• Wie immer: Das kommt darauf an

      Wichtig ist, sich zunächst einfach mal bewusst zu machen, was man wie verarbeitet:

      »Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
      1 Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
      – Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
      – die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
      …«

      Gerade letzterer Passus ist ja typisch für bestimmte Designaufträge, bspw. Visitenkarten u.ä. personalisierte Dinge. Da geht schon aus den hoffentlich sinnvoll formulierten Aufträgen hervor, dass und wie persönliche Daten verarbeitet werden und – je nach Auftragsformulierung – eben auch an Dritte, wie Druckereien, Vorstufen-/Proofbetriebe, Belichtungsstudios, Korrektorat etc. (halt so, wie der Workflow ausschaut), weitergegeben werden. Ein gesonderter AV-Vertrag ist aus meiner Sicht an der Stelle überflüssig. (Wichtig ist imho z.B. der Hinweis, wenn Abstimmung, Korrekturläufe, etc. per unverschlüsselter Email stattfinden, dass der Kunde das im Vertrag bestätigt.)

      Bietet man hingegen auch (Whitelabel-)Hosting an, sieht die Sache deutlich anders aus, da sollte ein AV-Vertrag sowohl zeischen Dir und dem Hoster als zwischen Dir und Deinen Kunden geschlossen werden.