Datenverarbeitungsvereinbarung (DPA)
Eine Datenverarbeitungsvereinbarung (DPA, engl. Data Processing Agreement) ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen einem datenverarbeitenden Unternehmen (Verantwortlicher) und einem externen Dienstleister (Auftragsverarbeiter), der die Verarbeitung personenbezogener Daten im Auftrag regelt.
Ausführliche Erklärung
Die Datenverarbeitungsvereinbarung ist ein zentrales Instrument des Datenschutzrechts für Unternehmen, die personenbezogene Daten durch externe Dienstleister verarbeiten lassen. Sie ist verpflichtend, sobald ein Unternehmen als Verantwortlicher Daten an einen Auftragsverarbeiter übergibt, etwa an Cloud-Anbieter, Newsletter-Tools, Webhoster oder Buchhaltungsdienstleister. Der Vertrag muss schriftlich oder in einem anderen dauerhaften Format vorliegen und die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte enthalten.
Für KMU ist die Datenverarbeitungsvereinbarung besonders relevant, weil nahezu jedes Unternehmen externe IT-Dienste nutzt. Typische Anwendungsfälle sind Cloud-Speicher, CRM-Systeme, E-Mail-Marketing-Tools, Webhosting oder Lohnabrechnungssoftware. Der Vertrag definiert präzise, welche Daten zu welchem Zweck verarbeitet werden, welche technischen und organisatorischen Maßnahmen der Dienstleister ergreifen muss und wie mit Unterauftragsverarbeitern, Datenpannen oder der Löschung von Daten nach Vertragsende umzugehen ist. Der Verantwortliche bleibt trotz Auslagerung für die Einhaltung der DSGVO verantwortlich und muss den Auftragsverarbeiter sorgfältig auswählen sowie kontrollieren.
Das Fehlen einer Datenverarbeitungsvereinbarung stellt einen Verstoß gegen Art. 28 DSGVO dar. Die Datenschutzbehörden können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen. Darüber hinaus haften Unternehmen für Datenschutzverstöße ihrer Auftragsverarbeiter, wenn sie keine ordnungsgemäße Vereinbarung abgeschlossen oder die Dienstleister nicht ausreichend kontrolliert haben. Die Vereinbarung schützt somit nicht nur die Rechte betroffener Personen, sondern dient auch der rechtlichen Absicherung des beauftragenden Unternehmens.
Viele Cloud- und SaaS-Anbieter stellen standardisierte Datenverarbeitungsvereinbarungen bereit, die formal die DSGVO-Anforderungen erfüllen, jedoch oft einseitig zugunsten des Anbieters formuliert sind. KMU sollten besonders auf Regelungen zu Drittlandtransfers, Unterauftragsverarbeitern, Audit-Rechten und Haftungsgrenzen achten. Bei der Verarbeitung besonderer Datenkategorien gemäß Art. 9 DSGVO oder bei Hochrisiko-KI-Anwendungen sind zusätzliche Schutzmaßnahmen erforderlich, die in der Vereinbarung konkret zu benennen sind.
Praxisbeispiel
Eine Wiener Steuerberatungskanzlei mit 12 Mitarbeitenden nutzt eine cloudbasierte Buchhaltungssoftware eines deutschen Anbieters zur Verwaltung von Mandantendaten. Vor der Produktivnutzung schließt die Kanzlei eine Datenverarbeitungsvereinbarung ab, die regelt, welche Mandantendaten (Namen, Steuernummern, Gehaltsdaten) zu welchem Zweck (Finanzbuchhaltung, Lohnabrechnung) verarbeitet werden, welche Sicherheitsmaßnahmen der Anbieter implementiert hat und wie die Daten nach Vertragsende gelöscht werden.