fieldo
Datenschutz 7 Min.6. Juni 2026

AVV für Service-Software: was du vor dem Start klären solltest

Du buchst eine neue App für Serviceberichte, gibst dort Kundennamen und Einsatzadressen ein – und hast damit personenbezogene Daten an einen externen Anbieter weitergegeben. Spielt DSGVO dann eine Rolle? Ja. Genau dann greift der AVV.

Viele Handwerksbetriebe starten einfach: App laden, loslegen. Der Datenschutz-Teil bleibt liegen. Das kann gutgehen. Es kann aber auch teuer werden – nicht weil Behördenkontrollen an jeder Ecke warten, sondern weil ein fehlender AVV im Streitfall eine echte Lücke ist.

Dieser Artikel erklärt, was ein AVV ist, wann er Pflicht wird, was darin stehen muss und wie du einen AVV eines Softwareanbieters sinnvoll prüfst. Kein Rechtsrat – für konkrete Fragen wende dich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Handwerker liest auf dem Tablet einen Auftragsverarbeitungsvertrag für seine Service-Software.

Was ein AVV ist – und wann er Pflicht wird

AVV steht für Auftragsverarbeitungsvertrag. Er regelt das Verhältnis zwischen dir als Verantwortlichem und einem Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet. Die DSGVO schreibt diesen Vertrag in Art. 28 vor – ohne Ausnahmen für kleine Betriebe.

Die entscheidende Frage ist, ob dein Softwareanbieter überhaupt personenbezogene Daten zu sehen bekommt. Gibst du Kundennamen, Adressen oder Einsatzorte in eine Cloud-App ein, dann ja. Der Anbieter speichert diese Daten auf seinen Servern – und damit verarbeitet er sie in deinem Auftrag. Das ist der Moment, in dem ein AVV Pflicht wird.

Reine On-Premise-Software, die ausschliesslich lokal auf deinem Gerät läuft und keine Daten an externe Server sendet, benötigt keinen AVV. Sobald aber ein Cloud-Dienst, ein SaaS-Anbieter oder auch nur eine Backup-Funktion bei einem externen Host im Spiel ist, ändert sich das.

Wichtig: Den AVV abzuschliessen ist deine Pflicht als Verantwortlicher, nicht die des Anbieters. Viele Anbieter stellen ihn standardisiert bereit – aber wenn du ihn nicht aktiv annimmst oder unterzeichnest, existiert er rechtlich nicht.

Was im AVV stehen muss

Ein AVV ist kein freies Dokument – Art. 28 DSGVO gibt den Mindestinhalt vor. Fehlt einer dieser Punkte, ist der Vertrag unvollständig. Das hört sich formal an, ist aber in der Praxis schnell geprüft.

Erstens muss der Vertrag den Gegenstand und die Dauer der Verarbeitung benennen: Welche Daten werden verarbeitet, für welchen Zweck, wie lange? Eine Servicebericht-App verarbeitet typischerweise Kundenstammdaten, Einsatzberichte und Fotos – das sollte sich im AVV wiederfinden.

Zweitens müssen Unterauftragsverarbeiter aufgeführt oder zumindest genehmigt werden. Wenn dein Anbieter seine Daten selbst bei AWS oder Google Cloud hostet, ist das ein Unterauftragsverarbeiter. Du musst wissen, wer das ist – und der Anbieter braucht deine (zumindest allgemeine) Genehmigung dafür.

Drittens gehören technische und organisatorische Massnahmen (TOMs) in den AVV oder als Anlage dazu. Diese beschreiben, wie der Anbieter deine Daten schützt: Verschlüsselung, Zugriffskontrollen, Backup-Konzepte. Ohne TOMs fehlt die substanzielle Aussage über die Datensicherheit.

Wie du einen AVV eines Softwareanbieters prüfst

Die meisten SaaS-Anbieter stellen ihren AVV online bereit – oft als Anhang zu den Nutzungsbedingungen oder auf einer eigenen Datenschutz-Seite. Suche gezielt danach, bevor du ein Tool produktiv einsetzt. Wenn du keinen findest und der Anbieter keinen auf Anfrage liefert, ist das ein klares Signal.

Geh den AVV anhand der gesetzlichen Mindestanforderungen durch: Gegenstand und Dauer der Verarbeitung, Art der Daten, Zweck, Weisungsgebundenheit des Anbieters, Unterauftragsverarbeiter, Rechte der Betroffenen, Löschpflichten nach Vertragsende und TOMs. Fehlt einer dieser Punkte, frag beim Anbieter nach.

Achte besonders auf den Serverstandort. Daten, die ausschliesslich in der EU oder im EWR verarbeitet werden, sind datenschutzrechtlich unkomplizierter als Daten, die in Drittländer übermittelt werden. Wenn ein Anbieter US-Server nutzt, müssen Standardvertragsklauseln oder andere Übermittlungsgrundlagen im AVV erklärt werden.

Kein AVV-Dokument ersetzt Rechtsberatung. Wenn du unsicher bist, ob ein Vertrag vollständig und korrekt ist, zieh einen Datenschutzbeauftragten oder Fachanwalt hinzu. Dieser Artikel gibt dir eine Orientierung – keine rechtliche Bewertung.

Was ein fehlender AVV konkret bedeutet

Ein fehlender AVV ist kein rein theoretisches Problem. Aufsichtsbehörden können bei Kontrollen oder nach Beschwerden prüfen, ob die Vertragsgrundlage für externe Datenverarbeitung vorhanden ist. Fehlt sie, ist das ein Verstoss gegen Art. 28 DSGVO – mit möglichen Bussgeldfolgen.

Noch praxisnaher: Wenn ein Kunde fragt, ob seine Daten datenschutzkonform verarbeitet werden, willst du eine klare Antwort geben können. Ein sauber abgeschlossener AVV ist dabei Teil der Antwort. Es geht nicht nur um Compliance, sondern auch um Vertrauen – gerade bei Gewerbekunden, die selbst unter DSGVO-Pflichten stehen.

In der Praxis lässt sich ein AVV bei den meisten modernen SaaS-Anbietern unkompliziert abschliessen. Viele stellen ihn als Self-Service-Dokument bereit, das du online akzeptieren oder herunterladen und unterschrieben einreichen kannst. Der Aufwand ist überschaubar – verglichen mit dem Risiko, das ein fehlendes Dokument mit sich bringt.

Ein gut aufgestellter AVV schützt auch dich: Er dokumentiert, dass du deinen Sorgfaltspflichten nachgekommen bist. Kommt es später zu einem Datenschutzvorfall beim Anbieter, ist deine Position deutlich stärker, wenn du nachweisen kannst, dass du einen rechtskonformen Vertrag abgeschlossen und den Anbieter sorgfältig ausgewählt hast.

Direkt ausprobieren statt weiterlesen.

Der erste Bericht ist in Fieldo in wenigen Minuten fertig.

Fieldo und der AVV

Fieldo stellt einen Auftragsverarbeitungsvertrag bereit. Du findest ihn in den Datenschutzunterlagen. Daten werden auf Servern innerhalb der EU verarbeitet – ohne Weitergabe an Drittländer. Unterauftragsverarbeiter sind im AVV dokumentiert.

Der Vertrag enthält den gesetzlichen Mindestinhalt nach Art. 28 DSGVO: Gegenstand und Dauer der Verarbeitung, Art der personenbezogenen Daten, Zweck, Weisungsgebundenheit, Regelungen zu Unterauftragsverarbeitern und technische sowie organisatorische Massnahmen.

Wenn du Fragen zu den Datenschutzunterlagen von Fieldo hast, erreichst du uns direkt über den Support. Für eine rechtliche Bewertung, ob Fieldo in deinem spezifischen Betriebskontext DSGVO-konform eingesetzt werden kann, wende dich bitte an deinen Datenschutzbeauftragten.

Transparenz ist kein Marketing-Versprechen. Wir machen die Unterlagen öffentlich zugänglich, damit du vor dem Start prüfen kannst – nicht danach.

Schritt für Schritt: AVV abschliessen

Der Ablauf ist einfacher als er klingt. Zuerst identifizierst du alle externen Tools, in die du Kundendaten eingibst: Servicebericht-App, CRM, E-Mail-Marketing, Cloud-Speicher. Für jeden dieser Anbieter prüfst du, ob ein AVV vorliegt.

Dann holst du die AVVs der Anbieter ein – entweder im Self-Service über deren Website oder per Anfrage an den Support. Du prüfst die Mindestinhalte anhand der DSGVO-Vorgaben, dokumentierst den Abschluss und bewahrst das Dokument auf.

Danach pflegst du die Liste weiter: Wenn du ein neues Tool einführst, gehört der AVV dazu. Wenn ein Anbieter seinen AVV ändert, sollte er dich informieren – und du solltest die neue Version prüfen.

Klingt nach viel, ist aber einmalige Arbeit mit jährlichem Aktualisierungsaufwand. Wer das einmal systematisch macht, hat danach Ruhe – und kann Kundenanfragen zum Datenschutz entspannt beantworten.

AVV-Checkliste für Handwerksbetriebe

  • Alle externen Tools mit Kundendaten identifiziert (App, CRM, Cloud-Speicher, E-Mail)
  • AVV für jeden relevanten Anbieter angefragt oder heruntergeladen
  • Gegenstand und Dauer der Verarbeitung im AVV beschrieben
  • Art der personenbezogenen Daten und Verarbeitungszweck aufgeführt
  • Unterauftragsverarbeiter genannt und Genehmigung erteilt
  • Technische und organisatorische Massnahmen (TOMs) dokumentiert oder als Anlage vorhanden
  • Serverstandort geprüft – EU/EWR oder Drittlandregelung vorhanden
  • AVV unterschrieben, abgelegt und Datum des Abschlusses notiert

Für wen passt Fieldo in Sachen Datenschutz?

Fieldo ist eine Cloud-App und verarbeitet damit personenbezogene Daten im Auftrag deines Betriebs. Dafür stellen wir einen vollständigen AVV bereit, verarbeiten Daten ausschliesslich in der EU und dokumentieren alle Unterauftragsverarbeiter.

Handwerksbetriebe, die eine saubere Datenschutzgrundlage brauchen und keinen Aufwand mit unklaren Anbietern wollen, sind bei uns richtig. Wer hingegen spezielle Compliance-Anforderungen hat – etwa im Gesundheitsbereich oder für besonders sensible Daten – sollte das vor dem Start mit einem Datenschutzbeauftragten klären.

Fieldo passt, wenn …

  • Betriebe, die einen DSGVO-konformen AVV vom Anbieter erwarten
  • Teams, die Kundendaten sicher in der EU verarbeitet wissen wollen
  • Handwerker, die Datenschutz als einmaligen Aufwand erledigen und dann in Ruhe arbeiten wollen
  • Betriebe, die Kundenfragen zum Datenschutz klar und schnell beantworten müssen
  • Unternehmen, die mit Gewerbekunden arbeiten, die selbst DSGVO-Pflichten haben

Ein anderes Tool passt besser, wenn …

  • Betriebe, die Daten auf eigenen lokalen Servern ohne Cloudanbindung halten müssen
  • Unternehmen mit speziellen Branchenanforderungen über Standard-DSGVO hinaus
  • Anwender, die vor dem Start keinen AVV prüfen wollen und auf gut Glueck starten

Häufige Fragen

Muss ich als kleiner Handwerksbetrieb überhaupt einen AVV abschliessen?+

Ja. Die DSGVO kennt keine Ausnahme für Betriebsgröße. Sobald ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet – auch nur Kundennamen und Adressen –, ist ein AVV nach Art. 28 DSGVO Pflicht. Frag deinen Datenschutzbeauftragten, wenn du unsicher bist.

Was passiert, wenn ich keinen AVV habe?+

Ein fehlender AVV ist ein Verstoss gegen die DSGVO. Aufsichtsbehörden können das bei Kontrollen oder nach Beschwerden beanstanden. Die möglichen Bussgelder hängen vom Einzelfall ab. Ausserdem fehlt dir im Streitfall die vertragliche Grundlage dafür, dass der Anbieter deine Daten weisungsgebunden verarbeitet.

Reicht es, wenn der Anbieter Datenschutzbestimmungen auf seiner Website hat?+

Nein. Datenschutzhinweise auf der Website sind die Datenschutzerklärung des Anbieters gegenüber seinen Nutzern – kein AVV. Ein AVV ist ein separates Vertragsdokument zwischen dir und dem Anbieter. Beides existiert nebeneinander.

Muss der AVV unterschrieben werden?+

Er muss nachweisbar abgeschlossen werden. Das kann eine qualifizierte elektronische Signatur sein, aber in der Praxis akzeptieren viele Anbieter auch das Anklicken im Online-Prozess oder den Schriftformweg. Wichtig ist, dass du den Abschluss dokumentieren und im Zweifel nachweisen kannst.

Was sind Unterauftragsverarbeiter und warum sind sie im AVV relevant?+

Wenn dein Softwareanbieter selbst weitere Dienstleister einsetzt – zum Beispiel einen Cloud-Hosting-Anbieter –, sind das Unterauftragsverarbeiter. Du musst deren Einsatz genehmigen, und der Hauptanbieter bleibt dir gegenüber verantwortlich. Der AVV muss regeln, wie Unterauftragsverarbeiter eingesetzt werden dürfen.

Fieldo hostet Daten in der EU – ist das DSGVO-konform?+

Hosting in der EU oder im EWR ist datenschutzrechtlich der einfachste Fall, weil keine Drittlandübermittlung stattfindet. Ob dein konkreter Einsatz vollständig DSGVO-konform ist, hängt aber von mehr ab als nur dem Serverstandort – lass das im Zweifel prüfen.

Wie oft muss ich den AVV aktualisieren?+

Es gibt keine gesetzlich vorgeschriebene Aktualisierungsfrequenz. Du solltest den AVV prüfen, wenn sich der Verarbeitungsumfang wesentlich ändert, wenn der Anbieter seinen AVV ändert oder wenn neue gesetzliche Anforderungen in Kraft treten. Mindestens einmal jährlich einen kurzen Blick draufwerfen ist sinnvoll.

Jetzt selbst ausprobieren.

Kostenfrei starten, ersten Kunden anlegen und den ersten digitalen Bericht mit Foto, Unterschrift und PDF erstellen.

Weitere Artikel

AVV für Service-Software: was du klären solltest | Fieldo | Fieldo