# DPA unter der AVG verwalten

Source: https://contracko.com/de/blog/auftragsverarbeitungsvertrag-verwalten

[Blog](https://contracko.com/de/blog)

[DPA unter der AVG verwalten](https://contracko.com/de/blog/auftragsverarbeitungsvertrag-verwalten)

# DPA unter der AVG verwalten

Budi Voogt 25. Mai 2026

Für LLM kopieren

Sie kennen das wahrscheinlich. Sie binden einen neuen Anbieter ein, jemand schickt einen Auftragsverarbeitungsvertrag per E-Mail, Sie lesen ihn halb durch, unterschreiben und legen die Datei in einem Ordner ab, den Sie danach nie wieder öffnen. In diesem Moment fühlt es sich an, als wären Sie fertig. Und genau dort geht es schief, denn das Unterschreiben ist der einfache Teil. Die eigentliche Arbeit beginnt danach: diesen Vertrag aktuell halten, während sich Unterauftragsverarbeiter ändern, Reviews verschieben und die rechtliche Grundlage für Übermittlungen unter Ihren Füßen verändert.

Ich merke oft, dass Teams ihre Auftragsverarbeitungsverträge als Abhakmoment behandeln statt als lebende Akte. Das ist verständlich, denn niemand trägt sich in den Kalender ein, in vierzehn Monaten die Sicherheitsanlage eines Hosting-Anbieters erneut zu prüfen. In diesem Leitfaden gehe ich mit Ihnen durch, was ein Auftragsverarbeitungsvertrag genau ist, was Sie pro Vertrag nachverfolgen sollten, warum diese Verträge still altern und wie Sie daraus eine übersichtliche Gesamtheit machen.

> Dies ist eine praktische Erläuterung, keine Rechtsberatung. Legen Sie Ihre eigene Situation einer qualifizierten Datenschutzfachperson vor.

Nach dem Lesen dieses Leitfadens wissen Sie:

- Was ein Auftragsverarbeitungsvertrag (DPA) ist und wann die AVG einen solchen Vertrag verlangt.
- Welche Daten Sie pro Vertrag festhalten sollten, um nachweisbar konform zu bleiben.
- Warum Auftragsverarbeitungsverträge in der Praxis veralten, ohne dass jemand es bemerkt.
- Wie Sie eine durchsuchbare Quelle der Wahrheit aufbauen und die wichtigen Termine in einen Plan setzen.

## Was ein Auftragsverarbeitungsvertrag ist

Ein Auftragsverarbeitungsvertrag, oft als DPA nach dem englischen data processing agreement abgekürzt, legt fest, wie ein Auftragsverarbeiter (der Anbieter) personenbezogene Daten in Ihrem Auftrag verarbeitet, während Sie der Verantwortliche sind. Denken Sie an Ihr CRM, Ihr E-Mail-Tool, Ihre Lohnsoftware oder Ihren Hosting-Anbieter. Sobald eine solche Partei personenbezogene Daten für Sie berührt, schreibt die AVG (Artikel 28) vor, dass Sie dies schriftlich regeln.

Der Grund ist einfach. Sie bestimmen Zweck und Mittel der Verarbeitung, also bleiben Sie verantwortlich, auch wenn jemand anderes die Daten tatsächlich verwaltet. Ohne Vertrag gehen beide Seiten ein Risiko ein: Sie können nicht nachweisen, dass Ihr Anbieter an klare Vereinbarungen gebunden ist, und der Anbieter weiß nicht, wo seine Pflichten enden. Der Vertrag legt unter anderem fest, welche Daten verarbeitet werden, zu welchem Zweck, welche Sicherheitsmaßnahmen gelten und was geschieht, wenn die Zusammenarbeit endet.

So weit die Theorie. In der Praxis ist ein unterschriebener Vertrag erst der Ausgangspunkt, und darauf möchte ich den größten Teil der Aufmerksamkeit legen.

## Was Sie pro DPA nachverfolgen sollten

Die meisten Probleme entstehen nicht bei der Unterzeichnung, sondern Monate später. Ein Auftragsverarbeitungsvertrag enthält nämlich viele Pflichten, die erst in Zukunft relevant werden und sich nicht von selbst melden. Ich empfehle, für jeden Vertrag denselben Datensatz festzuhalten, damit Ihr Portfolio untereinander vergleichbar bleibt.

| Was Sie nachverfolgen | Warum es wichtig ist |
| --- | --- |
| Der Anbieter und der Hauptvertrag | So verknüpfen Sie die DPA mit der Dienstleistung, auf die sie sich bezieht, und sie löst sich nicht aus ihrem Kontext. |
| Reviewdatum | Wann Sie die Sicherheitsmaßnahmen erneut beurteilen sollten, bevor sie still überholt sind. |
| Liste der Unterauftragsverarbeiter und Widerspruchsfenster | Wer zugelassen ist und wie viele Tage Sie haben, um gegen eine neue Ergänzung Widerspruch einzulegen. |
| Auditrechte | Worauf Sie Anspruch haben und mit welcher Häufigkeit Sie dieses Recht ausüben können. |
| Übermittlungsmechanismus | Worauf Übermittlungen außerhalb des EWR gestützt werden (zum Beispiel Standardvertragsklauseln) und ob das Ihre tatsächlichen Datenflüsse noch abdeckt. |
| Kündigungs- und Löschfristen | Was mit den Daten geschieht, wenn die Zusammenarbeit endet, und innerhalb welcher Frist. |

Das Gute an diesen Feldern ist, dass sie alle konkret und prüfbar sind. Sie müssen kein Jurist sein, um festzuhalten, dass ein Reviewdatum näher rückt oder dass ein Widerspruchsfenster bald schließt. Sie müssen nur sicherstellen, dass die Information irgendwo steht, wo Sie sie wiederfinden, und nicht auf Seite elf einer PDF begraben liegt.

## Warum Auftragsverarbeitungsverträge veralten

Ich nenne es veralten, auch wenn meist kein Enddatum darauf steht. Was passiert, ist subtiler: Der Vertrag bleibt formal gültig, spiegelt die Wirklichkeit aber nicht mehr wider. Das geschieht auf einige vorhersehbare Arten.

### Unterauftragsverarbeiter ändern sich

Fast jeder Anbieter schaltet selbst wieder andere Parteien ein, und diese Liste ändert sich. Erhalten Sie eine Meldung, dass ein Unterauftragsverarbeiter hinzukommt, und verpassen Sie das Widerspruchsfenster, dann haben Sie diese Partei stillschweigend akzeptiert. Manchmal ist das in Ordnung, aber Sie haben dann eine neue Partei zu Ihren Daten zugelassen, ohne bewusst zu entscheiden.

### Reviews verschieben sich

Eine regelmäßige Beurteilung der Sicherheitsmaßnahmen klingt selbstverständlich, bis Sie merken, dass niemand sie einplant. Es ist genau die Art Aufgabe, die liegen bleibt, weil sie niemandem persönlich gehört. Ein Jahr später wissen Sie nicht mehr, ob die Vereinbarungen noch zu der heutigen Arbeitsweise des Anbieters passen.

### Die Übermittlungsgrundlage veraltet

Die rechtliche Grundlage für Übermittlungen außerhalb des Europäischen Wirtschaftsraums hat sich in den letzten Jahren mehrfach geändert. Ein Mechanismus, der einmal sauber geregelt war, kann inzwischen überholt sein, ohne dass auf Ihrer Seite etwas passiert ist. Das ist eines der stilleren Risiken, weil es vollständig außerhalb Ihres Sichtfelds entsteht.

Wenn Sie tiefer in solche schlummernden Pflichten einsteigen möchten, habe ich früher über die [verborgenen Risiken im Vertragsmanagement](https://contracko.com/nl/blog/risicos-in-contractbeheer) geschrieben, wo viele derselben Dynamiken eine Rolle spielen.

## Bauen Sie eine einzige Quelle der Wahrheit auf

Die Lösung ist weniger kompliziert als das Problem. Der Kern ist, dass jeder Auftragsverarbeitungsvertrag an einem Ort steht, durchsuchbar ist, mit dem richtigen Anbieter verknüpft ist und die wichtigsten Daten herausgezogen sind, statt in einem Dokument versteckt zu bleiben. Wenn eine Aufsichtsbehörde oder ein Kunde nach Ihrer DPA mit Partei X fragt und dabei sehen möchte, dass sie aktuell ist, dann ist die Antwort eine Suchanfrage entfernt statt eine halbe Nachmittagsarbeit.

Dafür wurde das [Management von Auftragsverarbeitungsverträgen](https://contracko.com/nl/oplossingen/verwerkersovereenkomst-beheer) in Contracko gebaut. Sie speichern jede DPA neben dem Vertrag, auf den sie sich bezieht, mit Reviewdaten, Bedingungen zu Unterauftragsverarbeitern und Übermittlungspflichten in strukturierten Feldern. Contracko läuft auf EU-Infrastruktur, mit Verschlüsselung und rollenbasiertem Zugriff, und die KI-Anbieter, die die Analyse ausführen, trainieren nicht mit Ihren Verträgen. Für eine Datenschutzakte halte ich das nicht für ein Detail, sondern für eine Voraussetzung.

Was mir an diesem Ansatz gefällt: Die Arbeit, die Sie ohnehin tun, nämlich die Informationen aus einem Vertrag lesen, geht nicht mehr verloren, sobald Sie die Datei schließen. Die KI-Vertragsanalyse zieht die relevanten Felder heraus und stellt sie in Ihr Repository, sodass der gesamte Anbieterbestand in eine Übersicht passt. Wie solche KI in der Praxis funktioniert, erkläre ich in meinem Beitrag über [Legal AI](https://contracko.com/nl/blog/legal-ai).

## Setzen Sie die Daten in einen Zeitplan

Eine Quelle der Wahrheit hilft erst wirklich, wenn sie Ihnen sagt, wann Sie handeln müssen. Alle Verfallsmomente, die ich oben genannt habe, sind im Kern Daten: Reviewfristen, Widerspruchsfenster für Unterauftragsverarbeiter, Auditzyklen und die erneute Validierung des Übermittlungsmechanismus. Jede davon sollte eine Erinnerung an die richtige verantwortliche Person auslösen, mit genug Vorlauf, um etwas damit zu tun.

Wenn Sie dies zuerst an einem einzelnen Vertrag sehen möchten, bevor Sie Ihr gesamtes Portfolio angehen, ist das [DPA-Erinnerungstool](https://contracko.com/nl/contract-herinneringen-tools/data-processing-agreement-reminder) ein guter Ausgangspunkt. Sie laden einen Auftragsverarbeitungsvertrag hoch, die KI extrahiert Reviewdaten, Unterauftragsverarbeiterfenster und Auditrechte, und Sie erhalten einen vorgeschlagenen Erinnerungsplan zurück. Über Ihren gesamten Anbieterbestand hinweg ist genau diese Disziplin, jedes Datum nachverfolgt und jede verantwortliche Person rechtzeitig erinnert, das, was ein Portfolio konform hält statt nur unterschrieben.

Die Einrichtung ist kein großes Projekt. Mit Vertragsrepository, automatischer Datenextraktion, Erinnerungen, Reporting und Kalenderintegration steht die Basis schnell, und Sie können es in der kostenlosen Testphase in Ruhe ausprobieren. Für das breitere Bild rund um [AVG-Compliance](https://contracko.com/nl/oplossingen/avg-compliance-software) passt DPA-Management in denselben Ansatz: Sichtbarkeit und rechtzeitiges Handeln statt ein Stapel unterschriebener Dateien.

## Wie sich das je nach Branche unterscheidet

Nicht jeder Anbieterbestand sieht gleich aus. Ein Gesundheitsanbieter verarbeitet besondere personenbezogene Daten und braucht deshalb schärfere Vereinbarungen und engere Reviews; dazu habe ich separat über [Vertragsmanagement für Gesundheitsanbieter](https://contracko.com/nl/blog/contractbeheer-voor-zorgaanbieders) geschrieben. Ein schnell wachsendes Softwareunternehmen hat dagegen viel mehr Anbieter und damit viel mehr Unterauftragsverarbeiter im Blick zu behalten. Die Methode bleibt dieselbe, aber Umfang und Sensibilität bestimmen, wie viel Struktur Sie wirklich brauchen.

Bei dieser Abwägung spielt auch die Kostenseite mit. Es lohnt sich, vorab zu prüfen, was ein Tool im Verhältnis zur manuellen Arbeit kostet, die es Ihnen abnimmt. Dazu habe ich früher eine Übersicht in [SaaS-Vertragsmanagement und Kosten](https://contracko.com/nl/blog/saas-contractbeheer-kosten) gegeben.

## Loslegen

Wenn Sie heute eine Sache tun möchten, beginnen Sie klein: Nehmen Sie die drei Anbieter, die die sensibelsten Daten verarbeiten, suchen Sie deren Auftragsverarbeitungsvertrag heraus und notieren Sie pro Vertrag das Reviewdatum, die Regelung zu Unterauftragsverarbeitern und den Übermittlungsmechanismus. Sie werden merken, dass Sie für mindestens einen davon keine aktuelle Antwort haben, und genau deshalb lohnt sich diese Arbeit.

Danach können Sie es über die [Lösungen von Contracko](https://contracko.com/nl/oplossingen) breiter aufziehen und den Rest Ihres Portfolios auf dieselbe Weise erfassen. Ich helfe Ihnen gerne dabei. Schreiben Sie mir ruhig, wenn Sie festhängen oder besprechen möchten, wie Sie das für Ihre Situation einrichten. Ich lese und beantworte diese E-Mails selbst.

## Legen Sie mit Contracko los

Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.

[7 Tage kostenlos testen](https://app.contracko.com/register?appLanguage=de)

Demo buchen
