Der AVV -- dein unsichtbarer Pflichtvertrag
Stell dir vor, du nutzt Mailchimp für deinen Newsletter, Hetzner für dein Hosting und Google Analytics für die Besucherstatistik. All diese Dienste verarbeiten personenbezogene Daten in deinem Auftrag. Und genau dafür brauchst du einen Auftragsverarbeitungsvertrag -- kurz AVV, manchmal auch DPA (Data Processing Agreement) genannt. Nicht optional, nicht "nice to have", sondern Pflicht nach Art. 28 DSGVO.
Die gute Nachricht: Bei den meisten großen Anbietern liegt der AVV schon fertig zum Abschluss bereit -- als Klick im Account-Bereich oder als Zusatz zu den AGB. Die schlechte Nachricht: Viele Gründer wissen gar nicht, dass sie ihn abschließen müssen, und haben ihn deshalb nie akzeptiert. Bei einer Prüfung durch die DSB wird das schnell zum Problem. Denn: Ohne AVV ist die gesamte Datenverarbeitung durch den Dienstleister rechtswidrig -- nicht nur der fehlende Vertrag selbst.
In diesem Post erfährst du, wann ein AVV nötig ist, was drinstehen muss, wie du mit Sub-Prozessoren umgehst und wie du den AVV in der Praxis abschließt -- Schritt für Schritt.
Auftragsverarbeitung vs. eigene Verantwortlichkeit -- die Abgrenzung
Die zentrale Frage ist: Verarbeitet der Dienstleister die Daten in deinem Auftrag und nach deinen Weisungen? Dann ist es Auftragsverarbeitung und du brauchst einen AVV. Oder verarbeitet er die Daten für eigene Zwecke und in eigener Verantwortung? Dann ist es eine Übermittlung an einen eigenständig Verantwortlichen -- und du brauchst keinen AVV, aber eine Rechtsgrundlage für die Übermittlung.
Die Abgrenzung ist manchmal nicht eindeutig. Hier die Faustregel: Wenn der Dienstleister nur nach deinen Anweisungen handelt und keinen eigenen Verarbeitungszweck hat, ist es Auftragsverarbeitung. Wenn er selbst entscheidet, was er mit den Daten macht (z. B. ein Steuerberater, der eigenverantwortlich deine Buchhaltung macht), ist er eigenständig Verantwortlicher.
Es gibt auch den Sonderfall der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO), wenn du und der Dienstleister gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Das ist in der Praxis seltener, kann aber z. B. bei Plattform-Kooperationen vorkommen.
Typische Fälle: Wann brauchst du einen AVV?
Hier eine Übersicht der häufigsten Konstellationen für Startups:
| Dienst/Tool | Warum AVV nötig | AVV verfügbar? | Wo zu finden? |
|---|---|---|---|
| Hosting (Hetzner, AWS, Strato) | Speichert deine Website- und Kundendaten | Ja, online | Account-Einstellungen |
| E-Mail-Marketing (Mailchimp, Brevo) | Verarbeitet Empfängerdaten | Ja, im Account | Legal/Compliance-Bereich |
| Google Analytics | Verarbeitet Besucherdaten | Ja | Google-Admin-Konsole |
| CRM (HubSpot, Pipedrive, Salesforce) | Speichert und verarbeitet Kundendaten | Ja | Account-Einstellungen/DPA |
| Buchhaltungssoftware (sevDesk, lexoffice) | Verarbeitet Rechnungs- und Kundendaten | Ja | Account-Bereich |
| Cloud-Speicher (Google Drive, Dropbox, OneDrive) | Speichert ggf. personenbezogene Dateien | Ja | Als Teil der Nutzungsbedingungen |
| Zahlungsanbieter (Stripe, Mollie, PayPal) | Verarbeitet Zahlungs- und Kundendaten | Ja | Developer/Legal-Bereich |
| Projektmanagement (Notion, Asana, Trello) | Kann personenbezogene Daten enthalten | Ja | DPA im Hilfebereich |
| Videokonferenz (Zoom, Google Meet, Teams) | Verarbeitet Teilnehmerdaten | Ja | Admin-Bereich |
| Chat-Support (Intercom, Zendesk, Crisp) | Verarbeitet Kundenkommunikation | Ja | Legal/DPA-Bereich |
Wann brauchst du KEINEN AVV?
Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Kein AVV nötig bei:
- Steuerberater: Eigenständig Verantwortlicher mit Berufsgeheimnis. Er entscheidet selbst über die Art der Verarbeitung
- Rechtsanwalt: Eigenständig Verantwortlicher mit Berufsgeheimnis
- Bank: Verarbeitet Daten in eigener Verantwortung für eigene regulatorische Pflichten
- Post/Paketdienst: Eigenständig Verantwortlicher für die Zustellung
- Inkassounternehmen: In der Regel eigenständig Verantwortlicher
- Gewerbliche Personalvermittlung: Eigenständig Verantwortliche
Aber Vorsicht bei Mischformen: Wenn dein Steuerberater gleichzeitig eine Cloud-Buchhaltungssoftware betreibt, in der er deine Daten hostet, kann ein Teil der Leistung Auftragsverarbeitung sein. Im Zweifel: Nachfragen und dokumentieren.
Was muss in einen AVV? -- Art. 28 Abs. 3 DSGVO
Art. 28 Abs. 3 DSGVO listet die Mindestinhalte eines AVV abschließend auf. Fehlt auch nur ein Punkt, ist der AVV unvollständig und die DSB kann das beanstanden. Hier die Pflichtinhalte im Detail:
1. Gegenstand und Dauer der Verarbeitung: Was genau macht der Auftragsverarbeiter und wie lange? Beispiel: "Hosting der Website und Speicherung der dabei anfallenden Daten für die Dauer des Hosting-Vertrags."
2. Art und Zweck der Verarbeitung: Welche Verarbeitungstätigkeiten werden durchgeführt? Beispiel: "Erheben, Speichern, Übermitteln und Löschen von Daten zum Zweck des E-Mail-Marketing."
3. Art der personenbezogenen Daten: Welche Datenkategorien sind betroffen? Beispiel: "Kontaktdaten (Name, E-Mail), IP-Adressen, Nutzungsdaten."
4. Kategorien betroffener Personen: Wessen Daten sind betroffen? Beispiel: "Website-Besucher, Newsletter-Abonnenten, Kunden."
5. Pflichten und Rechte des Verantwortlichen: Deine Weisungsbefugnis, deine Kontrollrechte und deine Pflichten (z. B. rechtmäßige Datenerhebung sicherstellen).
6. Weisungsbindung des Auftragsverarbeiters: Der Auftragsverarbeiter darf Daten nur nach deinen dokumentierten Weisungen verarbeiten. Wenn er der Meinung ist, dass eine Weisung gegen Datenschutzrecht verstößt, muss er dich darauf hinweisen.
7. Vertraulichkeitspflicht: Alle Personen beim Auftragsverarbeiter, die Zugang zu den Daten haben, müssen zur Vertraulichkeit verpflichtet sein.
8. Technische und organisatorische Maßnahmen (TOMs): Der Auftragsverarbeiter muss geeignete Sicherheitsmaßnahmen treffen und dokumentieren -- Verschlüsselung, Zugangskontrolle, Pseudonymisierung, Backup, regelmäßige Sicherheitstests.
9. Regelung zur Unterauftragsverarbeitung (Sub-Prozessoren): Darf der Auftragsverarbeiter Unterauftragnehmer einsetzen? Unter welchen Bedingungen? Dazu gleich mehr im Detail.
10. Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter muss dich unterstützen, wenn Betroffene ihre Rechte geltend machen (Auskunft, Löschung etc. -- siehe Auskunftsrecht und Löschpflicht).
11. Unterstützung bei Sicherheitspflichten: Unterstützung bei Datenschutz-Folgenabschätzung und bei der Meldung von Datenpannen (siehe Datenpanne melden).
12. Löschung oder Rückgabe nach Vertragsende: Was passiert mit den Daten, wenn der Vertrag endet? Standard: Löschung oder Rückgabe nach Wahl des Verantwortlichen.
13. Kontrollrechte (Audits): Du musst das Recht haben, die Einhaltung der AVV-Pflichten zu überprüfen -- durch Inspektionen, Audits oder Prüfberichte.
Sub-Prozessoren -- das Thema, das alle vergessen
Fast jeder Auftragsverarbeiter nutzt selbst wieder Unterauftragnehmer -- sogenannte Sub-Prozessoren. Dein Hosting-Provider nutzt ein Rechenzentrum eines Dritten. Dein Newsletter-Tool nutzt AWS für die Infrastruktur. Dein CRM nutzt einen CDN-Anbieter für die Auslieferung.
Das hat drei wichtige Konsequenzen für dich:
Informationspflicht: Der Auftragsverarbeiter muss dich über alle Sub-Prozessoren informieren, bevor er sie einsetzt. In der Praxis veröffentlichen die meisten Anbieter eine Sub-Prozessor-Liste auf ihrer Website und benachrichtigen dich per E-Mail über Änderungen.
Einspruchsrecht: Du hast das Recht, gegen die Einschaltung neuer Sub-Prozessoren Einspruch zu erheben. In der Praxis ist dieses Recht bei großen Anbietern allerdings begrenzt -- wenn du widersprichst, bleibt dir oft nur die Kündigung des Dienstes.
Vertragliche Absicherung: Der Auftragsverarbeiter muss mit seinen Sub-Prozessoren ebenfalls AVVs abschließen, die mindestens die gleichen Datenschutzpflichten enthalten wie dein AVV mit dem Auftragsverarbeiter.
Prüfe die Sub-Prozessor-Listen besonders auf Drittlandtransfers. Wenn dein europäischer Anbieter einen US-Sub-Prozessor einsetzt, fließen Daten in die USA. Das muss in deiner Datenschutzerklärung stehen und du brauchst eine Rechtsgrundlage für den Transfer (mehr dazu in US-Tools und Datenschutz).
AVV in der Praxis abschließen -- Schritt für Schritt
Bei großen Anbietern (Google, AWS, Mailchimp, HubSpot etc.)
- Logge dich in deinen Account ein
- Suche nach "Data Processing Agreement", "DPA", "Auftragsverarbeitungsvertrag" oder "Datenschutz" in den Einstellungen
- Akzeptiere den AVV online -- bei den meisten Anbietern ist das ein Klick oder ein Formular
- Lade eine Kopie als PDF herunter und speichere sie in deinem Datenschutz-Ordner
- Dokumentiere das Datum im Verarbeitungsverzeichnis
Konkrete Pfade bei häufig genutzten Diensten:
- Google Workspace: Admin-Konsole > Konto > Rechtliche Hinweise und Compliance > Zusatz zur Datenverarbeitung
- Google Analytics: In den Property-Einstellungen den DPA akzeptieren
- Mailchimp: Account > Legal > Intuit Data Processing Addendum
- AWS: AWS Artifact > Agreements > GDPR DPA
- HubSpot: Account Settings > Privacy & Consent > DPA
- Stripe: Dashboard > Settings > Compliance > DPA
Bei kleinen Anbietern (Freelancer, lokale IT-Firma, Agentur)
Hier musst du proaktiv einen AVV vorlegen. Viele kleine Dienstleister haben keinen fertigen AVV. Das ist kein Drama -- es gibt gute Vorlagen:
- WKO: Kostenlose AVV-Vorlage auf wko.at, speziell für österreichische Unternehmen
- Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Sehr gute, praxisnahe Muster-AVVs, die auch in Österreich verwendbar sind
- GDD (Gesellschaft für Datenschutz und Datensicherheit): Umfangreiche Muster mit Ausfüllhilfe
Der AVV kann per E-Mail (als signiertes PDF) oder physisch abgeschlossen werden. Beide Seiten müssen unterschreiben oder anderweitig zustimmen. Eine elektronische Signatur (z. B. über DocuSign oder eSign) ist ausreichend.
Gemeinsame Verantwortlichkeit -- der Sonderfall nach Art. 26
Neben der klassischen Auftragsverarbeitung gibt es einen Sonderfall, den du kennen solltest: die gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO. Diese liegt vor, wenn du und ein anderer Verantwortlicher gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden.
Typische Fälle für Startups:
- Du betreibst gemeinsam mit einem Partner ein Event und ihr teilt euch die Teilnehmerdaten
- Du nutzt eine Plattform, auf der sowohl du als auch der Plattformbetreiber Nutzerdaten für eigene Zwecke verarbeiten (z. B. Facebook-Fanpage -- der EuGH hat entschieden, dass Fanpage-Betreiber und Facebook gemeinsam verantwortlich sind)
- Du betreibst ein Joint Venture mit einem anderen Unternehmen und ihr nutzt eine gemeinsame Kundendatenbank
In diesen Fällen brauchst du keinen AVV, sondern eine Vereinbarung nach Art. 26 DSGVO (Joint Controller Agreement). Darin legt ihr fest, wer welche Pflichten übernimmt -- insbesondere wer die Informationspflichten erfüllt, wer Betroffenenanfragen bearbeitet und wer für die Datensicherheit verantwortlich ist.
Für die meisten Startups ist gemeinsame Verantwortlichkeit eher die Ausnahme. Aber wenn du Kooperationen oder Plattformmodelle planst, solltest du das Thema auf dem Schirm haben.
Der AVV bei Open-Source-Tools und Self-Hosted-Software
Eine häufige Frage: Brauche ich einen AVV, wenn ich Open-Source-Software selbst hoste? Die Antwort: Es kommt darauf an.
Self-Hosted auf eigenem Server: Wenn du Matomo, Nextcloud oder eine andere Open-Source-Software auf deinem eigenen Server (oder einem Server, den du bei einem Hoster mietest) betreibst, ist der Software-Hersteller kein Auftragsverarbeiter. Er hat keinen Zugriff auf die Daten. Du brauchst aber einen AVV mit dem Hosting-Provider, der den Server betreibt.
Self-Hosted bei einem Cloud-Provider: Wenn du die Software auf AWS, Hetzner oder einem anderen Cloud-Provider betreibst, brauchst du einen AVV mit dem Cloud-Provider -- nicht mit dem Software-Hersteller.
SaaS-Version (Cloud-hosted vom Hersteller): Wenn du die Cloud-Version einer Software nutzt (z. B. Matomo Cloud statt self-hosted Matomo), ist der Hersteller Auftragsverarbeiter und du brauchst einen AVV.
Häufige Fehler bei AVVs -- und wie du sie vermeidest
1. AVV vergessen abzuschließen: Der häufigste Fehler überhaupt. Geh deine Tool-Liste durch und prüfe für jeden Anbieter, ob ein AVV vorliegt. Tipp: Erstelle eine einfache Tabelle mit den Spalten "Tool", "AVV nötig?", "AVV abgeschlossen am", "PDF gespeichert?".
2. AVV nicht aktualisiert: Wenn du den Anbieter wechselst (z. B. von Mailchimp zu Brevo), brauchst du einen neuen AVV mit dem neuen Anbieter -- und musst den alten nicht mehr pflegen, aber das alte PDF aufbewahren.
3. TOMs nicht geprüft: Du bist als Verantwortlicher mitverantwortlich für die Datensicherheit. Wenn die TOMs des Auftragsverarbeiters offensichtlich unzureichend sind und du nichts unternimmst, haftest du mit. Prüfe zumindest die Basics: Verschlüsselung, Zugangskontrolle, Backup-Konzept.
4. Sub-Prozessoren ignoriert: Prüfe die Sub-Prozessor-Liste vor Vertragsabschluss. Wenn dein europäischer Anbieter alle Daten bei einem US-Sub-Prozessor speichert, brauchst du zusätzliche Absicherung.
5. Kein Verarbeitungsverzeichnis: Der AVV allein reicht nicht -- du musst die Auftragsverarbeitung auch im Verarbeitungsverzeichnis dokumentieren.
6. "Eigene" AVV-Texte ohne rechtliche Prüfung: Wenn du selbst einen AVV aufsetzt statt eine etablierte Vorlage zu verwenden, lass ihn von einem Anwalt prüfen. Ein unvollständiger AVV kann schlimmer sein als gar keiner, weil er ein falsches Gefühl der Sicherheit erzeugt.
AVV-Management im laufenden Betrieb
Ein AVV ist kein einmaliges Dokument, das du unterschreibst und vergisst. Es gibt laufende Pflichten, die du im Blick behalten musst:
Regelmäßige Überprüfung der Sub-Prozessoren: Die meisten großen Anbieter aktualisieren ihre Sub-Prozessor-Listen regelmäßig. Manche benachrichtigen dich per E-Mail, andere veröffentlichen Updates nur auf ihrer Website. Stelle sicher, dass du diese Updates verfolgst -- insbesondere wenn neue Sub-Prozessoren in Drittländern hinzukommen.
Audit-Rechte nutzen: Art. 28 Abs. 3 lit. h DSGVO gibt dir das Recht, die Einhaltung der AVV-Pflichten zu überprüfen. Bei großen Anbietern (Google, AWS, Microsoft) ist ein physisches Audit unrealistisch -- aber sie stellen in der Regel SOC-2-Berichte, ISO-27001-Zertifikate oder andere Compliance-Dokumentationen zur Verfügung. Fordere diese an und lege sie zu deinen Unterlagen. Bei kleineren Dienstleistern (lokale IT-Firma, Freelancer) kannst du tatsächlich vor Ort oder per Fragebogen prüfen.
Kündigung und Datenlöschung: Wenn du einen Dienstleister wechselst, regelt der AVV, was mit deinen Daten passiert. Standard: Löschung oder Rückgabe nach deiner Wahl. Stelle sicher, dass der alte Anbieter die Daten tatsächlich löscht und dir eine Bestätigung ausstellt. Dokumentiere den Vorgang.
Änderungen am Verarbeitungsumfang: Wenn sich die Art oder der Umfang der Verarbeitung ändert (z. B. du nutzt ein CRM-Tool jetzt auch für Support-Tickets statt nur für Vertrieb), sollte der AVV angepasst oder zumindest intern dokumentiert werden.
Deine AVV-Checkliste
Hier die konkrete To-do-Liste, die du abarbeiten solltest:
- Liste aller Tools und Dienstleister erstellen, die personenbezogene Daten verarbeiten
- Für jeden Dienstleister prüfen: Auftragsverarbeitung oder eigene Verantwortlichkeit?
- AVVs online akzeptieren oder eigenen AVV vorlegen
- PDFs aller AVVs sicher abspeichern (z. B. in einem Ordner "Datenschutz/AVVs")
- Sub-Prozessor-Listen prüfen -- insbesondere auf Drittlandtransfers
- Alle Auftragsverarbeitungen im Verarbeitungsverzeichnis dokumentieren
- Bei Tool-Wechsel: neuen AVV abschließen, altes PDF archivieren
- Jährlicher Review: Sind alle AVVs noch aktuell? Gibt es neue Tools ohne AVV?
Checkliste: AVV-Quick-Check für ein neues Tool
Bevor du ein neues Tool einführst, beantworte diese fünf Fragen:
- Verarbeitet das Tool personenbezogene Daten? Wenn nein: Kein AVV nötig. Wenn ja: Weiter mit Frage 2.
- Verarbeitet der Anbieter die Daten in meinem Auftrag und nach meinen Weisungen? Wenn ja: AVV nötig. Wenn nein (eigenständiger Verantwortlicher): Kein AVV, aber Rechtsgrundlage für die Übermittlung prüfen.
- Ist der Anbieter in der EU oder in einem Drittland? Bei Drittland: Zusätzlich DPF, SCCs und TIA prüfen (siehe US-Tools und Datenschutz).
- Bietet der Anbieter einen AVV/DPA an? Bei großen Anbietern: Ja, im Account-Bereich. Bei kleinen: Du musst eine Vorlage bereitstellen.
- Sind die TOMs des Anbieters angemessen? Prüfe zumindest: Verschlüsselung, 2FA, ISO-Zertifizierung, SOC-Berichte.
Wenn alle fünf Fragen beantwortet sind, dokumentiere die Antworten im Verarbeitungsverzeichnis und schließe den AVV ab, bevor du das Tool produktiv einsetzt.
Wichtig: Führe diesen Quick-Check bei jedem neuen Tool durch -- auch bei kostenlosen Tools, Testversionen und Tools, die "nur kurz" genutzt werden sollen. Auch eine 14-tägige Testphase mit echten Kundendaten ist eine Auftragsverarbeitung.
Was tun, wenn der Dienstleister keinen AVV anbieten will?
Manchmal weigern sich kleinere Dienstleister, einen AVV zu unterschreiben -- aus Unwissenheit, Bequemlichkeit oder weil sie meinen, es sei nicht nötig. In diesem Fall hast du drei Optionen:
Option 1 -- Aufklären und Vorlage bereitstellen: Erkläre dem Dienstleister kurz und sachlich, dass ein AVV gesetzlich vorgeschrieben ist (Art. 28 DSGVO). Biete ihm eine fertige Vorlage an (z. B. von der WKO). Viele Dienstleister unterzeichnen dann problemlos.
Option 2 -- Alternativen suchen: Wenn der Dienstleister sich weigert, suche einen anderen Anbieter, der einen AVV anbietet. Bei Standard-Dienstleistungen (Hosting, E-Mail, Cloud) gibt es genug Alternativen mit fertigem AVV.
Option 3 -- Auf die Nutzung verzichten: Wenn du keinen AVV abschließen kannst und keine Alternative findest, darfst du den Dienst nicht für personenbezogene Daten nutzen. Die Verarbeitung ohne AVV ist rechtswidrig.
Der AVV im Kontext der Gesamtstrategie
Der AVV ist kein isoliertes Dokument. Er ist Teil eines Gesamtpakets, das zusammenspielen muss:
AVV + Verarbeitungsverzeichnis: Jeder Auftragsverarbeiter, mit dem du einen AVV hast, muss im Verarbeitungsverzeichnis als Empfänger aufgeführt sein. Umgekehrt sollte jeder im Verarbeitungsverzeichnis genannte Auftragsverarbeiter einen AVV haben.
AVV + Datenschutzerklärung: Alle Auftragsverarbeiter, an die du personenbezogene Daten übermittelst, müssen in der Datenschutzerklärung genannt werden -- zumindest als Kategorie, idealerweise namentlich.
AVV + Cookie-Banner: Wenn ein Auftragsverarbeiter ein Tracking-Tool betreibt (z. B. Google Analytics), muss zusätzlich zum AVV die Einwilligung über das Cookie-Banner eingeholt werden.
AVV + Drittlandtransfer: Wenn der Auftragsverarbeiter in einem Drittland sitzt, brauchst du neben dem AVV zusätzliche Schutzmaßnahmen (DPF, SCCs, TIA -- siehe US-Tools und Datenschutz).
AVV + Datenpannen: Im AVV muss geregelt sein, dass der Auftragsverarbeiter Datenpannen unverzüglich meldet (idealerweise binnen 24 Stunden). Das ist entscheidend, weil deine 72-Stunden-Frist gegenüber der DSB erst beginnt, wenn du Kenntnis erlangst (siehe Datenpanne melden).
AVV + Team-Schulung: Dein Team muss wissen, dass neue Tools nicht einfach eingeführt werden dürfen, ohne vorher zu klären, ob ein AVV nötig ist (siehe Datenschutz im Team).
Wenn du all diese Elemente konsistent pflegst, hast du ein solides Datenschutz-Fundament, das jeder DSB-Prüfung standhält.
So gehst du jetzt weiter
Du hast deine AVVs abgeschlossen -- gut gemacht. Jetzt fehlt noch die strukturierte Dokumentation: Im nächsten Post zeigen wir dir, wie du ein Verarbeitungsverzeichnis anlegst, das alle deine Datenverarbeitungen sauber erfasst und bei einer DSB-Prüfung standhält. Bei Startup Burgenland bekommst du AVV-Vorlagen und Unterstützung bei der Umsetzung -- melde dich einfach bei uns.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.