Self-Hosting auf eigener Infrastruktur.

Achten Sie zusätzlich auf den konkreten Tarif, denn EU-Datenresidenz ist bei manchen Tools nur den teureren Plänen vorbehalten. Bei Notion beispielsweise liegen die Daten im günstigeren Business-Plan in den USA, EU-Residenz gibt es nur im Enterprise-Plan (Stand Juni 2026). Ein „EU-Region“ Label auf der Preisseite sagt für sich genommen nichts über die Rechtsträger, die real Zugriff auf die Daten haben. Entscheidend sind Betreiberstruktur, Verarbeitungsort und die im AVV gelisteten Sub-Auftragsverarbeiter.

Warum gelten für Maklerdaten höhere Anforderungen?

Weil Makler regelmäßig Gesundheits- und Finanzdaten ihrer Kunden verarbeiten. Gesundheitsangaben aus Kranken- und Berufsunfähigkeitsverträgen zählen zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und verlangen erhöhte Schutzmaßnahmen. Das hebt die Anforderungen an die TOMs des Anbieters und an Ihre eigene Sorgfalt bei der Auswahl.

Praktisch heißt das: Verschlüsselung, strenge Zugriffskontrolle und saubere Mandantentrennung sind bei sensiblen Beständen kein Komfort, sondern Voraussetzung. Je sensibler die Daten, desto genauer sollten Sie die TOMs-Anlage lesen und desto weniger sollten Sie ungeprüft in ein Werkzeug übernehmen, das solche Daten gar nicht braucht. Wo Sie für das Marketing keine Gesundheitsdetails benötigen, gehören sie auch nicht in das Marketingwerkzeug.

Was sollten Sie vor Vertragsschluss prüfen?

Prüfen Sie zuerst, ob der Anbieter Ihnen überhaupt einen AVV mit TOMs anbietet. Fehlt er, scheidet der Anbieter für Kundendaten aus. Verlangen Sie zusätzlich die Subunternehmerliste, Angaben zum Verarbeitungsort und ein dokumentiertes Löschkonzept. Diese Punkte klären Sie vor der Unterschrift, nicht nach dem ersten Datenupload.

  • AVV mit TOMs-Anlage vorhanden und unterschriftsreif.
  • Subunternehmerliste transparent, nur Endkunden-Verarbeiter gelistet.
  • Verarbeitung in der EU, Betreiber ohne Drittland-Mutterkonzern.
  • Kein standardmäßig aktives Empfänger-Tracking.
  • Dokumentiertes Lösch- und Rückgabekonzept nach Vertragsende.
  • Nachweisbare TOMs: Zugriffskontrolle, Verschlüsselung, Mandantentrennung.

InsurAgent stellt einen AVV mit Anlage zu den technischen und organisatorischen Maßnahmen bereit und verarbeitet die Daten in der EU. Wie das Produkt die Vorgaben für Werbe-E-Mails umsetzt und warum es auf Empfänger-Tracking verzichtet, steht in der Doku zu Freigabe und Recht. Welche Daten Sie überhaupt aus dem Maklerverwaltungsprogramm übernehmen sollten, behandelt der Beitrag zum CSV-Export aus dem MVP.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er gibt den Stand Juli 2026 wieder; verbindliche Aussagen zum Einzelfall gehören zu einem Fachanwalt oder Datenschutzbeauftragten.

Häufige Fragen

Brauche ich mit jedem Software-Anbieter einen AVV?

Mit jedem, der personenbezogene Daten Ihrer Kunden in Ihrem Auftrag verarbeitet. Für eine Software, in die Sie Ihren Kundenstamm hochladen, ist das der Regelfall. Anbieter, die nur Ihre eigenen Abrechnungsdaten sehen, sind keine Auftragsverarbeiter Ihrer Kundendaten.

Reicht ein Serverstandort in der EU?

Nein. Zugriffspflichten wie der US CLOUD Act knüpfen am Betreiber an, nicht am Serverstandort. Ein EU-Rechenzentrum eines US-Konzerns schließt Drittlandzugriffe nicht aus. Achten Sie auf die Betreiberstruktur und den konkreten Tarif, denn EU-Residenz ist mitunter höheren Plänen vorbehalten.

Was gehört in die TOMs-Anlage eines AVV?

Die technischen und organisatorischen Maßnahmen des Anbieters, etwa Zugriffskontrolle, Verschlüsselung, Mandantentrennung sowie Backup- und Löschkonzepte. Die TOMs sind Pflichtbestandteil eines wirksamen AVV nach Art. 28 Abs. 3 DSGVO.

Muss jeder Sub-Auftragsverarbeiter im AVV stehen?

Nur, wer tatsächlich Daten Ihrer Endkunden verarbeitet, etwa Hosting und Versand. Ein Zahlungsdienstleister, der ausschließlich Ihre eigene Abrechnung abwickelt, gehört nicht in die Subunternehmerliste. Faustregel: erst prüfen, wessen Daten der Dienstleister sieht.

Weiterlesen

Mehr aus Ihrem Bestand holen?

InsurAgent übernimmt Kampagnen, Grüße und Bestandsanalyse für Versicherungsmakler. Jede Mail wartet auf Ihre Freigabe.

Persönliche Demo buchen