DPA / Data Processing Addendum prüfen lassen
Unsere KI prüft Ihr Data Processing Agreement auf DSGVO-Konformität, angemessene technische und organisatorische Maßnahmen und rechtssichere Drittlandtransfers.
Jetzt DPA prüfen
PDF hochladen - KI-Analyse in Sekunden - Risikobewertung erhalten
Einzelanalyse ab 2,99 € · Mit Abo oder Coin-Paket günstiger
Was wird geprüft?
Daten & DSGVO
AVV-Pflichtpunkte, Subprozessoren, Löschfristen, Datenschutz
DSGVO-Compliance
Datenschutzerklärung, Cookie-Consent, AVV-Vollständigkeit
Formalia-Check
Pflichtangaben, formelle Anforderungen, Vollständigkeit
Ungewöhnliche Klauseln
Outlier-Detection: ungewöhnliche, unklare oder überraschende Klauseln
Was ein Data Processing Agreement ausmacht
Ein Data Processing Agreement (DPA), auf Deutsch Auftragsverarbeitungsvertrag (AVV), regelt das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der in dessen Auftrag personenbezogene Daten verarbeitet. Die inhaltlichen Mindestanforderungen ergeben sich aus Art. 28 Abs. 3 DSGVO und sind nicht verhandelbar: Der Vertrag muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen und Datenarten sowie die Pflichten beider Seiten dokumentieren.
Typische Bestandteile sind:
- Weisungsbindung des Auftragsverarbeiters (nur dokumentierte Weisungen)
- technische und organisatorische Maßnahmen (TOM) als Anlage
- Subunternehmer-Regelung (Unterauftragsverarbeiter, Art. 28 Abs. 2 und 4 DSGVO)
- Unterstützungspflichten bei Betroffenenanfragen und Datenpannen
- Lösch- und Rückgabepflicht nach Vertragsende sowie Audit- und Nachweisrechte
Häufige Problemklauseln und Fehlerquellen
Gerade Standard-DPAs großer Anbieter enthalten Klauseln, die den Verantwortlichen benachteiligen oder gegen die DSGVO verstoßen:
- Pauschale Genehmigung von Subunternehmern: Erlaubt der Vertrag den Wechsel von Unterauftragsverarbeitern ohne Vorabinformation oder Widerspruchsrecht, verstößt das gegen Art. 28 Abs. 2 DSGVO.
- Drittlandtransfer ohne Garantien: Fehlen bei Datenübermittlung in Drittländer Standardvertragsklauseln (SCC) oder ein Angemessenheitsbeschluss nach Art. 44 ff. DSGVO, droht ein unzulässiger Transfer.
- Haftungsausschlüsse und -obergrenzen: Auftragsverarbeiter begrenzen ihre Haftung oft auf einen Bruchteil der Jahresvergütung. Da im B2B die AGB-Kontrolle nach §§ 305 ff. BGB abgeschwächt ist, sind solche Caps wirksamer als gegenüber Verbrauchern; ein vollständiger Ausschluss für grobe Fahrlässigkeit oder Vorsatz bleibt aber nach § 309 Nr. 7 BGB unwirksam.
- Eingeschränkte Audit-Rechte: Reine Verweise auf vorgefertigte Zertifikate statt echter Kontrollmöglichkeit untergraben Art. 28 Abs. 3 lit. h DSGVO.
- Unklare Löschfristen nach Vertragsende lassen offen, ob Daten zurückgegeben oder gelöscht werden.
Worauf Sie konkret achten sollten
Prüfen Sie diese Punkte vor der Unterschrift:
- TOM-Anlage vorhanden und konkret – nicht nur Floskeln, sondern messbare Maßnahmen
- Subunternehmer-Liste aktuell, mit Informations- und Widerspruchsrecht
- Haftungsregelung ausgewogen – Rückgriff bei DSGVO-Bußgeldern (Art. 82) beachten
- Laufzeit und Kündigung an den Hauptvertrag gekoppelt, kein Datenzugriff nach Ende
- Ort der Verarbeitung und etwaige Drittlandklauseln mit gültigen Garantien
- Weisungsrecht und Meldepflichten bei Datenpannen mit klaren Fristen
Dieser Beitrag bietet allgemeine Informationen und ersetzt keine individuelle Rechtsberatung. Eine KI-Analyse prüft die DPA-Klauseln in Sekunden und markiert kritische Stellen wie Haftungs-Caps oder fehlende Drittlandgarantien.
Kritische Klauseln im DPA
Datensicherungs- & Backup-Klausel
Regelt Backup-Häufigkeit, Wiederherstellung und Verantwortlichkeiten für Datenverluste in der Cloud.
Subprozessoren-Klausel (AVV)
Liste der Unterauftragsverarbeiter in der AVV. Änderungen müssen vorab mitgeteilt werden, Widerspruchsrecht muss bestehen.
Technische und Organisatorische Maßnahmen (TOM)
Pflichtanhang der AVV mit konkreten Schutzmaßnahmen. Pauschale Verweise auf "Stand der Technik" reichen nicht.
Aufbewahrungsfristen
Gesetzliche und vertragliche Fristen zur Datenspeicherung. Nach Ablauf müssen Daten gelöscht werden (Art. 17 DSGVO).
Recht auf Löschung / Vergessenwerden
Art. 17 DSGVO gibt Betroffenen das Recht auf Löschung ihrer personenbezogenen Daten.
Drittlandtransfer (DSGVO)
Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR. Erfordert Angemessenheitsbeschluss oder SCC.
Häufige Fragen
Was ist der Unterschied zwischen DPA und AVV?
Wann brauche ich ein DPA?
Bereit, Ihren DPA prüfen zu lassen?
Laden Sie Ihr Dokument hoch und erhalten Sie sofort eine detaillierte Risikoanalyse.
Jetzt DPA prüfen