AVV, TOM, DSFA – die drei Dokumente, die jede Software-Auswahl in der Jugendhilfe entscheiden

11. Mai 2026 10 Min. Lesezeit Frank M. Schaefer

Datenschutz
DSGVO
AVV
TOM
DSFA
Software-Auswahl
Jugendhilfe

AVV, TOM, DSFA.

Drei Buchstabenfolgen, die in jeder Ausschreibungs-Vorlage und in jeder Datenschutz-Folie auftauchen, und die in der Praxis oft gleich behandelt werden: Häkchen setzen, Vertrag unterschreiben, weiter zum nächsten Tagesordnungspunkt.

Das ist die Methode, mit der Sie sich Software an Bord holen, die in zwei Jahren ein Problem wird. Nicht weil der Anbieter etwas Böses tut. Sondern weil drei Dokumente, die Sie für Pflicht-Papier gehalten haben, in Wirklichkeit der einzige verlässliche Filter sind, mit dem Sie vor der Einführung erkennen, ob Sie es mit einem ernsthaften Anbieter zu tun haben.

Ich habe diesen Beitrag aus zwei Blickwinkeln geschrieben. Zum einen aus fast 30 Jahren in der stationären Jugendhilfe, in denen ich auf der Träger-Seite saß und Software-Anbieter geprüft habe. Zum anderen aus der Perspektive des Anbieters, der ich mit AlltagQuest seit gut einem Jahr selbst bin. Beide Sichten kommen zum selben Schluss: Wer AVV, TOM und DSFA nicht im Detail liest, prüft den Anbieter nicht – er prüft seine Marketing-Folien.

Worum es bei diesen drei Dokumenten wirklich geht

Die drei Abkürzungen stehen für Dokumente, die unterschiedliche Funktionen haben und in unterschiedlichen Phasen der Software-Einführung relevant werden.

AVV – Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Er regelt die rechtliche Beziehung zwischen Ihnen als Verantwortlichem und dem Anbieter als Auftragsverarbeiter.
TOM – Technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Sie sind die Anlage zum AVV, in der der Anbieter dokumentiert, wie er die Daten technisch und organisatorisch schützt.
DSFA – Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Sie ist eine eigenständige Risikobewertung, die Sie als Verantwortlicher erstellen müssen, bevor Sie eine Verarbeitung mit hohem Risiko beginnen.

Wichtigster Unterschied vorweg: AVV und TOM verhandeln Sie mit dem Anbieter. Die DSFA bleibt Ihre Pflicht. Auch dann, wenn ein Anbieter Ihnen anbietet, sie für Sie zu erstellen – wir kommen darauf zurück.

Der AVV – mehr als nur Pflicht-Papier

Der Auftragsverarbeitungsvertrag ist keine Formsache. Er ist der Vertrag, in dem schriftlich fixiert wird, was der Anbieter mit den Daten Ihrer Jugendlichen, Ihrer Sorgeberechtigten und Ihrer Mitarbeitenden tun darf – und was nicht. Eine Software in der stationären Jugendhilfe ohne unterzeichneten AVV einzuführen, ist eine Datenschutzverletzung. Punkt.

Was im AVV stehen muss

Art. 28 Abs. 3 DSGVO listet die Pflichtbestandteile auf. In der Praxis sollten Sie als Träger mindestens auf die folgenden Punkte achten:

Gegenstand und Dauer der Verarbeitung – inklusive klarer Regelung, was nach Vertragsende passiert.
Art und Zweck der Verarbeitung – nicht „SaaS-Bereitstellung", sondern konkret: „Dokumentation, Planung und Begleitung im Bereich der Kinder- und Jugendhilfe".
Kategorien betroffener Personen und Daten – Jugendliche, Mitarbeitende, Sorgeberechtigte; Stammdaten, Betreuungsdaten, ggf. Gesundheitsdaten.
Ort der Verarbeitung – ein einziger Satz, der entscheidend ist: „ausschließlich in der Europäischen Union". Wer hier ein „in der Regel" findet, schließt nicht.
Unterauftragsverarbeiter – Liste mit Anschrift und Leistung. Mindestens: der Hosting-Provider.
Pflichten des Auftragnehmers nach Art. 28 Abs. 3 lit. a–h DSGVO, mit ausdrücklichem Verweis auf die TOM-Anlage.
Kontrollrechte des Auftraggebers, inklusive konkreter Fristen für Audits.
Löschung und Rückgabe der Daten nach Vertragsende – mit Frist und Bestätigungspflicht.

Ich habe selbst AVVs gesehen, in denen die Frage „Wo werden die Daten gespeichert?" mit drei Adjektiven beantwortet wurde. „Sicher, modern, verschlüsselt." Das ist keine Antwort. Das ist eine Werbeaussage. Wenn ein Anbieter Ihnen den Ort der Datenverarbeitung nicht namentlich und postalisch benennt, hat er entweder Angst vor der Antwort, oder er weiß sie selbst nicht.

Was Träger im AVV oft übersehen

Drei Stellen, an denen ich aus Erfahrung empfehle, langsam zu lesen:

Erstens die Drittstaaten-Klausel. Wenn dort ein Hinweis auf „Standardvertragsklauseln" oder „Angemessenheitsbeschluss" auftaucht, werden Daten möglicherweise außerhalb der EU verarbeitet. Bei einer Software für die stationäre Jugendhilfe ist das in praktisch keinem Fall vertretbar.

Zweitens die Unterauftragsverarbeiter-Liste. Manche Anbieter listen nur den Hosting-Provider auf. In Wirklichkeit ist häufig noch ein E-Mail-Versender (Brevo, Mailgun), ein Analytics-Dienst, eine KI-Schnittstelle und ein Backup-Provider beteiligt. Jeder dieser Subprozessoren muss im AVV stehen.

Drittens die Lösch-Klausel. „Daten werden nach Vertragsende gelöscht" reicht nicht. Sie brauchen eine Frist, eine Bestätigungspflicht in Textform, und eine Regelung, was mit den Daten in der Zwischenzeit passiert. 30 Tage Export-Frist und danach unwiderrufliche Löschung – das ist der Standard, den Sie verlangen können.

Die TOM – wo aus Werbung Substanz wird

Die Technischen und Organisatorischen Maßnahmen sind die Anlage zum AVV, in der der Anbieter konkret beschreibt, mit welchen Mechanismen er die Daten schützt. Das ist der Abschnitt, in dem Marketing aufhört und Engineering anfangen muss.

Acht Kontrollkategorien sind nach Art. 32 DSGVO branchenüblich erwartet. Was Sie bei jedem Anbieter dokumentiert sehen sollten:

Kategorie	Worauf Sie achten
Zutrittskontrolle	Konkreter Rechenzentrumsbetreiber, ISO-Zertifizierung, Standort in Deutschland oder zumindest in der EU.
Zugangskontrolle	Passwort-Hashing (bcrypt mit Kostenfaktor 10+), Brute-Force-Schutz, Session-Timeout, sichere Cookie-Attribute.
Zugriffskontrolle	Rollenkonzept mit klar abgegrenzten Rechten, Mandantentrennung über eine technische Kennung (z. B. `institution_id`).
Weitergabekontrolle	TLS für alle Verbindungen, HSTS, authentifizierter SMTP für Mailversand.
Eingabekontrolle	Audit-Trail über Stammdatenänderungen, mindestens `created_by` und `updated_by` mit Zeitstempel.
Auftragskontrolle	Verarbeitung nur auf dokumentierte Weisung – das muss explizit im AVV stehen.
Verfügbarkeitskontrolle	Tägliche Backups, Redundanz, Monitoring – mit konkreter Beschreibung, nicht nur als Stichwort.
Trennungsgebot	Logische Trennung der Mandanten auf Datenbankebene, separate Consent-Verwaltung pro Einrichtung.

Eine TOM-Anlage, die nur aus den Überschriften besteht und unter jeder ein vager Halbsatz folgt, ist eine Tapete. Sie sieht ordentlich aus, hält aber nichts. Bestehen Sie auf konkrete Angaben.

Eine TOM ohne konkrete Maßnahmen ist eine Tapete. Sie sieht ordentlich aus, hält aber nichts.

Ein Beispiel: Statt „Passwortrichtlinie wird durchgesetzt" muss dort stehen: „bcrypt-Hashing mit Kostenfaktor 12, keine Klartextspeicherung, Brute-Force-Schutz nach fünf Fehlversuchen pro IP für 15 Minuten." Der Unterschied ist der Unterschied zwischen einer Aussage, die der Anbieter halten muss, und einer Aussage, die rein kosmetisch ist.

Die DSFA – warum sie bei Jugendhilfe-Software fast immer Pflicht ist

Die Datenschutz-Folgenabschätzung ist das Dokument, mit dem die meisten Träger fremdeln, weil sie eine Pflicht beschreibt, die Sie als Verantwortlicher haben, nicht der Anbieter. Sie ist auch das Dokument, das in der Praxis am häufigsten ausgelassen wird.

Wann sie zwingend wird

Art. 35 Abs. 3 DSGVO listet drei Fallgruppen, bei denen eine DSFA verpflichtend ist. Eine davon greift bei Jugendhilfe-Software fast immer: die „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten" nach Art. 9 DSGVO.

„Besondere Kategorien" – dahinter verbergen sich Gesundheitsdaten. Und sobald Sie Stimmungsverläufe digital erfassen, Belastungen dokumentieren, Therapietermine festhalten oder pädagogische Diagnostik abbilden, bewegen Sie sich in diesem Bereich. Die Datenschutzkonferenz hat in ihrer Liste der DSFA-pflichtigen Verarbeitungstätigkeiten Software-Systeme zur „Betreuung und Unterbringung von Schutzbedürftigen" explizit aufgeführt. Das schließt jede Software in der stationären Kinder- und Jugendhilfe ein.

Im Klartext: Wenn Sie eine Software für die Wohngruppe einführen, brauchen Sie eine DSFA. Wenn die Software auch Stimmungsdaten verarbeitet, brauchen Sie sie zweimal so dringend.

Wer macht die DSFA?

Die DSFA ist Ihre Pflicht als Verantwortlicher. Sie können sich vom Anbieter Material liefern lassen, Sie können einen externen Datenschutzbeauftragten einbeziehen, Sie können sich an der DSFA des Anbieters orientieren – aber unterschreiben müssen Sie. Und Sie müssen sie regelmäßig fortschreiben.

Was Sie vom Anbieter verlangen können: eine eigene, dokumentierte Risikoanalyse, die als Vorlage dient. Eine Risiko-Matrix mit Eintrittswahrscheinlichkeit und Schadenshöhe für jeden Verarbeitungsvorgang. Eine Beschreibung der Schutzmaßnahmen, die genau zu dieser Risiko-Matrix passen. Bei AlltagQuest liegt das im Admin-Bereich als eigenes Dokument vor – aber es ersetzt nicht Ihre DSFA, es liefert Ihnen die halbe Strecke.

Eine DSFA, die der Anbieter macht, ist eine DSFA, die der Anbieter macht. Sie bleibt Ihre Pflicht.

Die richtige Reihenfolge im Auswahlprozess

In welcher Reihenfolge sollten Sie diese drei Dokumente prüfen? Aus meiner Erfahrung in folgender:

Erst die TOM lesen, dann den AVV. Eine schwache TOM macht den AVV bedeutungslos. Wenn die technischen Maßnahmen lückenhaft sind, helfen Ihnen die vertraglichen Zusicherungen nicht.
Erst den AVV unterschreiben, dann die DSFA finalisieren. Die DSFA setzt auf den vertraglichen Zusicherungen und der dokumentierten TOM auf.
Erst die DSFA, dann der Echtbetrieb. Die DSFA muss vor der ersten Verarbeitung personenbezogener Daten vorliegen. Nicht nach der ersten Pilotwoche. Vorher.

Falls Sie diese Reihenfolge nicht einhalten können, weil der Zeitplan drückt, ist die korrekte Antwort nicht „dann machen wir es eben anders herum". Die korrekte Antwort ist „dann ist der Zeitplan nicht realistisch".

Drei typische Missverständnisse

„Wir haben einen AVV unterschrieben, also ist Datenschutz abgehakt"

Der AVV regelt die Beziehung zwischen Ihnen und einem einzigen Anbieter. Er ersetzt nicht Ihre eigenen Pflichten als Verantwortlicher: keine Datenschutzerklärung, kein Verarbeitungsverzeichnis, keine Schulung Ihrer Mitarbeitenden, keine Information der Sorgeberechtigten, keine Doppel-Einwilligung der Jugendlichen. Der AVV ist eine Voraussetzung, kein Abschluss.

„Der Hosting-Anbieter macht doch schon TOM"

Das hört man gelegentlich. Es ist halb richtig, halb riskant. Der Hosting-Anbieter (in unserem Fall die IONOS SE) bringt seine eigene Zutrittskontrolle, Stromredundanz und Netzwerksicherheit mit. Aber sechs der acht Kontrollkategorien sind Anwendungsschicht: Wer hat Zugriff, was wird protokolliert, wie ist die Mandantentrennung organisiert, was passiert beim Vertragsende? Das löst kein Rechenzentrum, das löst nur der Software-Anbieter.

„Wir brauchen keine DSFA, wir verarbeiten ja keine sensiblen Daten"

Wenn das Ihre Antwort ist, prüfen Sie bitte noch einmal Ihre Datenkategorien. Stimmungsverläufe sind Gesundheitsdaten. Tagesgespräche enthalten regelmäßig Hinweise auf psychische Belastung, Konflikte, manchmal auch auf Hinweise zu Gewalterfahrungen. Pflegekosten- und Hilfeplandaten sind sozialgesetzlich besonders schutzwürdig. Aufzeichnungen über das Verhalten Minderjähriger fallen unter den verstärkten Schutz aus Art. 8 DSGVO.

Wenn Ihre Software all das verarbeitet und Sie trotzdem keine DSFA halten, fehlt Ihnen entweder das Wissen oder das Dokument. Beides ist im Aufsichtsfall ungemütlich.

Was AlltagQuest mitbringt – und was bei Ihnen bleibt

Damit Sie nicht raten müssen, was ein ernsthafter Anbieter in diesen drei Dokumenten leisten sollte, hier konkret die Aufteilung bei AlltagQuest:

Dokument	Was wir mitbringen	Was bei Ihnen bleibt
AVV	Personalisierter Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, mit allen Pflichtbestandteilen, klarer Drittstaaten-Klausel (keine Übermittlung), namentlich genanntem Subprozessor (IONOS SE), Lösch- und Rückgaberegelung mit 30-Tage-Frist.	Beidseitige Unterzeichnung, Aufbewahrung, regelmäßige Prüfung der Sub-Prozessor-Liste.
TOM	Anlage zum AVV mit allen acht Kontrollkategorien, konkret formuliert, ohne Marketing-Sprache.	Bewertung, ob die TOM zu Ihrem Schutzbedarf passt – ggf. ergänzende organisatorische Maßnahmen auf Ihrer Seite.
DSFA	Eigene dokumentierte Risikoanalyse mit Risiko-Matrix und Schutzmaßnahmen-Mapping, jederzeit als PDF verfügbar.	Ihre eigene DSFA. Unsere ersetzt sie nicht.
Compliance-Bericht	Ergänzendes 17-seitiges Dokument mit Hosting, Authentifizierung, Consent-Workflows, Pseudonymisierungs-Architektur, DSGVO-Artikel-Mapping.	Bereitstellung an den eigenen Datenschutzbeauftragten.

Pilotpartner bekommen alle vier Dokumente bei der Begrüßungs-Mail. Vor dem ersten Login. Vor der Anlage der ersten realen Daten. So muss es sein, und so muss es bleiben.

Wenn diese drei Dokumente nicht stimmen, ist der Rest meistens auch dünn

Mein letzter Punkt ist ein Erfahrungswert. In den Jahren, in denen ich auf der Träger-Seite Software-Anbieter geprüft habe, war es selten der Fall, dass AVV, TOM und DSFA einzeln ein Problem waren. Meistens waren sie gemeinsam dünn – und dann war auch der Rest der Zusammenarbeit dünn: schwache Schulung, schwacher Support, schwache Rückmeldungen auf Sicherheitsfragen, schwacher Umgang mit Bug-Reports.

Die drei Buchstabenfolgen sind nicht das Ziel der Software-Auswahl. Aber sie sind der schnellste verlässliche Indikator dafür, mit wem Sie es zu tun haben. Wer hier ernsthaft arbeitet, arbeitet meistens auch sonst ernsthaft. Wer hier nur Häkchen setzt, setzt auch beim Rest Häkchen.

Wenn Sie gerade vor einer Software-Auswahl stehen und der Anbieter Ihnen weder AVV-Entwurf noch dokumentierte TOM noch eine eigene DSFA-Vorlage vorlegen kann – nehmen Sie nicht den Anbieter, der Ihnen am schönsten Folien schickt. Nehmen Sie den, der Ihnen am Tag eins die drei Dokumente in die Hand drückt. Und lesen Sie sie.

Sie überlegen, ob AlltagQuest zu Ihrer Einrichtung passt? Auf /preise finden Sie den vollen Preisrechner, auf /features die Funktionen, auf /screenshots die App im Bild. Oder buchen Sie direkt unter /termin-buchen ein 15-minütiges Telefonat – ohne Vorlage, ohne Folien.