Zum Inhalt springen
frag.hugo Logo frag.hugo Docs

Auftragsverarbeiter (AVV)

Auftragsverarbeiter-Übersicht

Jeder externe Dienst, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Cloud-Software, Newsletter-Versender, Buchhaltungsbüro), braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Hier verwalten Sie sie.

Was Sie hier machen

Abschnitt betitelt „Was Sie hier machen“

Neuer Auftragsverarbeiter

Abschnitt betitelt „Neuer Auftragsverarbeiter“

Klicken Sie “Neu”. Sie geben Name, Webseite, Zweck ein. Hugo macht:

  • DPA-Check — sucht automatisch den AVV-Vertrag des Anbieters (Microsoft, Google, AWS, HubSpot, Slack haben standardisierte Verträge im Netz).
  • Drittland-Bewertung — Hauptsitz, Server-Standort, Standard-Vertragsklauseln (SCC), Angemessenheitsbeschluss.
  • Risiko-Ampel — Grün / Gelb / Rot mit Begründung.
  • TOMs-Check — was hat der Anbieter zertifiziert (ISO 27001, SOC 2, BSI C5)?

Vertrag hochladen

Abschnitt betitelt „Vertrag hochladen“

Sie können den unterschriebenen AVV als PDF hochladen. Erscheint in der Detailansicht, bei Audit ist alles parat.

Status

Abschnitt betitelt „Status“
  • Vertrag fehlt — Sie müssen noch einen abschließen.
  • Vertrag prüfen — abgeschlossen aber Hugo hat Auffälligkeiten gefunden.
  • OK — alles unterschrieben, geprüft.

Mit VVT verknüpfen

Abschnitt betitelt „Mit VVT verknüpfen“

Jeder AVV-Eintrag kann auf die Verarbeitungen verlinken, in denen er eingesetzt wird (z.B. “Microsoft 365” → “Mitarbeiter-Kommunikation” + “Kalender” + “Cloud-Speicher”). Bei AVV-Wechsel sehen Sie sofort, welche Verarbeitungen betroffen sind.

Export

Abschnitt betitelt „Export“
  • Liste aller AVV als PDF/Excel — zur Behörden-Vorlage.
  • Lücken-Report — alle AVV ohne Vertrag oder mit kritischen Punkten.

Typische Auftragsverarbeiter, die jeder hat

Abschnitt betitelt „Typische Auftragsverarbeiter, die jeder hat“
  • Microsoft 365 / Google Workspace
  • Cloud-Backup (Dropbox, OneDrive, AWS S3)
  • Newsletter (Brevo, Mailchimp, Resend)
  • Buchhaltung (DATEV-Beraterzugang, lexoffice)
  • CRM (HubSpot, Salesforce, Pipedrive)
  • Steuerberater (auch er ist AVV!)
  • Externer IT-Dienstleister
  • Webhosting

Tipps

Abschnitt betitelt „Tipps“
  • Wer nicht? — Eigene Mitarbeiter sind nie AVV (interne Verarbeitung). Versicherer/Banken sind keine AVV sondern eigene Verantwortliche.
  • Standardvertrag: Hugo bietet einen mustergültigen AVV-Vertrag zum Herunterladen, den Sie Anbietern schicken kannst falls sie keinen eigenen haben.