💻IT / SaaS / FreelancerB2B

DPA / Data Processing Addendum prüfen lassen

Unsere KI prüft Ihr Data Processing Agreement auf DSGVO-Konformität, angemessene technische und organisatorische Maßnahmen und rechtssichere Drittlandtransfers.

Jetzt DPA prüfen

PDF hochladen - KI-Analyse in Sekunden - Risikobewertung erhalten

Einzelanalyse ab 2,99 € · Mit Abo oder Coin-Paket günstiger

Vertrag hochladen

Was wird geprüft?

Daten & DSGVO

AVV-Pflichtpunkte, Subprozessoren, Löschfristen, Datenschutz

DSGVO-Compliance

Datenschutzerklärung, Cookie-Consent, AVV-Vollständigkeit

Formalia-Check

Pflichtangaben, formelle Anforderungen, Vollständigkeit

Ungewöhnliche Klauseln

Outlier-Detection: ungewöhnliche, unklare oder überraschende Klauseln

Was ein Data Processing Agreement ausmacht

Ein Data Processing Agreement (DPA), auf Deutsch Auftragsverarbeitungsvertrag (AVV), regelt das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der in dessen Auftrag personenbezogene Daten verarbeitet. Die inhaltlichen Mindestanforderungen ergeben sich aus Art. 28 Abs. 3 DSGVO und sind nicht verhandelbar: Der Vertrag muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen und Datenarten sowie die Pflichten beider Seiten dokumentieren.

Typische Bestandteile sind:

  • Weisungsbindung des Auftragsverarbeiters (nur dokumentierte Weisungen)
  • technische und organisatorische Maßnahmen (TOM) als Anlage
  • Subunternehmer-Regelung (Unterauftragsverarbeiter, Art. 28 Abs. 2 und 4 DSGVO)
  • Unterstützungspflichten bei Betroffenenanfragen und Datenpannen
  • Lösch- und Rückgabepflicht nach Vertragsende sowie Audit- und Nachweisrechte
Im B2B-Kontext besteht weite Vertragsfreiheit bei kommerziellen Klauseln wie Vergütung, Laufzeit und Haftung. Der datenschutzrechtliche Kern dagegen ist gesetzlich determiniert und kann nicht zulasten der Betroffenen verkürzt werden.

Häufige Problemklauseln und Fehlerquellen

Gerade Standard-DPAs großer Anbieter enthalten Klauseln, die den Verantwortlichen benachteiligen oder gegen die DSGVO verstoßen:

  • Pauschale Genehmigung von Subunternehmern: Erlaubt der Vertrag den Wechsel von Unterauftragsverarbeitern ohne Vorabinformation oder Widerspruchsrecht, verstößt das gegen Art. 28 Abs. 2 DSGVO.
  • Drittlandtransfer ohne Garantien: Fehlen bei Datenübermittlung in Drittländer Standardvertragsklauseln (SCC) oder ein Angemessenheitsbeschluss nach Art. 44 ff. DSGVO, droht ein unzulässiger Transfer.
  • Haftungsausschlüsse und -obergrenzen: Auftragsverarbeiter begrenzen ihre Haftung oft auf einen Bruchteil der Jahresvergütung. Da im B2B die AGB-Kontrolle nach §§ 305 ff. BGB abgeschwächt ist, sind solche Caps wirksamer als gegenüber Verbrauchern; ein vollständiger Ausschluss für grobe Fahrlässigkeit oder Vorsatz bleibt aber nach § 309 Nr. 7 BGB unwirksam.
  • Eingeschränkte Audit-Rechte: Reine Verweise auf vorgefertigte Zertifikate statt echter Kontrollmöglichkeit untergraben Art. 28 Abs. 3 lit. h DSGVO.
  • Unklare Löschfristen nach Vertragsende lassen offen, ob Daten zurückgegeben oder gelöscht werden.

Worauf Sie konkret achten sollten

Prüfen Sie diese Punkte vor der Unterschrift:

  • TOM-Anlage vorhanden und konkret – nicht nur Floskeln, sondern messbare Maßnahmen
  • Subunternehmer-Liste aktuell, mit Informations- und Widerspruchsrecht
  • Haftungsregelung ausgewogen – Rückgriff bei DSGVO-Bußgeldern (Art. 82) beachten
  • Laufzeit und Kündigung an den Hauptvertrag gekoppelt, kein Datenzugriff nach Ende
  • Ort der Verarbeitung und etwaige Drittlandklauseln mit gültigen Garantien
  • Weisungsrecht und Meldepflichten bei Datenpannen mit klaren Fristen
Praxis-Tipp: Unterschreiben Sie nie ungeprüft das Anbieter-Template. Verhandeln Sie zumindest Subunternehmer-Transparenz und Haftung nach – im B2B ist das üblich und erwartet.

Dieser Beitrag bietet allgemeine Informationen und ersetzt keine individuelle Rechtsberatung. Eine KI-Analyse prüft die DPA-Klauseln in Sekunden und markiert kritische Stellen wie Haftungs-Caps oder fehlende Drittlandgarantien.

Kritische Klauseln im DPA

Häufige Fragen

Was ist der Unterschied zwischen DPA und AVV?
Ein DPA (Data Processing Agreement) ist die englische Bezeichnung für einen Auftragsverarbeitungsvertrag (AVV). Beide bezeichnen denselben Vertrag nach Art. 28 DSGVO, der die Datenverarbeitung durch Dritte regelt.
Wann brauche ich ein DPA?
Ein DPA ist immer erforderlich, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, z. B. bei Cloud-Diensten, E-Mail-Marketing-Tools oder Hosting-Anbietern.

Bereit, Ihren DPA prüfen zu lassen?

Laden Sie Ihr Dokument hoch und erhalten Sie sofort eine detaillierte Risikoanalyse.

Jetzt DPA prüfen