Immer wenn personenbezogene Daten im Rahmen eines IT-Prozesses durch externe Dienstleister oder Systeme verarbeitet werden, stellt sich eine zentrale Frage: Wer ist wofür verantwortlich – und wie wird Datenschutz verbindlich geregelt? Die rechtliche Antwort darauf ist das sogenannte Data Processing Agreement (DPA), auf Deutsch auch Auftragsverarbeitungsvertrag (AVV) genannt.
Gerade bei der Integration unterschiedlicher Systeme – ob ERP, DMS, REST-Schnittstelle oder Cloud-API – ist das DPA ein unverzichtbares Element rechtskonformer Datenverarbeitung.
Was regelt ein Data Processing Agreement?
Ein DPA ist ein vertragliches Dokument, das die Zusammenarbeit zwischen einem Verantwortlichen (z. B. einem Unternehmen) und einem Auftragsverarbeiter (z. B. einem IT-Dienstleister) konkretisiert. Es definiert die Bedingungen, unter denen personenbezogene Daten verarbeitet werden dürfen.
Typische Regelungspunkte:
- Gegenstand und Dauer der Verarbeitung
- Art der verarbeiteten Daten (z. B. Stammdaten, Nutzungsdaten, Gesundheitsdaten)
- Kategorien betroffener Personen
- Pflichten und Rechte des Auftraggebers
- Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrolle, Monitoring)
- Unterauftragsverhältnisse (Subprozessoren)
- Rückgabe oder Löschung der Daten nach Vertragsende
Warum ist das DPA im Integrationskontext so wichtig?
In modernen IT-Architekturen werden personenbezogene Daten oft über viele Systeme und Anbieter hinweg verarbeitet:
- Cloud-Anwendungen werden über REST- oder GraphQL-APIs angebunden
- Daten aus ERP und DMS werden über Mapping-Engines transformiert
- OT-Systeme liefern Sensordaten, die mit Nutzerprofilen verknüpft werden können
- Datenflüsse laufen über Event-Streaming, Low Code-Apps oder Drittanbieter-Schnittstellen
In all diesen Fällen greifen externe Instanzen auf personenbezogene Informationen zu – und müssen daher vertraglich zur Einhaltung der DSGVO verpflichtet werden. Fehlt ein DPA, drohen Bußgelder, Reputationsschäden und Haftungsrisiken.
DPA vs. technische Integration – wo treffen sich beide?
Ein sauber aufgesetztes DPA allein reicht nicht aus – es muss in die technische und organisatorische Struktur eingebettet werden. Das bedeutet:
- Monitoring und Logging müssen zeigen, ob der Vertrag eingehalten wird
- OAuth und rollenbasierter Zugriff sichern festgelegte Rechte technisch ab
- Mapping-Logiken dürfen keine unerlaubte Weitergabe personenbezogener Daten erlauben
- Löschkonzepte (z. B. Time-Triggering, manuelle Freigabe) müssen umsetzbar sein
- Dashboard-basierte Transparenz hilft dabei, Kontrollpflichten zu erfüllen
Best Practices für DPAs in Integrationsprojekten
- Frühzeitige Prüfung, ob ein DPA nötig ist – nicht jedes System verarbeitet personenbezogene Daten
- Vertragsprüfung durch Datenschutz und IT gemeinsam
- Definition von klaren Verantwortlichkeiten bei Betrieb, Kontrolle und Dokumentation
- Sicherstellung, dass Subprozessoren (z. B. Cloudanbieter) ebenfalls vertraglich gebunden sind
- Dokumentation der Datenflüsse, die vom DPA betroffen sind – idealerweise auditierbar
- Integration von DPA-relevanten Themen in Change- und Incident-Prozesse
Fazit
Das Data Processing Agreement ist mehr als ein Pflichtanhang im Projektvertrag – es ist ein zentrales Element zur rechtssicheren Umsetzung von Integrationen, in denen personenbezogene Daten verarbeitet werden. Unternehmen, die Integrationen ernsthaft betreiben, müssen DPAs ebenso mitdenken wie API-Design, Monitoring oder Mapping.
Tags: