Ein praktischer Leitfaden zu Auftragsverarbeitungsvertrag

Dieser Leitfaden erklärt Auftragsverarbeitungsvertrag praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Eine Datenverarbeitungsvereinbarung, üblicherweise DPA genannt, ist der Vertrag, der regelt, wie ein Anbieter personenbezogene Daten im Auftrag eines Kunden verarbeitet. Wenn Ihre Website, Ihr SaaS-Produkt, Ihr CRM, Ihr Analysetool, Ihre E-Mail-Plattform, Ihr Cloud-Anbieter oder Ihr Support-Desk personenbezogene Daten berührt, müssen Sie wissen, ob ein DPA erforderlich ist.

Unter GDPR steht die Kernregel in Artikel 28: Die Verarbeitung durch einen Auftragsverarbeiter muss durch einen Vertrag oder einen anderen Rechtsakt geregelt werden, der den Auftragsverarbeiter an den Verantwortlichen bindet und die wichtigsten Einzelheiten der Verarbeitung festlegt (GDPR Artikel 28).

Verantwortlicher, Auftragsverarbeiter oder Dritter?

Der erste Schritt ist die Rollenzuordnung.

Verantwortlicher: Entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Ein Unternehmen, das eine Website betreibt und einen Analyseanbieter auswählt, ist häufig der Verantwortliche für seine Besucheranalysen.

Auftragsverarbeiter: Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen und nach dessen Weisung. Ein datenschutzorientierter Analyseanbieter, ein E-Mail-Zustellungstool oder ein Cloud-Host kann ein Auftragsverarbeiter sein, wenn er Daten nur zur Bereitstellung des vertraglich vereinbarten Dienstes verwendet.

Unabhängiger Controller: Entscheidet über seine eigenen Zwecke. Bei einigen Werbeplattformen und Vereinbarungen zur Datenweitergabe kann es sich um unabhängige Controller-Rollen anstelle einer reinen Datenverarbeitung handeln.

Rollenbezeichnungen sollten der Realität entsprechen, nicht der Marketingsprache. Wenn ein Anbieter Kundendaten für eigene Werbung, Anreicherung oder kundenübergreifendes Profiling verwendet, beschreibt ein Standardprozessor DPA die Beziehung möglicherweise nicht genau.

Was ein GDPR DPA abdecken muss

Gemäß Artikel 28 muss der Vertrag Folgendes regeln:

• Gegenstand und Dauer der Verarbeitung.
• Art und Zweck der Verarbeitung.
• Art der personenbezogenen Daten.
• Kategorien der betroffenen Personen.
• Pflichten und Rechte des Verantwortlichen.
• Verarbeitung nur auf dokumentierte Weisung.
• Vertraulichkeitsverpflichtungen.
• Sicherheitsmaßnahmen.
• Regeln für Unterauftragsverarbeiter.
• Unterstützung bei den Rechten betroffener Personen.
• Unterstützung bei Sicherheits-, Sicherheitsverletzungs-, DPIA- und Beratungspflichten.
• Löschung oder Rückgabe personenbezogener Daten nach Beendigung der Dienstleistung.
• Informationen, die zum Nachweis der Einhaltung erforderlich sind.
• Audit- und Inspektionsrechte.

Praktisch gesehen sollte Ihnen der DPA die Antwort geben: Welche Daten erhält der Anbieter, warum, wo werden sie gespeichert, wer berührt sie sonst noch, wie werden sie geschützt und was passiert, wenn der Vertrag endet?

Warum Analytics-Anbieter überprüft werden müssen

Analytics-Anbieter können personenbezogene Daten auch dann verarbeiten, wenn die Berichte aggregiert sind. Zu den Daten können IP-Adressen, Cookie IDs, Geräteinformationen, URL-Pfade, Referrer, Kampagnenparameter, ungefährer Standort und mit dem Konto verknüpfte Ereignisse gehören.

Fragen Sie für jedes Analysetool:

• Ist der Anbieter ein Auftragsverarbeiter, Dienstleister oder unabhängiger Verantwortlicher?
• Kombiniert der Anbieter kundenübergreifende Daten?
• Werden Cookies oder dauerhafte Identifikatoren verwendet?
• Werden die Daten über die vertraglich vereinbarte Leistung hinaus für Werbung oder Produktverbesserung genutzt?
• Wo werden die Daten gehostet?
• Welche Unterauftragsverarbeiter sind beteiligt?
• Können Rohdaten gelöscht werden?
• Welche Aufbewahrungseinstellungen sind verfügbar?
• Stellt der Anbieter einen DPA bereit?

Privacy-First-Analysen reduzieren den Datenfußabdruck, es kann jedoch dennoch ein DPA erforderlich sein, wenn personenbezogene Daten verarbeitet werden.

Unterauftragsverarbeiter und internationale Übertragungen

Die meisten SaaS-Anbieter verlassen sich auf Unterauftragsverarbeiter: Cloud-Hosts, E-Mail-Anbieter, Support-Tools, Überwachungsdienste und Zahlungssysteme. In einem DPA sollte angegeben werden, ob Unterauftragsverarbeiter zugelassen sind, wie Kunden über Änderungen informiert werden und wie Einwände funktionieren.

Internationale Überweisungen erfordern gesonderte Aufmerksamkeit. Wenn personenbezogene Daten außerhalb des EWR oder UK übertragen werden, benötigen Teams möglicherweise Standardvertragsklauseln, Risikobewertungen für die Übertragung, ergänzende Maßnahmen oder einen anderen gültigen Übertragungsmechanismus. Der DPA allein reicht nicht immer aus.

Eine Checkliste für die Lieferantenbewertung

Bevor Sie ein Werkzeug genehmigen:

1. Identifizieren Sie, welche personenbezogenen Daten das Tool empfängt.
2. Bestätigen Sie die Lieferantenrolle.
3. Überprüfen Sie den DPA und die Unterprozessoren.
4. Überprüfen Sie die Hosting-Region und den Übertragungsmechanismus.
5. Überprüfen Sie die Sicherheitsdokumentation.
6. Legen Sie Aufbewahrungsgrenzen fest.
7. Deaktivieren Sie unnötige Datenfreigabe.
8. Bestätigen Sie die Lösch-/Export-Workflows.
9. Dokumentieren Sie den Geschäftszweck.
10. Fügen Sie das Tool bei Bedarf zur Datenschutzerklärung hinzu.

Häufige DPA-Fehler

• Einen DPA signieren, das Produkt jedoch niemals sicher konfigurieren.
• Ignorieren von Ereigniseigenschaften und URL-Parametern, die personenbezogene Daten enthalten.
• Angenommen, der DPA eines US-Anbieters löst das EU-Transferrisiko automatisch.
• Versäumnis, Unterauftragsverarbeiter zu überprüfen.
• Rohe Analysedaten für immer aufbewahren.
• Ermöglichen, dass Agenturen Tools außerhalb der Beschaffung hinzufügen.
• Behandlung aller Anbieter als Auftragsverarbeiter, wenn es sich bei einigen um unabhängige Verantwortliche handelt.

Ein DPA ist kein Papierkram, den man abheften muss. Es ist die Bedienungsanleitung für eine Datenbeziehung. Je mehr die Privatsphäre in Ihrem Stack an erster Stelle steht, desto einfacher ist es, diese Beziehung zu erklären, zu sichern und sauber zu beenden.

So überprüfen Sie eine Analyse DPA

Vergleichen Sie bei Analyseanbietern den DPA mit der tatsächlichen Ereignisnutzlast. Ein Vertrag kann vorsehen, dass der Prozessor den Anweisungen folgt, aber die Implementierung kann dennoch vollständige URLs, Kennungen, IP Adressen, Suchbegriffe oder Anzeigenklick-IDs senden. Die Artikel 28 Auftragsverarbeiteranforderungen des GDPR bilden die Grundlage: dokumentierte Anweisungen, Vertraulichkeit, Sicherheit, Unterauftragsverarbeiterkontrollen, Unterstützung bei Rechten, Löschung oder Rückgabe, Prüfungen und klare Haftungsgrenzen.

Stellen Sie fünf praktische Fragen. Kann der Anbieter Daten für sein eigenes Produkt, Benchmarking, Werbung oder KI-Schulungen verwenden? Wo werden die Daten gehostet und welche Unterauftragsverarbeiter können darauf zugreifen? Wie schnell können Daten nach der Kündigung gelöscht werden? Fallen für Support- und Engineering-Protokolle dieselben Bedingungen? Entspricht DPA dem öffentlichen Datenschutzhinweis und der Sicherheitsseite? Wenn die Antwort von einem Verkaufsversprechen abhängt, nehmen Sie es in den Vertrag auf oder reduzieren Sie die gesendeten Daten. Ein Anbieter von datenschutzorientierten Analysen sollte diese Überprüfung kürzer gestalten, da der Dienst auf begrenzten, zweckspezifischen Daten und nicht auf breiten Verhaltensprofilen basiert.

DPA Überprüfungscheckliste

Vergleichen Sie DPA mit der tatsächlichen Analysenutzlast. Der Vertrag sollte dokumentierte Anweisungen, Vertraulichkeit, Sicherheit, Unterauftragsverarbeiter, internationale Übermittlungen, Unterstützung bei Rechten, Löschung oder Rückgabe, Prüfungsrechte und Benachrichtigung über Vorfälle umfassen. Diese Klauseln sind jedoch nur hilfreich, wenn bei der Umsetzung unnötige personenbezogene Daten vermieden werden.

Testen Sie vor dem Signieren, ob vollständige URLs, Abfragezeichenfolgen, IP-Adressen, IDs, Formularwerte oder Kampagnenparameter personenbezogene Daten offenlegen könnten. Wenn ein Anbieter Daten für Werbung, Benchmarking, KI-Schulungen oder damit zusammenhängende Produktverbesserungen wiederverwenden kann, klären Sie die Rolle und die Grenzen schriftlich oder reduzieren Sie die Menge der gesendeten Daten.