Zum Inhalt springen
Glossar · Online-Marketing

Data Processing Agreement (DPA / AVV)

Ein Data Processing Agreement (im Deutschen: AVV) regelt die DSGVO-konforme Verarbeitung personenbezogener Daten zwischen Auftraggeber und Dienstleister.

Von

Was ist ein Data Processing Agreement (DPA)?

Ein Data Processing Agreement (DPA) — im deutschen Recht meist Auftragsverarbeitungs-Vertrag (AVV) genannt — ist ein rechtlich verbindlicher Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Dienstleister), der die DSGVO-konforme Verarbeitung personenbezogener Daten regelt.

Die Rechtsgrundlage steht in Artikel 28 DSGVO und schreibt vor, dass jede Verarbeitung personenbezogener Daten durch externe Dienstleister vertraglich abgesichert sein muss.

Was ein DPA inhaltlich regeln muss

Acht Pflichtbestandteile nach Artikel 28 DSGVO:

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Art der personenbezogenen Daten
  4. Kategorien betroffener Personen
  5. Pflichten und Rechte des Verantwortlichen
  6. Technisch-organisatorische Maßnahmen (TOMs)
  7. Unterauftragsverarbeiter (welche Subunternehmer dürfen eingebunden werden)
  8. Löschungs- und Rückgabe-Pflichten nach Vertragsende

Typische DPA-Fälle im B2B-Marketing

Marketing-Tools, die im Mittelstand fast immer einen DPA erfordern:

  • E-Mail-Marketing — Mailchimp, ConvertKit, ActiveCampaign, Brevo
  • Analytics — Google Analytics, Matomo, Plausible
  • CRM — HubSpot, Salesforce, Pipedrive
  • Hosting — AWS, Google Cloud, Vercel, IONOS
  • Tag-Management — Google Tag Manager
  • Werbe-Plattformen — Meta Ads, LinkedIn Ads, Google Ads
  • Webinar-Tools — Zoom, GoToWebinar, Demio

Die meisten dieser Anbieter stellen Standard-DPAs bereit, die im Account-Setup elektronisch akzeptiert werden können.

DPA-Risiken bei internationalen Anbietern

Drei kritische Punkte bei US-amerikanischen oder anderen Drittland-Anbietern:

  • Cross-Border-Datentransfer — braucht spezielle Schutz-Mechanismen (EU-US Data Privacy Framework, Standardvertragsklauseln)
  • Behörden-Zugriff — US-Behörden können theoretisch auf europäische Kundendaten zugreifen (CLOUD Act)
  • Schrems-Urteile — die EuGH-Urteile Schrems I und II haben verschiedene Transfer-Mechanismen für rechtswidrig erklärt

Im B2B-Mittelstand wird zunehmend auf europäische Cloud-Alternativen geachtet, gerade in datenschutz-sensiblen Branchen.

Was ein DPA nicht ist

Ein DPA ist kein Freibrief und keine Garantie für DSGVO-Konformität. Er ist eine vertragliche Grundlage — die tatsächliche Konformität entsteht erst durch saubere Umsetzung der dort vereinbarten technisch-organisatorischen Maßnahmen.

Häufige Fragen

Wann brauche ich einen DPA?
Immer dann, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet — Mail-Versand (Mailchimp), Analytics (Google), Hosting (AWS), CRM (HubSpot), Tag-Management (GTM). Ohne DPA ist die Datenverarbeitung rechtswidrig. Die meisten Anbieter stellen Standard-DPAs bereit, die elektronisch akzeptiert werden können.
Ist eine AVV dasselbe wie ein DPA?
Im Wesentlichen ja. AVV (Auftragsverarbeitungs-Vertrag) ist der deutsche Begriff für das, was international als DPA (Data Processing Agreement) bezeichnet wird. Beide regeln nach Artikel 28 DSGVO die Bedingungen der Auftragsverarbeitung — Zweck, Dauer, Umfang, technisch-organisatorische Maßnahmen.