Bitrix24 AVV richtig abschließen: Schritt für Schritt

Sobald Sie in Bitrix24 Namen, E-Mail-Adressen oder Telefonnummern Ihrer Kontakte speichern, verarbeitet ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag. Genau dafür verlangt die DSGVO einen sogenannten Auftragsverarbeitungsvertrag. Der Bitrix24 AVV ist deshalb kein optionales Beiwerk, sondern eine der ersten Pflichten, die Sie als verantwortliches Unternehmen erfüllen müssen – und in der Praxis eine, die erstaunlich oft vergessen oder nur halb dokumentiert wird.

Die gute Nachricht: Der Abschluss ist machbar, wenn man weiß, wo man hinschauen muss und welche Angaben sauber hinterlegt sein wollen. In Kundenprojekten sehen wir häufig, dass der Vertrag zwar irgendwo akzeptiert wurde, aber niemand ihn als Nachweis abgelegt hat. Bei einer Prüfung zählt aber genau das.

Dieser Beitrag als Datenschutzverantwortliche oder Datenschutzverantwortlicher in einem KMU zeigt Ihnen, was der Auftragsverarbeitungsvertrag regelt, wo Sie ihn finden und wie Sie den Prozess so dokumentieren, dass er auch in zwei Jahren noch nachvollziehbar ist.

Was der AVV regelt

Ein Auftragsverarbeitungsvertrag (kurz AVV, manchmal auch AV-Vertrag) regelt das Verhältnis zwischen Ihnen als Verantwortlichem und dem Dienstleister, der die Daten technisch verarbeitet – hier also dem Anbieter von Bitrix24. Er legt unter anderem fest, zu welchem Zweck die Daten verarbeitet werden, welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz getroffen werden, wie mit Löschungen umgegangen wird und welche Rechte Sie als Auftraggeber haben.

Der Kern ist also: Sie behalten die Kontrolle und die rechtliche Verantwortung über die Daten, während der Anbieter nur nach Ihren Weisungen handeln darf. Ohne diesen Vertrag verarbeiten Sie personenbezogene Daten ohne die nach Artikel 28 DSGVO geforderte Grundlage – ein klassischer und vermeidbarer Formfehler.

Wichtig ist, den AVV nicht isoliert zu sehen. Er ist ein Baustein einer sauberen Datenschutzdokumentation, zu der auch der geprüfte Serverstandort und ein funktionierender Löschprozess gehören. Wer den AVV abschließt, aber den Rest offen lässt, hat nur einen Teil der Hausaufgaben gemacht.

Wo Sie den AVV in Bitrix24 finden

Bitrix24 stellt einen vorbereiteten Auftragsverarbeitungsvertrag bereit, den Sie in der Regel über den Datenschutz- beziehungsweise Compliance-Bereich der Plattform abrufen und akzeptieren. Stand: Juni 2026 finden Sie die entsprechenden Dokumente über die Einstellungen im Bereich Datenschutz/DSGVO; den genauen Menüpfad sollten Sie direkt in Ihrer Instanz prüfen, da sich die Oberfläche ändern kann.

Lassen Sie sich nicht davon irritieren, dass es sich oft um einen standardisierten, vom Anbieter vorformulierten Vertrag handelt. Das ist üblich und für sich genommen kein Problem – Sie als Verantwortlicher prüfen ihn, akzeptieren ihn und ergänzen Ihre eigenen Angaben. Was Sie nicht tun sollten: das Dokument ungelesen durchwinken. Lesen Sie zumindest die Abschnitte zu TOM, Unterauftragsverarbeitern und Löschung aufmerksam.

Ehrlich gesagt ist die Auffindbarkeit innerhalb der Oberfläche nicht immer selbsterklärend – das gehört zu den Punkten, an denen Bitrix24 die Nutzerführung besser machen könnte. Wenn Sie den Bereich nicht auf Anhieb finden, hilft die offizielle Bitrix24-Dokumentation oder ein kurzer Blick in den Support-Bereich weiter.

Unternehmensdaten korrekt eintragen

Ein AVV ist nur dann verwertbar, wenn die Parteien korrekt benannt sind. Tragen Sie Ihre Unternehmensdaten daher vollständig und exakt so ein, wie sie auch im Impressum und Handelsregister stehen: vollständige Firmierung, Rechtsform, Anschrift und eine verantwortliche Ansprechperson. Tippfehler oder veraltete Adressen wirken im Ernstfall unprofessionell und können die Aussagekraft des Dokuments schwächen.

Achten Sie besonders darauf, wer als Verantwortlicher auftritt. Bei mehreren Gesellschaften oder einer Holding-Struktur muss die richtige juristische Person genannt werden – nicht einfach die, unter der zufällig das Bitrix24-Konto läuft. Diese saubere Zuordnung erspart Ihnen später Diskussionen.

Unterauftragsverarbeiter

Der Anbieter von Bitrix24 nutzt seinerseits weitere Dienstleister, etwa für Hosting oder einzelne technische Funktionen. Diese sogenannten Unterauftragsverarbeiter sind im AVV in der Regel aufgeführt oder werden über eine verlinkte Liste benannt. Ihre Aufgabe als Verantwortlicher ist es, diese Liste zur Kenntnis zu nehmen und zu prüfen, ob die genannten Konstellationen für Ihren Anwendungsfall vertretbar sind.

Relevant wird das vor allem mit Blick auf Drittlandübermittlungen. Achten Sie darauf, ob und wo Daten außerhalb der EU verarbeitet werden könnten. Für viele KMU ist EU-Hosting (Stand: Juni 2026 typischerweise ein Rechenzentrum in Frankfurt) der entscheidende Punkt, um Drittlandfragen von vornherein klein zu halten. Wer hier sichergehen will, prüft den Serverstandort gezielt und dokumentiert das Ergebnis gleich mit.

Dokumentation für die Akte

Der häufigste Fehler ist nicht der fehlende Vertrag, sondern der fehlende Nachweis. Ein im System irgendwann akzeptierter AVV hilft Ihnen wenig, wenn Sie ihn bei einer Anfrage der Aufsichtsbehörde nicht vorlegen können. Legen Sie deshalb eine PDF-Kopie des Vertrags zusammen mit dem Datum der Annahme und der Liste der Unterauftragsverarbeiter in Ihrer Datenschutzakte ab – digital und idealerweise versioniert.

Sinnvoll ist außerdem ein kurzer interner Vermerk: Wer hat den AVV wann geprüft und akzeptiert, und wann steht die nächste Überprüfung an? So wird aus einem einmaligen Klick ein nachvollziehbarer Prozess. Dieser Schritt ist genau der Übergang von „wir haben das schon mal gemacht“ zu „wir können es belegen“ – und damit ein zentraler Punkt in jeder DSGVO-Checkliste für Bitrix24.

Ergänzen Sie die Akte später um die Belege zu Löschprozessen und Einwilligungen, dann ist Ihr Datenschutzordner rund. So vermeiden Sie, dass einzelne Bausteine zwar erledigt, aber nie zusammengeführt wurden.

Häufige Fragen

Muss ich den AVV unterschreiben?

In vielen Fällen wird der AVV bei Cloud-Diensten elektronisch geschlossen, indem Sie ihn innerhalb der Plattform akzeptieren – eine händische Unterschrift ist dann oft nicht zwingend nötig. Entscheidend ist, dass der Vertragsschluss nachweisbar dokumentiert ist. Prüfen Sie die konkrete Vorgehensweise in Ihrer Instanz und sichern Sie sich den Nachweis. Dies ersetzt keine individuelle Rechtsberatung; im Zweifel ziehen Sie eine Fachberatung hinzu.

Wer ist Verantwortlicher, wer Auftragsverarbeiter?

Verantwortlicher sind in der Regel Sie beziehungsweise Ihr Unternehmen, weil Sie über Zweck und Mittel der Datenverarbeitung entscheiden. Auftragsverarbeiter ist der Dienstleister, der die Daten in Ihrem Auftrag technisch verarbeitet – hier der Anbieter von Bitrix24. Diese Rollenverteilung bestimmt, wer welche Pflichten trägt, und sollte im AVV eindeutig benannt sein.

Datenschutz in Bitrix24 ist machbar – aber die Details entscheiden. Wenn Sie AVV, Serverstandort und Löschprozesse lieber direkt sauber aufgesetzt wissen möchten, übernehmen wir die Einrichtung oder begleiten Sie dabei. Jetzt Kontakt aufnehmen.

Dieser Beitrag bietet eine praxisnahe Orientierung und ersetzt keine individuelle Rechts- oder Steuerberatung; ziehen Sie im Zweifel eine Fachberatung hinzu.