BAV Workflow® Logo

    Auftragsverarbeitungsvereinbarung (AVV) in der bAV

    Was ist eine Auftragsverarbeitungsvereinbarung (AVV) – und warum ist sie für die bAV so kritisch?

    Die Auftragsverarbeitungsvereinbarung (AVV) ist kein Datenschutz‑Formular, sondern ein zwingender Vertragsbestandteil, sobald ein Unternehmen in der betrieblichen Altersvorsorge externe Dienstleister oder Systeme einbindet, die personenbezogene Daten im Auftrag verarbeiten. Sie regelt verbindlich, wer Daten verarbeitet, auf welcher Grundlage und unter wessen Verantwortung.

    Gerade im bAV‑Umfeld geht es um sensible und langfristig gespeicherte HR‑Daten. Die AVV ist das Instrument, mit dem Unternehmen Datenverarbeitung rechtlich absichern und gegenüber Prüfstellen, Mitarbeitenden und Betriebsrat nachweisbar kontrollieren.

    Wann liegt in der bAV eine Auftragsverarbeitung vor?

    Auftragsverarbeitung liegt immer dann vor, wenn ein externer Dritter personenbezogene Daten nicht zu eigenen Zwecken, sondern ausschließlich im Auftrag des Unternehmens verarbeitet. In der bAV betrifft das nicht nur moderne Plattformen, sondern nahezu jede Form externer Unterstützung.

    Sobald externe Akteure Zugriff auf Daten wie Entgeltumwandlung, Vertragsunterlagen, Vergütung, Vorsorgesachverhalte oder Kommunikation erhalten, ist eine AVV gesetzlich vorgeschrieben – unabhängig davon, ob die Prozesse digital oder scheinbar „klassisch“ organisiert sind.

    Ein oft übersehenes Risiko: Makler und Versicherungsvertreter ohne AVV

    In vielen Unternehmen wird die bAV noch immer stark über Makler oder Versicherungsvertreter administriert. Häufig erfolgt die Zusammenarbeit sehr analog: Personendaten werden per E‑Mail versendet, Formulare manuell ausgefüllt, Rückfragen telefonisch geklärt. Genau hier liegt ein massives, oft unterschätztes Risiko.

    Sobald personenbezogene Daten von Beschäftigten an einen Versicherungsberater, Makler oder Vertreter übermittelt werden – und dieser diese Daten speichert, nutzt oder weiterverarbeitet –, liegt Auftragsverarbeitung im Sinne der DSGVO vor. Erfolgt diese Zusammenarbeit ohne gültige AVV, stellt dies einen klaren Datenschutzverstoß des Arbeitgebers dar.

    Wichtig ist:
    Der Umstand, dass es sich nicht um eine „digitale bAV“ oder SaaS‑Plattform handelt, ändert daran nichts. Auch analoge Prozesse mit E‑Mail‑Versand und lokaler Speicherung beim Berater unterliegen der DSGVO. Ohne AVV fehlt die rechtliche Grundlage für diese Datenverarbeitung.

    Unternehmen stehen hier vor einer klaren Entscheidung:
    Entweder die Zusammenarbeit wird durch eine rechtskonforme AVV sauber geregelt – oder es ist ein Wechsel zu einem professioneller aufgestellten Partner erforderlich, der Datenschutz, Governance und Nachweisbarkeit strukturell sicherstellen kann.

    Warum die AVV kein „Datenschutz‑Extra“, sondern Pflicht ist

    Ohne gültige AVV ist jede Auftragsverarbeitung formal unzulässig. Die Haftung liegt vollständig beim Unternehmen als Verantwortlichem. Besonders in der bAV, mit langen Aufbewahrungsfristen und komplexen Prozessketten, fällt dieses Defizit meist erst spät auf – dann allerdings mit hohem Risiko.

    Die AVV stellt sicher, dass externe Partner nicht eigenständig über Zweck oder Mittel der Verarbeitung entscheiden, sondern strikt weisungsgebunden handeln. Sie schafft damit eine klare rechtliche Trennung und reduziert Haftungs‑ und Reputationsrisiken.

    AVV und Datenschutz sind nicht dasselbe

    Der Datenschutz‑Beitrag im Glossar erklärt Grundsätze und Schutzbedarfe. Die AVV setzt diese Pflichten vertraglich und operativ um. Sie ist damit nicht Ersatz für Datenschutz, sondern dessen rechtlich bindende Umsetzung gegenüber Dienstleistern.

    Ohne Datenschutzstrategie bleibt eine AVV inhaltsleer. Ohne AVV bleibt Datenschutz praktisch nicht durchsetzbar. Beide Ebenen müssen zusammenspielen.

    Warum AVV ohne klare Governance nicht funktioniert

    Selbst eine formal korrekte AVV schützt nicht, wenn unklar ist, welche Prozesse geregelt werden sollen und wer welche Verantwortung trägt. Fehlen klare Zuständigkeiten, Prozessdefinitionen und Entscheidungslogiken, bleibt die AVV ein Papiertiger.

    Hier schließt sich der Kreis zur bAV‑Governance:
    Governance definiert die Regeln, die AVV macht sie gegenüber Dienstleistern verbindlich durchsetzbar.

    BAV Governance entdecken – AVV, Prozesse und Verantwortlichkeiten rechtssicher verbinden

    Mit BAV Governance werden Datenflüsse, Rollen und Regelwerke so strukturiert, dass Auftragsverarbeitung nicht nur formal korrekt, sondern im Alltag kontrollierbar und nachweisbar ist.

    Fazit

    Die Auftragsverarbeitungsvereinbarung ist kein Randthema und kein IT‑Detail. Sie ist ein zentrales Steuerungs‑ und Haftungsinstrument in der betrieblichen Altersvorsorge. Besonders kritisch ist sie dort, wo Unternehmen mit Maklern oder Versicherungsvertretern arbeiten und personenbezogene Daten ungeprüft weitergeben.

    Ob digital oder analog – ohne AVV liegt ein Datenschutzverstoß vor.
    Professionelle bAV‑Strukturen erkennen dieses Risiko und lösen es systemisch: durch Governance, saubere Verträge und klare Verantwortlichkeiten.

    War dieser Eintrag verständlich?