Ein Datenverarbeitungsvertrag (Data Processing Agreement, DPA) ist der Vertragsanhang, der regelt, wie ein Anbieter (der Auftragsverarbeiter) personenbezogene Daten im Auftrag des Kunden (des Verantwortlichen) verarbeitet. Gemäß Artikel 28 DSGVO erforderlich; entsprechende Verpflichtungen bestehen nach dem britischen Data Protection Act, CCPA/CPRA, dem brasilianischen LGPD und den meisten modernen Datenschutzregelungen. Der DPA ist selten das Dokument, das Deal-Teams interessiert – aber er ist das Dokument, das entscheidet, ob Ihre Kundendaten bei einem Anbietervorfall gefährdet sind.
Wann Sie einen DPA benötigen
Sie benötigen einen DPA von jedem Anbieter, der:
- Personenbezogene Daten in Ihrem Auftrag speichert (CRM, Support-Desk, Marketing-Automation, Analytics)
- Personenbezogene Daten in Ihrem Auftrag verarbeitet (Anreicherungsanbieter, Datenvermittler, KI-Dienste)
- Im Rahmen einer Unterauftragsverarbeitung Zugang zu personenbezogenen Daten hat (Cloud-Infrastruktur, Unteranbieter)
Sie benötigen keinen DPA von Anbietern, die keine personenbezogenen Daten berühren (die meisten Anbieter von internen Tools, die nur Ihre eigenen Mitarbeiter-/Unternehmensdaten verarbeiten – wobei Mitarbeiterdaten selbst personenbezogene Daten sind, weshalb die meisten B2B-Anbieter letztlich einen DPA benötigen).
Wenn ein Anbieter sowohl einen Standard-MSA als auch ein „DPA auf Anfrage” anbietet, fordern Sie ihn an. Wenn er keinen hat, ist das ein Warnsignal für seine Datenschutzreife.
Die 12-Punkte-DPA-Checkliste
Jeder DPA, den Sie unterzeichnen, sollte Folgendes abdecken:
| # | Element | Was zu prüfen ist |
|---|---|---|
| 1 | Gegenstand und Dauer | Personenbezogene Daten werden nur für den Servicezweck, nur für die Laufzeit des MSA verarbeitet |
| 2 | Art und Zweck der Verarbeitung | Klare Beschreibung; nicht „für jeden geschäftlichen Zweck” |
| 3 | Kategorien betroffener Personen | Kunden, Interessenten, Mitarbeiter usw. – aufgelistet |
| 4 | Kategorien personenbezogener Daten | Welche Felder verarbeitet werden (keine besonderen Kategorien ohne ausdrückliche Regelung) |
| 5 | Pflichten Verantwortlicher / Auftragsverarbeiter | Liste gemäß Artikel 28 – Vertraulichkeit, Sicherheit, Unterauftragsverarbeiter, Prüfung |
| 6 | Unterauftragsverarbeiter | Aufgelistet; Vorabbenachrichtigung bei Änderungen; Widerspruchsrecht |
| 7 | Internationale Übermittlungen | Standardvertragsklauseln, Angemessenheitsbeschlüsse oder gleichwertiger Übermittlungsmechanismus |
| 8 | Unterstützung bei Betroffenenrechten | Anbieter muss bei Auskunfts-, Löschungs- und Portabilitätsanfragen helfen |
| 9 | Meldung von Datenpannen | 24–72 Stunden; welche Informationen; welcher Kanal |
| 10 | Rückgabe / Löschung von Daten | Bei Vertragsbeendigung; Zertifizierung; dokumentierte Ausnahmen bei Aufbewahrung |
| 11 | Prüfrechte | Angemessen, mit Ankündigung; aktuellster SOC 2 / ISO 27001 des Anbieters reicht in der Regel aus |
| 12 | Haftung und Freistellung | Abgestimmt auf den MSA; nicht unter dem Niveau regulatorischer Bußgeldrisiken gedeckelt |
Anbieter-Templates scheitern regelmäßig an der Unterauftragsverarbeiter-Benachrichtigung (keine Vorabwarnung, kein Widerspruchsrecht), internationalen Übermittlungen (Rückgriff auf veraltete Übermittlungsmechanismen) und Datenpannenmeldung (vage Fristen, vager Kanal).
Wie man es operationalisiert
- Standard-DPA-Template an jeden MSA anhängen. Verhandeln Sie nicht auf Basis des DPA des Anbieters – setzen Sie Ihren Standard-DPA als Standard. Die meisten Anbieter akzeptieren ihn.
- Unterauftragsverarbeiterliste durch den Anbieter pflegen lassen. Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern abonnieren. Zur Überprüfung in den Vendor-Management-Kalender aufnehmen.
- Grenzüberschreitendes Übermittlungsaudit. Einmal jährlich prüfen, welche Anbieter EU/UK-personenbezogene Daten außerhalb des EWR verarbeiten, und den aktuellen Übermittlungsmechanismus verifizieren (insbesondere nach Schrems II / Data Privacy Framework-Änderungen).
- Datenpannen-Notfallübung. Jährlich eine Anbieter-Datenpannenmeldung simulieren und den Reaktionsprozess Ihres Teams überprüfen – wer benachrichtigt wen, in welchem Zeitrahmen, mit welchen regulatorischen Konsequenzen.
- KI-Anbieter-DPA genau prüfen. KI-Anbieter, die mit Kundendaten trainieren, sind ein Sonderfall – verifizieren Sie, dass der DPA die Trainingsnutzung ausdrücklich ausschließt oder dass der Opt-out-/No-Training-Modus vertraglich garantiert ist.
Häufige Fehler
- Den DPA des Anbieters ohne Verhandlung akzeptieren. Anbieter-DPAs sind zum Vorteil des Anbieters verfasst; Standard-Kundenkonzessionen verstecken sich im Kleingedruckten.
- Unterauftragsverarbeiter-Weitergabe ignorieren. Die Unterauftragsverarbeiter Ihres Anbieters verarbeiten Ihre Daten – Weitergabepflichten sind entscheidend.
- Veraltete Übermittlungsmechanismen. Standardvertragsklauseln wurden 2021 überarbeitet; einige ältere DPAs verweisen noch auf die alten Klauseln, die nicht mehr gültig sind.
- KI-Trainingsklauseln. Viele KI-Anbieter-DPAs sehen standardmäßig vor, dass „Kundendaten zur Verbesserung des Dienstes genutzt werden dürfen”. Verhandeln Sie auf ein ausdrückliches Trainingsverbot oder verifizieren Sie, dass der No-Training-Enterprise-Tarif eingekauft wird.
- Kein Audit-Log der unterzeichneten DPAs. Wenn eine Regulierungsbehörde fragt „welche Anbieter verarbeiten Daten der betroffenen Person X”, müssen Sie in Tagen antworten können, nicht in Monaten.
Verwandte Themen
- MSA-Redlining-Rubrik — der übergeordnete Vertrag, an den der DPA angehängt wird
- Vendor-Due-Diligence-Workflow — der übergeordnete Vendor-Onboarding-Prozess
- Contract-Review-SOP — der Prozess, der die DPA-Review-Stufe regelt