# Datenverarbeitungsklausel

Source: https://contracko.com/de/klauselbibliothek/data-processing

# Datenverarbeitungsklausel

Regelt, wie ein Auftragsverarbeiter personenbezogene Daten für einen Verantwortlichen verarbeitet, wie es DSGVO Artikel 28 verlangt.

## Was es ist

Eine Datenverarbeitungsklausel oder -vereinbarung (DPA) legt die von DSGVO Artikel 28 geforderten Verantwortlicher-Auftragsverarbeiter-Bedingungen fest: Gegenstand, Dauer, Weisungen, Sicherheitsmaßnahmen, Unterauftragsverarbeitung, Verletzungsmeldung und Löschung. Sie ist immer dann obligatorisch, wenn eine Partei personenbezogene Daten im Auftrag einer anderen verarbeitet.

## Warum es wichtig ist

Ohne eine konforme DPA verstoßen beide Parteien gegen die DSGVO und riskieren Bußgelder und Haftung für Ansprüche betroffener Personen. Die Klausel verteilt Sicherheitspflichten und den Zeitpunkt der Verletzungsmeldung, was bei einem Datenschutzvorfall entscheidend ist.

## So wenden Sie sie an

- Dokumentieren Sie Art, Zweck, Dauer und Kategorien der Daten und Betroffenen.
- Verlangen Sie Verarbeitung nur auf dokumentierten Weisungen und mit angemessenen Sicherheitsmaßnahmen.
- Regeln Sie die Genehmigung von Unterauftragsverarbeitern, den Zeitpunkt der Verletzungsmeldung und Prüfungsrechte.
- Regeln Sie internationale Übermittlungen mit einer geeigneten Schutzmaßnahme (z.B. SCCs).

## Beispielformulierung

> Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierten Weisungen des Verantwortlichen, trifft angemessene technische und organisatorische Maßnahmen und meldet dem Verantwortlichen jede Datenpanne unverzüglich.

## Verhandlungstipps

- • Verantwortliche sollten eine prompte Verletzungsmeldung (z.B. innerhalb von 24 bis 48 Stunden) und Prüfungsrechte verlangen.
- • Auftragsverarbeiter sollten genehmigte Unterauftragsverarbeiter vorab auflisten und einen Änderungsmeldungsmechanismus verwenden.

## Häufige Fehler

- • Die DPA als optionalen Standardtext zu behandeln statt als verbindliche DSGVO-Anforderung.
- • Schutzmaßnahmen für internationale Übermittlungen zu ignorieren, wenn der Auftragsverarbeiter außerhalb des EWR sitzt.

### Wie Contracko hilft

Die KI-Prüfung von Contracko extrahiert Datenverarbeitungsklauseln aus Ihren Lieferanten- und SaaS-Verträgen und markiert solche, denen eine Unterauftragsverarbeiterliste, Auditrechte oder eine Meldefrist bei Verletzungen fehlen. Alle AVs werden in einem zentralen, durchsuchbaren Repository gespeichert, damit Ihr Datenschutzteam die Abdeckung schnell bestätigen und bestimmte Vereinbarungen bei einer Aufsichtsbehördenprüfung oder einem Datenschutzvorfall auffinden kann.

## Rechtsquellen

- [GDPR Art. 28 DSGVO: Pflichten des Auftragsverarbeiters EU-Recht](https://eur-lex.europa.eu/eli/reg/2016/679/oj)
- Niederländisches DSGVO-Ausführungsgesetz (Uitvoeringswet AVG)

Sofern nicht anders angegeben, beziehen sich die Quellen auf Niederländisches Recht (Burgerlijk Wetboek, das niederländische Bürgerliche Gesetzbuch); EU-Instrumente wie die DSGVO gelten in der gesamten EU. Dies sind allgemeine Informationen und keine Rechtsberatung. Andere Rechtsordnungen behandeln diese Konzepte anders. Überprüfen Sie den aktuellen Text und Ihre Situation mit einem qualifizierten Anwalt.

## Relevant für

[Software & SaaS](https://contracko.com/de/branchen/software-saas)[KI- und Datenunternehmen](https://contracko.com/de/branchen/ai-daten)[Gesundheitswesen](https://contracko.com/de/branchen/gesundheitswesen)[Finanzdienstleistungen](https://contracko.com/de/branchen/finanzdienstleistungen)[Managed Service Provider](https://contracko.com/de/branchen/managed-service-provider)

## Verwandte Klauseln

- [Vertraulichkeitsklausel](https://contracko.com/de/klauselbibliothek/confidentiality)
- [Haftungsbegrenzungsklausel](https://contracko.com/de/klauselbibliothek/limitation-of-liability)
- [Freistellungsklausel](https://contracko.com/de/klauselbibliothek/indemnification)

## Verwandte Begriffe

- [Auftragsverarbeitungsvertrag (AVV)](https://contracko.com/de/glossar/data-processing-agreement)
- [DSGVO (Datenschutz-Grundverordnung)](https://contracko.com/de/glossar/gdpr)
- [Vertrauliche Informationen](https://contracko.com/de/glossar/confidential-information)

### Verpassen Sie nie wieder eine Vertragsfrist

- KI findet Verlängerungs- und Kündigungstermine
- Risiken und Pflichten werden automatisch sichtbar
- Erinnerungen helfen Ihnen, rechtzeitig zu handeln

Ziehen Sie einen Vertrag hierher, um zu starten

PDF, DOCX, PNG oder JPG

[7-tägige Testversion starten](https://app.contracko.com/register?appLanguage=de&utm_source=clause_library_sidebar&utm_medium=lead_magnet&utm_campaign=clause_library_sidebar_contract_upload&content_slug=data-processing&content_title=Datenverarbeitungsklausel&cta_placement=clause_library_sidebar_cta&source_tool=clause_library_sidebar_data-processing)

DSGVO-konform. Verschlüsselt. Niemals für KI-Training verwendet.

## Häufig gestellte Fragen

Häufig gestellte Fragen zu dieser Klausel.

- **Q:** Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
  **A:** Immer wenn eine Partei personenbezogene Daten im Auftrag einer anderen verarbeitet; DSGVO Artikel 28 macht eine schriftliche Vereinbarung für dieses Verantwortlicher-Auftragsverarbeiter-Verhältnis obligatorisch.

- **Q:** Wie schnell muss eine Datenpanne zwischen den Parteien gemeldet werden?
  **A:** Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich benachrichtigen; viele AVs legen eine feste Frist fest (oft 24 bis 72 Stunden), damit der Verantwortliche seiner eigenen Meldepflicht nachkommen kann.

- **Q:** Muss ein AV aktualisiert werden, wenn ein neuer Unterauftragsverarbeiter hinzukommt?
  **A:** Ja. Der Auftragsverarbeiter muss den Verantwortlichen vorab informieren und eine angemessene Widerspruchsfrist einräumen; das bloße Aktualisieren einer Webseite ohne vorherige Mitteilung genügt der Verpflichtung möglicherweise nicht.

- **Q:** Darf ein Auftragsverarbeiter Daten außerhalb des EWR übermitteln?
  **A:** Nur mit einer geeigneten Garantie wie Standardvertragsklauseln (SCC), einem Angemessenheitsbeschluss oder verbindlichen internen Datenschutzvorschriften. Der AV sollte den verwendeten Übermittlungsmechanismus angeben.

- **Q:** Was passiert, wenn ein Auftragsverarbeiter außerhalb der Weisungen des Verantwortlichen handelt?
  **A:** Der Auftragsverarbeiter kann für diese Verarbeitung zum eigenständigen Verantwortlichen werden und dafür die volle DSGVO-Haftung tragen, einschließlich möglicher Bußgelder und Ansprüche betroffener Personen.

## Verpassen Sie nie wieder eine riskante Klausel

Contracko prüft jeden Vertrag automatisch auf diese Klausel und die daraus entstehenden Verpflichtungen.

[7 Tage kostenlos testen](https://app.contracko.com/register?appLanguage=de)

Demo buchen
