Für den Fall der Beauftragung eines nicht kirchlichen Auftragsverarbeiters darf der Vertragsinhalt der Auftragsverarbeitungsvereinbarung anhand der Vorgaben des Art. 28 DSGVO gestaltet werden.
Zulässig ist dies jedoch gemäß § 30 Absatz 5 Satz 3 EKD-Datenschutzgesetz nur, wenn sich der Auftragsverarbeiter durch den AVV bzw. einer in diesen Vertrag einbezogenen Zusatzerklärung der kirchlichen Datenschutzaufsicht unterwirft.