Skip to content
Contracko Logo
Blog DPA-Prüfungen: Fristen, die Sie nicht verpassen dürfen

DPA-Prüfungen: Fristen, die Sie nicht verpassen dürfen
Image of Budi Voogt
Budi Voogt 23. Mai 2026

Eine Auftragsverarbeitungsvereinbarung (DPA) ist kein Dokument, das man einmal abheftet und vergisst, auch wenn die meisten von ihnen vermutlich genau so behandelt werden. Sie verhandeln die Bedingungen, Sie unterzeichnen, Sie legen die Vereinbarung ab, und alle gehen mit dem guten Gefühl, compliant zu sein, zur Tagesordnung über. Das Problem ist, dass eine DPA in der Regel zu regelmäßigen Prüfungen verpflichtet, Ihnen Auditrechte mit eigenen Fenstern einräumt und Ihre Compliance an Mechanismen der Datenübermittlung bindet, die sich unbemerkt unter Ihren Füßen verändern können. Die Vereinbarung bleibt nur gültig, wenn jemand ihren Kalender pflegt. Meiner Erfahrung nach wird diese Aufgabe selten zugewiesen, und der Kalender wird selten gepflegt.

Dies ist praktische Orientierungshilfe, keine Rechtsberatung.

Am Ende dieses Leitfadens werden Sie:

  • die wiederkehrenden Termine kennen, die eine typische DPA tatsächlich enthält.
  • verstehen, warum diese Fristen selbst bei gut geführten Teams durchrutschen.
  • in der Lage sein, einen Prüfungsrhythmus einmalig aufzubauen und ihn dann von selbst laufen zu lassen.
  • sehen, wie Sie die Klauseln einer DPA in einen funktionierenden Erinnerungsplan verwandeln.

Die Termine, die eine DPA tatsächlich enthält

Wenn Sie eine DPA gezielt nach Fristen durchlesen, statt nach Formulierungen zu Haftung und Freistellung, taucht eine überraschende Anzahl davon auf. Hier sind diejenigen, die mir am häufigsten begegnen:

  • Regelmäßige Sicherheitsprüfungen. Viele DPAs verlangen, dass Sie die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters in einem festgelegten Zyklus prüfen, oft jährlich. Das liest sich wie Standardtext, ist aber eine Verpflichtung, keine Empfehlung, und "wir sind nie dazu gekommen" ist keine angenehme Antwort in einem Audit.
  • Fenster für den Wechsel von Unterauftragsverarbeitern. Wenn ein Auftragsverarbeiter einen neuen Unterauftragsverarbeiter vorschlägt, haben Sie in der Regel ein festes Zeitfenster, um zu widersprechen. Verpassen Sie es, haben Sie die Änderung standardmäßig akzeptiert.
  • Fenster für Auditrechte. Ihr Recht, zu auditieren oder Nachweise anzufordern, ist oft an Ankündigungsfristen und Häufigkeitsgrenzen geknüpft. Es ist weitaus besser, diese zu kennen, bevor Sie das Recht ausüben müssen, und nicht mitten in einem Vorfall.
  • Revalidierung des Übermittlungsmechanismus. Wenn die Vereinbarung auf Standardvertragsklauseln beruht, können Verschiebungen im Rechtsrahmen es erforderlich machen, dass Sie neu bewerten, ob der Mechanismus Ihre Datenflüsse noch abdeckt. Der Rahmen bewegt sich, Ihr Vertrag nicht, und die Lücke zu bemerken ist Ihre Aufgabe.
  • Fristen für Kündigung und Löschung. Wenn die Beziehung endet, muss die Löschung oder Rückgabe der Daten in der Regel innerhalb eines festgelegten Zeitraums erfolgen, auf Anfrage mit Bestätigung. Diese wird gerade deshalb gerne vergessen, weil die Aufmerksamkeit aller bereits beim Nachfolge-Anbieter liegt.

Nebeneinander aufgeführt wird das Muster klarer:

FristtypTypischer AuslöserWas Sie schulden
SicherheitsprüfungJährlicher ZyklusDokumentierte Prüfung der Maßnahmen
Fenster für UnterauftragsverarbeiterAnbieterbenachrichtigungEine Entscheidung, bevor das Fenster schließt
AuditrechtIhre InitiativeEinhaltung von Ankündigungs- und Häufigkeitsgrenzen
Transfer-RevalidierungExterne RechtsänderungNeubewertung des Übermittlungsmechanismus
Löschung / RückgabeEnde der BeziehungLöschung oder Rückgabe innerhalb des festgelegten Zeitraums

Ruhiger Schreibtisch mit einem Kalender der DPA-Prüfungstermine

Warum das durchrutscht

Keiner dieser Termine kündigt sich von selbst an, und genau das ist der Kern des Problems. Eine Prüfung, die "jährlich fällig" ist, hat keinen Auslöser, der in irgendeinem Kalender steht. Ein Übermittlungsrahmen, der sich ändert, schickt Ihrer Rechtsabteilung keine E-Mail, um sie wissen zu lassen, dass Ihre SCCs einen zweiten Blick brauchen. Eine Benachrichtigung über einen Unterauftragsverarbeiter landet in einem Postfach unter hundert anderen und liest sich wie Werbung.

Sie werden das Muster wiedererkennen. Die Verpflichtungen sind tatsächlich real, und das sind auch die Konsequenzen: Daten, die unter Bedingungen fließen, die Sie nie validiert haben, ein Auditbefund, den Sie nicht wegerklären können, eine Frage der Aufsichtsbehörde, auf die Sie keine saubere Antwort haben. Was fehlt, ist meist nicht der Wille oder die Kompetenz. Es ist einfach eine Erinnerung, ausgelöst im richtigen Moment, an den richtigen Verantwortlichen. Die Arbeit ist gering, wenn sie geplant ist, und enorm, wenn sie zu spät entdeckt wird.

Ich will ehrlich sein: Dies ist ein bekanntes Fehlermuster weit über den Datenschutz hinaus. Dieselbe Dynamik treibt einen Großteil der Risiken im Vertragsmanagement allgemein an, bei denen die Kosten nicht in der Klausel selbst liegen, sondern in dem daran geknüpften Termin, den niemand im Blick hatte. Sie zeigt sich auch leise bei den Kosten des SaaS-Vertragsmanagements, wo verpasste Prüfungsfenster zu automatischen Verlängerungen und Verpflichtungen werden, die Sie neu verhandelt hätten, wenn Sie sie hätten kommen sehen.

Den Rhythmus einmal aufbauen

Die Lösung ist langweiliger als das Problem, was bei guter Compliance-Hygiene meist so ist. Extrahieren Sie die Termine aus jeder DPA, sobald Sie sie unterzeichnen, und setzen Sie sie mit klaren Verantwortlichen auf einen Plan: die jährliche Sicherheitsprüfung, das nächste Audit-Fenster, die Prüfung des Übermittlungsmechanismus und eine ständige Wache für Benachrichtigungen über Unterauftragsverarbeiter. Tun Sie dies einmal pro Vereinbarung, und der Rhythmus läuft von da an von selbst.

Der Trick besteht darin, diese Termine neben der Vereinbarung zu halten, aus der sie stammen, durchsuchbar, mit Verantwortlichem und überwacht, statt sie in eine Tabelle zu kopieren, die innerhalb eines Quartals aus dem Takt gerät. Ein ordentliches Vertragsarchiv hält das Dokument und seine Verpflichtungen zusammen, sodass Sie, wenn eine Erinnerung ausgelöst wird, nur einen Klick von der Klausel entfernt sind, die sie ausgelöst hat. Genau diese Kontinuität über Ihr gesamtes Anbieterportfolio hinweg ist das, wofür das Management von Auftragsverarbeitungsvereinbarungen gebaut ist, und es ist Teil unserer umfassenderen DSGVO-Compliance-Software für Teams, die das vollständige Bild ihrer Verpflichtungen an einem Ort haben möchten.

Was ich wirklich befriedigend finde, ist, dass der Rhythmus doppelten Nutzen bringt. Sobald Ihre DPA-Fristen in einem System leben, gibt Ihnen das Vertrags-Tracking eine einzige Übersicht darüber, was über jede Vereinbarung hinweg fällig ist, und das Reporting verwandelt "Haben wir unsere DPAs im Griff?" aus einer beunruhigten Vermutung in eine Zahl, die Sie einem Vorstand oder einem Kunden zeigen können. Wenn Sie die Person sind, die hierfür tatsächlich verantwortlich ist, zeigt der Anwendungsfall für Compliance-Verantwortliche, wie das Tagesgeschäft zusammenpasst.

Ein Wort zum Vertrauen, da es bei DPAs um den Schutz von Daten geht und es seltsam wäre, im Namen ihrer Verwaltung schlecht mit ihnen umzugehen. Contracko wird in der EU gehostet, Ihre Verträge sind verschlüsselt, der Zugriff ist rollenbasiert, und wir trainieren niemals KI mit Ihren Verträgen. Die Details können Sie auf unserer Sicherheitsseite nachlesen.

Zwei Möglichkeiten, um loszulegen

Sie müssen kein vollständiges Programm aufsetzen, um den Nutzen zu spüren. Es gibt zwei leichtgewichtige Einstiegspunkte, auf die ich Sie zuerst hinweisen würde.

Um die Klauseln einer einzelnen DPA in einen Erinnerungsplan zu verwandeln, liest das DPA-Erinnerungstool Prüfungstermine, Fenster für Unterauftragsverarbeiter, Auditrechte und Übermittlungsverpflichtungen aus und schlägt dann vor, wann bei jedem davon zu handeln ist. Es ist der schnellste Weg, um zu sehen, was eine einzelne Vereinbarung die ganze Zeit über tatsächlich von Ihnen verlangt hat. Unter der Haube ist dieselbe Planungskraft das, was unsere Funktion Ablauferinnerung zu jedem Vertrag bringt, den Sie halten, nicht nur zu DPAs.

Und wenn Sie eine bestimmte Frist berechnen müssen, eine Kündigungsfrist, ein Fenster für die Meldung einer Verletzung oder ein Löschdatum nach Vertragsende, erledigt der DPA-Rechner die Datumsrechnung für Sie, sodass Sie nicht an dem Morgen, an dem eine Uhr zu laufen beginnt, Werktage an den Fingern abzählen müssen.

Nächste Schritte

Wählen Sie eine DPA aus, idealerweise für einen Anbieter, dessen Erklärung gegenüber einer Aufsichtsbehörde Ihnen unangenehm wäre, und finden Sie jeden Termin, den sie enthält. Bringen Sie diese Termine an einen Ort mit einem Verantwortlichen und einer angehängten Erinnerung. Diese eine Übung ist meist der Moment, in dem die abstrakte Idee eines "Prüfungsrhythmus" zu etwas Konkretem wird, das Sie tatsächlich auf den Rest Ihrer Vereinbarungen ausrollen möchten.

Wenn Sie bereit sind, das systematisch anzugehen, ist das genau das, wofür wir Contracko gebaut haben, mit einer kostenlosen Testphase, sodass Sie es an Ihren echten Vereinbarungen statt an einer Demo testen können. Ich würde gerne wissen, welche dieser Fristen Ihnen schon einmal zum Verhängnis geworden ist, denn die Geschichten sind immer konkret und immer lehrreich. Melden Sie sich gerne, wenn Sie Fragen haben, ich beantworte jede Nachricht selbst.

Legen Sie mit Contracko los

Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.

7 Tage kostenlos testen
endefres