Was ist ein Data Processing Agreement (DPA)?
Ein Data Processing Agreement (DPA) — im deutschen Recht meist Auftragsverarbeitungs-Vertrag (AVV) genannt — ist ein rechtlich verbindlicher Vertrag zwischen einem Verantwortlichen (Auftraggeber) und einem Auftragsverarbeiter (Dienstleister), der die DSGVO-konforme Verarbeitung personenbezogener Daten regelt.
Die Rechtsgrundlage steht in Artikel 28 DSGVO und schreibt vor, dass jede Verarbeitung personenbezogener Daten durch externe Dienstleister vertraglich abgesichert sein muss.
Was ein DPA inhaltlich regeln muss
Acht Pflichtbestandteile nach Artikel 28 DSGVO:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Technisch-organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter (welche Subunternehmer dürfen eingebunden werden)
- Löschungs- und Rückgabe-Pflichten nach Vertragsende
Typische DPA-Fälle im B2B-Marketing
Marketing-Tools, die im Mittelstand fast immer einen DPA erfordern:
- E-Mail-Marketing — Mailchimp, ConvertKit, ActiveCampaign, Brevo
- Analytics — Google Analytics, Matomo, Plausible
- CRM — HubSpot, Salesforce, Pipedrive
- Hosting — AWS, Google Cloud, Vercel, IONOS
- Tag-Management — Google Tag Manager
- Werbe-Plattformen — Meta Ads, LinkedIn Ads, Google Ads
- Webinar-Tools — Zoom, GoToWebinar, Demio
Die meisten dieser Anbieter stellen Standard-DPAs bereit, die im Account-Setup elektronisch akzeptiert werden können.
DPA-Risiken bei internationalen Anbietern
Drei kritische Punkte bei US-amerikanischen oder anderen Drittland-Anbietern:
- Cross-Border-Datentransfer — braucht spezielle Schutz-Mechanismen (EU-US Data Privacy Framework, Standardvertragsklauseln)
- Behörden-Zugriff — US-Behörden können theoretisch auf europäische Kundendaten zugreifen (CLOUD Act)
- Schrems-Urteile — die EuGH-Urteile Schrems I und II haben verschiedene Transfer-Mechanismen für rechtswidrig erklärt
Im B2B-Mittelstand wird zunehmend auf europäische Cloud-Alternativen geachtet, gerade in datenschutz-sensiblen Branchen.
Was ein DPA nicht ist
Ein DPA ist kein Freibrief und keine Garantie für DSGVO-Konformität. Er ist eine vertragliche Grundlage — die tatsächliche Konformität entsteht erst durch saubere Umsetzung der dort vereinbarten technisch-organisatorischen Maßnahmen.