Ein Auftragsverarbeitungsvertrag (AVV) ist ein Vertrag nach DSGVO Art. 28, der die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter regelt. Er ist gesetzlich vorgeschrieben, wenn Du personenbezogene Daten von einem Dienstleister verarbeiten lässt — etwa bei Cloud-Hosting, Lohnabrechnung oder E-Mail-Diensten.
Im ISMS-Kontext ist der AVV relevant für ISO 27001 Annex A Controls A.5.19–A.5.22 (Lieferantenbeziehungen). Der Vertrag muss u. a. Gegenstand und Dauer der Verarbeitung, Art der Daten, Kategorien betroffener Personen, technisch-organisatorische Maßnahmen (TOMs) und Unterauftragsverarbeiter regeln. Prüfe AVVs regelmäßig auf Aktualität, besonders wenn Dienstleister Unterauftragnehmer wechseln oder Daten in Drittländer übermitteln.