---
name: avv-art-28-mindestinhalte-checkliste
description: "Vollstaendige Pflichtinhalte-Checkliste fuer einen AVV nach Art. 28 Abs. 3 lit. a bis h DSGVO. Jede der acht Pflichtklauseln mit Sollformulierung Fallback-Position und Auditfrage. Geeignet fuer das Drafting eines neuen AVV oder das Auditing eines bestehenden AVV. Output: Klausel-fuer-Klausel-Pruefraster."
---

# AVV-Mindestinhalte nach Art. 28 Abs. 3 DSGVO – Klauselcheckliste

## Zweck / Purpose

Pflichtinhalte-Checkliste fuer Auftragsverarbeitungsvertraege nach Art. 28 Abs. 3 DSGVO – Klausel fuer Klausel mit Soll-Position, Fallback und Pruefkriterium. Purpose (EN): Mandatory-content checklist for DPAs under Art. 28 (3) GDPR, clause by clause.

## Wann brauchen Sie diesen Skill

- Beim Drafting eines neuen AVV ist sicherzustellen, dass alle acht Pflichtinhalte vollstaendig sind.
- Beim Auditing eines vorgelegten AVV ist zu pruefen, ob jede Pflichtklausel ihren Mindestanforderungen genuegt.
- Bei Aufsichtsbehoerden-Pruefungen ist der vollstaendige Pflichtkatalog nachweisbar zu dokumentieren.

## Rechtlicher Rahmen

- Art. 28 Abs. 3 Satz 1 DSGVO: Vertrag oder anderes Rechtsinstrument in Schriftform, einschliesslich elektronisch.
- Art. 28 Abs. 3 Satz 2 DSGVO: Gegenstand und Dauer, Art und Zweck der Verarbeitung, Datenkategorien und Kategorien Betroffener, Pflichten und Rechte des Verantwortlichen.
- Art. 28 Abs. 3 Satz 2 lit. a bis h DSGVO: Acht Pflichtklauseln.

## Ablauf / Checkliste

### Rahmenangaben (Art. 28 Abs. 3 Satz 2 DSGVO)

| Pflichtangabe | Pruefkriterium |
|---|---|
| Gegenstand der Verarbeitung | Konkret benannt, nicht "Datenschutz allgemein" |
| Dauer | Vertragslaufzeit, ggf. Verlaengerung |
| Art und Zweck | Operative Funktion und Geschaeftszweck |
| Art der personenbezogenen Daten | Datenarten katalogisiert (Stammdaten, Verkehrsdaten, Inhaltsdaten, besondere Kategorien Art. 9 DSGVO) |
| Kategorien Betroffener | Mitarbeitende, Mandanten, Kinder, Patienten etc. |
| Pflichten und Rechte des Verantwortlichen | Mindestens Weisungsrechte, Kontrollrechte, Beendigungsrechte |

### Die acht Pflichtklauseln (Art. 28 Abs. 3 Satz 2 lit. a bis h DSGVO)

**lit. a – Weisungsgebundenheit.** Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, einschliesslich Drittlandtransfer. Auditfrage: Wer fuehrt das Weisungsregister?

**lit. b – Vertraulichkeit.** Personen, die zur Verarbeitung befugt sind, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Auditfrage: Liegen Vertraulichkeitserklaerungen vor?

**lit. c – Technische und organisatorische Massnahmen (TOM, Art. 32 DSGVO).** Auftragsverarbeiter trifft alle erforderlichen Massnahmen nach Art. 32 DSGVO. Auditfrage: TOM-Anlage aktuell und konkret? (Querverweis: avv-tom-art-32-dsgvo-anlage)

**lit. d – Sub-Auftragsverarbeiter (Art. 28 Abs. 2 und Abs. 4 DSGVO).** Einsatz nur mit allgemeiner oder besonderer schriftlicher Genehmigung; bei allgemeiner Genehmigung Informationspflicht ueber geplanten Wechsel. Auditfrage: Aktuelle Liste vorhanden? Widerspruchsfrist angemessen?

**lit. e – Unterstuetzung Betroffenenrechte (Art. 12 bis 23 DSGVO).** Geeignete technische und organisatorische Massnahmen, um Erfuellung der Betroffenenrechte zu unterstuetzen (Auskunft, Loeschung, Berichtigung, Datenuebertragbarkeit). Auditfrage: SLA fuer Betroffenenanfragen?

**lit. f – Unterstuetzung Art. 32 bis 36 DSGVO.** Unterstuetzung bei TOM, Meldepflicht (Art. 33 DSGVO), Benachrichtigung Betroffener (Art. 34 DSGVO), DSFA (Art. 35 DSGVO), Konsultation Aufsichtsbehoerde (Art. 36 DSGVO). Auditfrage: Meldewege definiert?

**lit. g – Loeschung oder Rueckgabe.** Nach Wahl des Verantwortlichen alle personenbezogenen Daten loeschen oder zurueckgeben nach Ende des Auftrags, ausser gesetzliche Aufbewahrungspflichten. Auditfrage: Format der Rueckgabe definiert? (Querverweis: avv-loeschung-rueckgabe-nach-vertragsende)

**lit. h – Audit und Nachweis.** Alle erforderlichen Informationen zum Nachweis bereitstellen; Ueberpruefungen einschliesslich Inspektionen durch Verantwortlichen oder Pruefer ermoeglichen. Auditfrage: Frequenz, Form, Kosten geregelt? (Querverweis: avv-audit-und-kontrollrechte)

## Mustertext / Template

Konsolidierte Pflichtklausel-Liste (Kurzform fuer Vertragsanlage):

```
§ X Pflichten des Auftragsverarbeiters
(1) Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO).
(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
(3) Technische und organisatorische Massnahmen gemaess Anlage TOM (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DSGVO).
(4) Sub-Auftragsverarbeiter nach Massgabe von § Y (Art. 28 Abs. 3 lit. d i.V.m. Abs. 2 und Abs. 4 DSGVO).
(5) Unterstuetzung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO).
(6) Unterstuetzung bei Sicherheit, Meldepflicht, Benachrichtigung, DSFA, Vorabkonsultation (Art. 28 Abs. 3 lit. f DSGVO).
(7) Rueckgabe oder Loeschung nach Vertragsende gemaess Anlage Loeschkonzept (Art. 28 Abs. 3 lit. g DSGVO).
(8) Audit- und Kontrollrechte gemaess § Z (Art. 28 Abs. 3 lit. h DSGVO).
```

## Typische Drafting-Fehler

- Rahmenangaben fehlen oder sind zu allgemein ("Daten unserer Kunden").
- lit. a wird auf "Vertragserfuellung" reduziert ohne Weisungsregister.
- lit. b wird mit allgemeiner Geheimhaltungsklausel verwechselt; spezifische Vertraulichkeit fuer Verarbeitungsbefugte fehlt.
- TOM-Anlage (lit. c) ist Marketingbroschuere statt konkrete Massnahmen.
- lit. d laesst Sub-AV-Wechsel ohne Widerspruchsfrist zu.
- lit. e ohne SLA und ohne Kostenregelung.
- lit. g ohne klare Wahlmoeglichkeit (Loeschung oder Rueckgabe) und ohne Format.
- lit. h verweist auf Zertifikate, ohne eigenes Audit-Recht zuzulassen.

## Querverweise

- `datenschutzrecht/skills/avv-art-28-dsgvo-grundtatbestand/SKILL.md`
- `datenschutzrecht/skills/avv-tom-art-32-dsgvo-anlage/SKILL.md`
- `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md`
- `datenschutzrecht/skills/avv-loeschung-rueckgabe-nach-vertragsende/SKILL.md`
- `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md`

## Quellen Stand 06/2026

- Art. 28 Abs. 3 DSGVO – Pflichtinhalte des Vertrags.
- Art. 28 Abs. 2, Abs. 4 DSGVO – Sub-Auftragsverarbeiter.
- Art. 28 Abs. 9 DSGVO – Schriftform inklusive elektronisch.
- Art. 29 DSGVO – Weisungsgebundenheit.
- EDSA-Leitlinien 07/2020 – Final 07.07.2021; abrufbar ueber edpb.europa.eu.
- Zitierweise: `../../../references/zitierweise.md`.