Ein Versandunternehmen aus Bayern – bekannt als der „Kolibri-Fall" – wurde von der Bayerischen Datenschutzbehörde LDA mit 5.000 Euro Bußgeld belegt. Kein Datenleck, kein Tracking-Verstoß. Nur ein fehlender Auftragsverarbeitungsvertrag mit dem E-Mail-Dienstleister. Für Agenturen, die Hosting, Analytics und Newsletter-Tools für zwanzig Kunden aufsetzen, ist das kein abstraktes Szenario – es ist der Normalzustand, den die meisten Agenturen mit sich tragen, ohne es zu wissen.
Wann braucht eine Webagentur einen AVV — und wann nicht?
Die Antwort steckt in Art. 28 DSGVO: Ein Auftragsverarbeitungsvertrag (AVV) – auch AV-Vertrag oder Auftragsverarbeitungsvertrag Vorlage genannt – ist immer dann erforderlich, wenn eine Partei personenbezogene Daten im Auftrag einer anderen verarbeitet. Für Webagenturen entstehen dabei zwei grundlegend verschiedene Rollen:
Die Agentur als Auftragsverarbeiter gegenüber dem Kunden: Du baust eine WordPress-Website für Kunde A, hostest sie und bindest Google Analytics ein. Dabei hast du Zugriff auf personenbezogene Daten der Website-Besucher deines Kunden – Server-Logs, Analytics-Daten, Formulareinsendungen. Du verarbeitest diese Daten im Auftrag deines Kunden. Ergebnis: Du brauchst einen AVV zwischen dir und jedem solchen Kunden – der Kunde ist der Verantwortliche, du bist der Auftragsverarbeiter.
Die Agentur als Verantwortliche gegenüber ihren Dienstleistern: Du nutzt Hetzner als Hosting-Provider, Google Workspace und Mailchimp für den eigenen Newsletter. Hier bist du die verantwortliche Stelle – du brauchst AVVs mit diesen Dienstleistern, weil sie als Auftragsverarbeiter für dich tätig werden.
Wann kein AVV nötig ist: Nicht jede Zusammenarbeit erfordert einen AVV. Steuerberater, Rechtsanwälte oder Banken verarbeiten deine Daten typischerweise als eigene Verantwortliche für ihre eigenen Zwecke – dort ist eine andere vertragliche Grundlage nötig, kein AVV nach Art. 28 DSGVO.
AVV Pflicht Agentur Kunden – der Sonderfall gemeinsam Verantwortliche: Meta ist kein Auftragsverarbeiter. Das ist einer der häufigsten und folgenreichsten Irrtümer in der Agentur-Praxis. Wer Facebook Pixel oder Meta Business Tools auf einer Website einsetzt, schließt mit Meta keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Das bedeutet: kein AVV, sondern ein „Joint Controller Agreement". Meta stellt dafür eigene Nutzungsbedingungen bereit. Die Konsequenz für die Praxis: In der Datenschutzerklärung des Kunden muss Meta als gemeinsam Verantwortlicher mit Art. 26-Hinweis aufgeführt sein – nicht als Auftragsverarbeiter. Wer einen AVV mit Meta sucht, findet keinen – weil es ihn rechtlich nicht gibt.
Welche Tools brauchen AVV? Die vollständige Liste für Webagenturen
Die häufigste Frage in der Agentur-Praxis: Welche Tools erfordern einen AVV – und welche nicht? Die folgende Übersicht listet die Tools, die Agenturen für Kunden am häufigsten einbinden, mit der jeweiligen Vertragsform:
| Tool / Dienstleister | Vertragsform | Hinweis |
|---|---|---|
| Google Analytics 4 | ✅ AVV (Art. 28) | Im GA4-Konto unter Admin → Datenverarbeitungszusatz |
| Google Ads / Google Tag Manager | ✅ AVV (Art. 28) | Teil der Google Ads-Nutzungsbedingungen |
| Mailchimp (Intuit) | ✅ AVV (Art. 28) | Data Processing Addendum in Account-Einstellungen |
| Brevo (ehem. Sendinblue) | ✅ AVV (Art. 28) | Muss explizit im Account aktiviert werden |
| HubSpot | ✅ AVV (Art. 28) | Data Processing Agreement im Partner-Portal |
| Stripe | ✅ AVV (Art. 28) | Data Processing Agreement automatisch eingeschlossen |
| Hetzner | ✅ AVV (Art. 28) | Im Hetzner-Account unter Rechtsdokumente |
| IONOS / Strato | ✅ AVV (Art. 28) | Auf Anfrage oder im Kundenportal verfügbar |
| Shopify | ✅ AVV (Art. 28) | Data Processing Addendum, automatisch bei Nutzung |
| WordPress.com / Automattic | ✅ AVV (Art. 28) | Über Automattic DPA verfügbar |
| Meta Pixel / Facebook Business Tools | ⚠️ Kein AVV — Art. 26 DSGVO | Meta ist gemeinsam Verantwortlicher, kein Auftragsverarbeiter |
| LinkedIn Insight Tag | ⚠️ Kein AVV — Art. 26 DSGVO | LinkedIn ist gemeinsam Verantwortlicher nach dem Fashion-ID-Urteil |
Wichtige Nuance: Ob im Einzelfall ein AVV oder eine andere vertragliche Grundlage nötig ist, hängt vom konkreten Einsatzzweck ab. Der Meta-Sonderfall ist in der Praxis der häufigste Fehler – und er hat Konsequenzen für die Datenschutzerklärung des Kunden, nicht nur für den fehlenden Vertrag.
Was muss ein AVV für Agenturen enthalten? Art. 28 DSGVO im Detail
Art. 28 Abs. 3 DSGVO schreibt neun Pflichtpunkte vor, die ein Auftragsverarbeitungsvertrag mindestens enthalten muss. Für den AV-Vertrag Webdesigner bedeutet das:
- Gegenstand und Dauer der Verarbeitung – Was wird verarbeitet, wie lange läuft der Auftrag?
- Art und Zweck der Verarbeitung – Website-Betrieb, Analytics, Newsletter-Versand, etc.
- Art der personenbezogenen Daten – IP-Adressen, E-Mail-Adressen, Nutzungsverhalten
- Kategorien betroffener Personen – Website-Besucher, Newsletter-Abonnenten, Kunden
- Weisungsgebundenheit – Verarbeitung nur auf dokumentierte Weisung des Kunden
- Vertraulichkeit – Mitarbeiter der Agentur sind zur Vertraulichkeit verpflichtet
- Technische und organisatorische Maßnahmen (TOM) – Konkrete Schutzmaßnahmen als Anlage
- Sub-Processor-Regelung – Liste der Unterauftragnehmer und Genehmigungsprozess
- Unterstützungspflichten – Betroffenenrechte, Meldepflichten bei Datenpannen, Audits
Seit dem BGH-Urteil vom November 2025 sind die Kontrollpflichten des Verantwortlichen gegenüber seinen Auftragsverarbeitern verschärft. Der BGH hat klargestellt, dass ein AVV nicht nur formal vorliegen muss, sondern dass der Verantwortliche – also dein Kunde – regelmäßig prüfen muss, ob du deine Verpflichtungen aus dem AVV tatsächlich erfüllst. Ein AVV in der Schublade ist nicht mehr ausreichend. Dein Kunde ist verpflichtet, deine Datenschutzmaßnahmen zu überprüfen – und du bist verpflichtet, ihm das zu ermöglichen. Das bedeutet in der Praxis: TOMs müssen aktuell und abrufbar sein, keine leeren Formulierungen.
AVV fehlt Bußgeld: Der Kolibri-Fall als konkretes Warnsignal
Der Kolibri-Fall zeigt, wie schnell ein fehlender AVV zum konkreten finanziellen Problem wird: Ein bayerisches Versandunternehmen nutzte einen E-Mail-Marketing-Dienst, ohne einen Auftragsverarbeitungsvertrag abgeschlossen zu haben. Die LDA Bayern verhängte ein Bußgeld von 5.000 Euro – ausschließlich wegen des fehlenden AVV, ohne jede weitere Datenpanne.
5.000 Euro ist in der Bußgeld-Logik der DSGVO vergleichsweise niedrig. Art. 83 Abs. 4 DSGVO sieht für Verstöße gegen Art. 28 DSGVO bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Datenschutzbehörden orientieren sich bei kleinen Unternehmen oft an einigen Tausend Euro – aber die Spanne ist groß. Dazu kommen Verfahrenskosten und nicht bezifferbarer Reputationsschaden.
Für Agenturen kommt ein weiteres Risiko dazu: Regressansprüche. Wenn ein Kunde wegen eines fehlenden AVV mit einem Bußgeld konfrontiert wird und die Agentur diesen AVV nie eingefordert oder angeboten hat, hat der Kunde starke Argumente für Schadensersatzansprüche gegenüber der Agentur – insbesondere wenn die Agentur nach eigenem Anspruch „DSGVO-konforme" Websites baut.
Ein häufiger Irrtum: „Ich habe das im Webdesign-Vertrag geregelt." Ein allgemeiner Dienstleistungsvertrag ersetzt keinen AVV. Art. 28 Abs. 3 DSGVO verlangt, dass die Auftragsverarbeitung in einem Vertrag geregelt ist, der die spezifischen Pflichten des Art. 28 vollständig erfüllt. Ein Webdesign-Vertrag tut das in aller Regel nicht.
Das eigentliche Problem: Du hast 20 Kunden — und weißt nicht, bei wem der AVV fehlt
Einen AVV für die eigene Organisation zu verwalten ist lösbar. Das eigentliche Problem für Webagenturen ist ein anderes: Du bist Auftragsverarbeiter für 20 Kunden gleichzeitig. Für jeden dieser Kunden müsstest du sicherstellen, dass ein gültiger AVV vorliegt – und nicht nur vorliegt, sondern auch:
- Noch vollständig ist: Hast du seit Vertragsschluss neue Sub-Processor hinzugefügt (neues Hosting, neues Analytics-Tool)? Dann muss der AVV aktualisiert werden.
- Beidseitig unterzeichnet ist: Ein Draft im Google Drive ist kein rechtswirksamer Vertrag. AVVs müssen von beiden Parteien unterzeichnet sein – physisch oder mit qualifizierter elektronischer Signatur.
- Abrufbar dokumentiert ist: Bei einer Behördenanfrage oder einem Kunden-Audit musst du den AVV innerhalb kurzer Zeit vorlegen können – für jeden einzelnen Kunden.
- Auf geänderte TOMs angepasst ist: Wechselst du deinen Hosting-Provider, ändert sich deine Sub-Processor-Liste – was den AVV aktualisierungspflichtig macht.
In der Agentur-Praxis sieht das meist so aus: Ein Excel-Sheet mit zwanzig Kunden, ein Ordner mit PDFs ohne einheitliche Benennung, und das Bauchgefühl, dass bei zwei oder drei Kunden der AVV noch aussteht. Wenn die Datenschutzbehörde oder ein Auftraggeber nach einem Nachweis fragt, wird aus Bauchgefühl ein akutes Problem.
AVV-Vorlage für Webagenturen: Was sie enthalten muss
Eine AVV-Vorlage Webdesign muss auf die typische Agentur-Konstellation zugeschnitten sein: die Agentur als Auftragsverarbeiter gegenüber dem Kunden, mit Unterauftragnehmer-Regelungen für Tools wie Hosting-Provider, Analytics-Dienste und Newsletter-Plattformen. Generische AVV-Muster aus dem Netz decken diese Struktur selten vollständig ab.
Was eine Agentur-spezifische AVV-Vorlage enthalten muss – und was allgemeine Templates oft weglassen:
- Sub-Processor-Liste: Als Agentur nutzt du Unterauftragnehmer – Hosting, Analytics, E-Mail-Dienste. Die Vorlage muss regeln, dass du dem Kunden eine aktuelle Liste deiner Unterauftragnehmer zur Verfügung stellst und ihn über Änderungen vorab informierst.
- Weisungsgebundenheit: Die Vorlage muss klarstellen, dass du als Auftragsverarbeiter ausschließlich auf dokumentierte Weisung des Kunden handelst – und was gilt, wenn du einer Weisung aus Rechtsgründen nicht folgen kannst.
- Technische und organisatorische Maßnahmen (TOM): Als Anlage zum AVV müssen die konkreten Schutzmaßnahmen deiner Agentur dokumentiert sein – verschlüsselte Kommunikation, Zugriffskontrollen, Backup-Konzept, Pseudonymisierung.
- Löschkonzept: Was passiert mit den Daten des Kunden nach Ende der Zusammenarbeit? Die Vorlage muss Fristen und das Verfahren für Löschung oder Rückgabe regeln – mit nachweisbarer Löschbestätigung.
- Unterstützungspflicht bei Betroffenenrechten: Du musst deinem Kunden helfen, Auskunftsersuchen, Berichtigungsanfragen oder Löschanträge von Website-Besuchern zu beantworten – innerhalb der gesetzlichen Fristen.
Damit du diese Punkte nicht selbst mühsam formulieren musst, ist im AVV-Tracker von Complianty bereits eine rechtssichere, vollständig auf Agenturen zugeschnittene AVV-Vorlage integriert – inklusive dynamischer Sub-Processor-Liste und TOM-Anhang. Zusätzlich ist eine Vorlage für die umgekehrte Richtung enthalten: der AVV, den du als Agentur mit deinen eigenen Dienstleistern (Hetzner, Mailchimp, Google) abschließt. Der AVV-Tracker hält außerdem pro Kunden fest, welcher Dienstleister welchen AVV-Status hat, wann er abgeschlossen wurde und wann eine Überprüfung fällig ist. Fehlt bei einem Kunden ein AVV, erscheint ein CRITICAL-Alert im Dashboard. 30 Tage vor einem Ablaufdatum kommt eine automatische Erinnerung. Kein Excel-Sheet, kein Bauchgefühl – sondern ein dokumentierter Status, der sich bei Bedarf exportieren lässt.
Wie du gleichzeitig sicherstellst, dass auf den Kunden-Websites kein Tracking ohne Einwilligung stattfindet – was ebenso ein CRITICAL-Status ist –, erklärt unser Artikel Tracking vor Cookie Consent: Wie du DSGVO-Verstöße auf Kunden-Websites erkennst. Die vollständige Liste aller DSGVO-Pflichten beim Website-Launch – von AVV über CMP bis Datenschutzerklärung – fasst unsere DSGVO-Checkliste für Webagenturen zusammen.
FAQ: Auftragsverarbeitungsvertrag für Webagenturen
Brauche ich als Webagentur mit jedem Kunden einen AVV?
In den meisten Fällen ja. Immer dann, wenn du als Agentur Zugriff auf personenbezogene Daten deines Kunden hast – Server-Logs, Analytics-Daten, Formulareinsendungen – oder für ihn Tools einbindest, die Daten seiner Website-Besucher verarbeiten, bist du Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Das betrifft in der Praxis fast alle aktiven Kunden-Websites.
Welche Tools erfordern einen AVV?
Google Analytics, Google Ads, Mailchimp, Brevo, HubSpot, Stripe, Hetzner, IONOS, Strato, Shopify – alle verarbeiten personenbezogene Daten im Auftrag und erfordern einen AVV nach Art. 28 DSGVO. Kein AVV, sondern ein Joint Controller Agreement nach Art. 26 DSGVO: Meta Pixel und LinkedIn Insight Tag. Meta ist kein Auftragsverarbeiter – dieser Fehler ist weit verbreitet und hat Konsequenzen für die Datenschutzerklärung des Kunden.
Was kostet ein Bußgeld bei fehlendem AVV?
Der Kolibri-Fall zeigt einen realen Wert: 5.000 Euro für ein kleines Unternehmen, ausschließlich wegen eines fehlenden AVV. Art. 83 Abs. 4 DSGVO sieht maximal 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Datenschutzbehörden orientieren sich bei kleinen Fällen oft an einigen Tausend Euro – aber Regressansprüche des Kunden gegenüber der Agentur können den eigentlichen wirtschaftlichen Schaden weit übersteigen.
Ist Meta Pixel ein Auftragsverarbeiter?
Nein. Meta ist nach Art. 26 DSGVO gemeinsam Verantwortlicher, kein Auftragsverarbeiter. Der EuGH hat das im Fashion-ID-Urteil (C-40/17, 2019) bestätigt: Website-Betreiber, die Facebook-Plugins einbinden, werden gemeinsam mit Meta zu Verantwortlichen. Das bedeutet kein AVV, sondern die Joint Controller-Vereinbarung in den Meta Business Tools- Nutzungsbedingungen. In der Datenschutzerklärung des Kunden muss Meta als gemeinsam Verantwortlicher nach Art. 26 DSGVO aufgeführt sein – nicht als Auftragsverarbeiter. Was die aktuellen Urteile zu Meta Pixel für Agenturen bedeuten, erklärt unser Artikel Meta Pixel & DSGVO 2026: Was die neuen Urteile für Agenturen bedeuten.
Reicht ein allgemeiner Webdesign-Vertrag als AVV?
Nein. Ein Webdesign-Vertrag regelt Leistungen und Vergütung – er erfüllt nicht die inhaltlichen Anforderungen des Art. 28 Abs. 3 DSGVO. Ein AVV muss als separates Dokument oder als ausdrücklicher Anhang mit den neun Pflichtpunkten vorliegen. Alternativ sind die EU-Standardvertragsklauseln für Auftragsverarbeitung verwendbar.
Wie behalte ich den Überblick über AVVs für alle meine Kunden?
Das ist das Kernproblem für Agenturen mit mehr als fünf Kunden. Ein AVV-Tracker hält pro Kunden fest, welche Dienstleister welchen AVV-Status haben, wann der AVV abgeschlossen wurde und wann eine Überprüfung fällig ist. Automatische Erinnerungen 30 Tage vor Ablauf oder CRITICAL-Alerts bei fehlendem AVV ersetzen das Excel-Sheet und liefern einen dokumentierten Status, den du bei Bedarf vorlegen kannst.
Fazit: Der AVV ist kein Papierkram — er ist dein Nachweis
Ein Auftragsverarbeitungsvertrag ist rechtlich verpflichtend. Sein praktischer Wert liegt aber in der Dokumentation: Im Streitfall, bei einer Behördenanfrage oder einem Kunden-Audit ist er der einzige Nachweis, dass die Datenschutzbeziehung zwischen dir und deinem Kunden korrekt geregelt war. Wer ihn nicht hat, hat nichts in der Hand.
Für Agenturen ist das Problem nicht das Verstehen des AVVs – es ist das Skalieren. Einen AVV für einen Kunden aufzusetzen ist machbar. Für zwanzig Kunden sicherzustellen, dass jeder AVV vollständig, aktuell und abrufbar ist – und sofort zu wissen, wenn einer fehlt – das ist das eigentliche Problem. Und es ist eines, das sich mit dem richtigen Werkzeug lösen lässt.