• neu

    • Release 2026.06 - Data Observability direkt in Ihren Code bringen

  • neu

    • Tragen Sie zur Zukunft der KI- und Dateninnovation bei

Auftragsverarbeitungsvertrag: Klauseln & Verhandlung

|

7

min. Lesezeit

Ein Anbieter besteht endlich die Sicherheitsprüfung. Die Beschaffung ist bereit. Die Entwicklung möchte die Integration noch diese Woche live schalten. Dann landet eine Auftragsverarbeitungsvereinbarung (DPA) in Ihrem Posteingang und alles steht still.

Sie ist lang, dicht und voller Klauseln, die austauschbar aussehen, bis man genauer hinsieht. Eine Version gewährt dem Anbieter weitreichende Rechte für Unterauftragsverarbeiter. Eine andere beschränkt die Unterstützung bei Vorfällen auf vage „wirtschaftlich vertretbare Bemühungen“. Eine dritte sieht professionell aus, lässt aber Klauseln vermissen, die wichtig sind, wenn Ihr Team jemals einen Sicherheitsvorfall untersuchen oder einer Aufsichtsbehörde Rede und Antwort stehen muss. Deshalb ist es ein Fehler, eine DPA als reinen Papierkram zu behandeln.

Es steht viel auf dem Spiel. Bis März 2025 haben die EU-Datenschutzbehörden im Rahmen der DSGVO Bußgelder in Höhe von insgesamt rund 5,6 Milliarden Euro verhängt, und Organisationen ohne gültige DPA drohen gemäß Artikel 83(4) Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, wie in dieser GDPR DPA-Übersicht zusammengefasst. Für Datenteams bedeutet diese rechtliche Regelung etwas Einfaches: Wenn ein anderes Unternehmen in Ihrem Auftrag personenbezogene Daten verarbeitet, muss der Vertrag, der diese Beziehung regelt, strukturell solide sein.

Das ist weit über das Rechtliche hinaus von Bedeutung. Eine starke DPA erzwingt Klarheit darüber, wer auf Daten zugreifen darf, wie Vorfälle eskaliert werden, was passiert, wenn der Vertrag endet, und ob Ihr Team all dies überprüfen kann. Sie ist auch wichtig, wenn Sie die Datenschutzbestimmungen von Anbietern prüfen, wie z. B. eine veröffentlichte Datenschutzerklärung von digna, da öffentliche Zusagen und vertragliche Verpflichtungen übereinstimmen müssen.

Inhaltsverzeichnis

Einführung: Die DPA in Ihrem Posteingang

Das übliche Muster ist bekannt. Ein Geschäftsbereichsleiter sagt, der Anbieter sei risikoarm, weil es sich „nur um Software“ handele. Die Sicherheitsabteilung fragt, ob der Anbieter Kundendaten speichert. Die Rechtsabteilung fordert die DPA an. Niemand ist sich einig, worin das tatsächliche Risiko besteht, sodass das Geschäft ins Stocken gerät.

Eine gute DPA-Prüfung beginnt damit, zwei schlechte Instinkte abzulehnen. Der erste ist, das Dokument des Anbieters im Original zu unterschreiben, weil das Projekt dringlich erscheint. Der zweite ist, jede Klausel zu überarbeiten, ohne zu verstehen, welche Punkte rechtlich zwingend vorgeschrieben sind, welche der Marktübung entsprechen und welche von der Architektur abhängen.

Warum dieses Dokument operativ wichtig ist

Eine DPA entscheidet darüber, wie Ihr Team zusammenarbeitet, wenn Dinge schiefgehen, und nicht nur, wenn alles funktioniert. Wenn ein Auftragsverarbeiter einen neuen Unterauftragsverarbeiter einsetzt, einen Vorfall erleidet oder Daten länger als erwartet aufbewahrt, ist die DPA das Dokument, das bestimmt, ob Sie Einflussmöglichkeiten oder nur Ausflüchte haben.

Deshalb behandeln erfahrene Teams die DPA als Teil der Anbieter-governance, nicht nur als Vertragsbereinigung. Data Engineering, Sicherheit, Datenschutz, Beschaffung und Plattformeigentümer müssen sie jeweils aus ihrer eigenen Perspektive lesen.

Praktische Regel: Wenn Ihr Team nicht in einfachen Worten erklären kann, was der Anbieter mit Ihren Daten tun darf, ist die DPA noch nicht unterschriftsreif.

Wonach smarte Teams zuerst suchen

Bevor jemand an den Formulierungen feilt, sollten Sie drei Grundlagen klären:

  • Klarheit der Rollen: Agiert der Anbieter als Auftragsverarbeiter oder agiert er unter einer anderen rechtlichen Rolle?

  • Realismus des Datenflusses: Beschreibt der Vertrag das, was das Produkt tatsächlich tut, einschließlich der Zugriffspfade, des Hosting-Modells und des Support-Modells?

  • Durchsetzbare Details: Sind die Verpflichtungen spezifisch genug, um sie später anhand von Nachweisen, Protokollen, Berichten oder Audit-Unterlagen zu überprüfen?

Dieser letzte Punkt wird oft übersehen. Verträge scheitern in der Praxis, wenn sie auf weitreichenden Versprechungen ohne Überprüfungsmöglichkeit beruhen.

Was ist eine Auftragsverarbeitungsvereinbarung (DPA)?

Eine Auftragsverarbeitungsvereinbarung (DPA) ist der bindende Vertrag, der die Regeln festlegt, wenn eine Organisation personenbezogene Daten im Auftrag einer anderen verarbeitet. Der Verantwortliche entscheidet, warum und wie personenbezogene Daten verarbeitet werden sollen. Der Auftragsverarbeiter führt diese Arbeit gemäß den Weisungen des Verantwortlichen aus.

A diagram illustrating a data processing agreement between a data controller and a data processor.

Betrachten Sie es als das Betriebshandbuch für die delegierte Datenverarbeitung

Der einfachste Weg, eine DPA zu erklären, ist dieser: Sie übertragen einem anderen Unternehmen eine begrenzte Befugnis zur Verarbeitung von Daten, für die Sie weiterhin die Verantwortung tragen. Die DPA definiert die Grenzen dieser Befugnis.

Wenn der Anbieter ein CRM, eine Gehaltsabrechnungsplattform, ein Support-Tool, einen Analysedienst oder eine Cloud-Datenumgebung bereitstellt, die in Ihrem Auftrag mit personenbezogenen Daten in Berührung kommt, regelt die DPA, was er tun darf, was er schützen muss, wen er sonst noch hinzuziehen darf und wie er helfen muss, wenn eine betroffene Person oder eine Aufsichtsbehörde anklopft.

Die Aufteilung in Verantwortlicher und Auftragsverarbeiter

Diese Unterscheidung klingt juristisch, hat aber praktische Konsequenzen.

Rolle

Was sie entscheiden

Hauptsächliche praktische Verantwortung

Verantwortlicher

Zweck und Mittel der Verarbeitung

Wählt den Anbieter aus, legt Weisungen fest, prüft die Compliance

Auftragsverarbeiter

Wie die Dienstleistung im Rahmen dieser Weisungen operativ erbracht wird

Schützt Daten, befolgt den Vertrag, unterstützt den Verantwortlichen

Ein Verantwortlicher kann die Rechenschaftspflicht nicht einfach auslagern, nur weil ein Anbieter einen guten Ruf hat. Ein Auftragsverarbeiter kann keine vagen Weisungen akzeptieren und davon ausgehen, dass dies das Problem eines anderen ist. Beide Parteien benötigen eine DPA, die den tatsächlichen Dienst widerspiegelt.

Was im echten Leben als Verarbeitung gilt

Die Verarbeitung beschränkt sich nicht auf die offensichtliche Speicherung oder Analyse. Sie kann den Zugriff im Rahmen des Supports, die Erstellung von Backups, die Alarmierung, die Transformation, die Anreicherung, das Monitoring und Deletion-Workflows umfassen. Die praktische Frage ist, ob der Anbieter bei einem dieser Schritte personenbezogene Daten in Ihrem Auftrag verarbeitet.

Deshalb sollten Entwickler mit am Tisch sitzen. Rechtsteams prüfen oft die reine Textform. Entwickler wissen, ob das Produkt Zeilen kopiert, innerhalb Ihrer eigenen Umgebung läuft oder nur Metadaten sieht. Diese Unterschiede sind entscheidend.

Eine DPA ist der Unterschied zwischen „wir dachten, der Anbieter kümmert sich darum“ und „der Vertrag regelt exakt, wer was tun muss“.

Wenn Teams diese technische Grundlage überspringen, unterschreiben sie Verträge, die ein völlig anderes System beschreiben als das, das tatsächlich im Einsatz ist.

Die acht obligatorischen DPA-Klauseln unter der DSGVO

Gemäß Artikel 28(3) DSGVO ist eine DPA gesetzlich vorgeschrieben und muss explizit acht spezifische Bestimmungen enthalten, darunter dokumentierte Weisungen, Vertraulichkeit, Sicherheitsmaßnahmen, Regeln für Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Unterstützung bei Datenschutzverletzungen, Löschung oder Rückgabe von Daten sowie Audit-Rechte, wie in dieser Zusammenfassung der DPA-Anforderungen nach Artikel 28 beschrieben.

A diagram outlining the eight mandatory Data Processing Agreement clauses required under GDPR Article 28(3) for processors.

Das gesetzliche Minimum, das sich nicht wegdiskutieren lässt

Wenn eines dieser Elemente fehlt, ist die DPA nicht nur schwach. Sie kann unzulässig sein. Das ist das grundlegende Problem, noch bevor man über Verhandlungspräferenzen spricht.

Hier ist, was jede Klausel in der Praxis tatsächlich bedeutet.

  1. Nur dokumentierte Weisungen
    Der Auftragsverarbeiter darf nicht eigenmächtig entscheiden, Ihre Daten für andere Zwecke zu verwenden. Wenn er Kundendaten für das Modelltraining, interne Analysen oder Produktverbesserungen nutzen möchte, muss dies ausdrücklich genehmigt oder ausgeschlossen werden.

  2. Vertraulichkeitsverpflichtungen
    Jeder, der Zugriff auf die Daten hat, muss zur Vertraulichkeit verpflichtet sein. In der Praxis sollten Sie darauf achten, dass dies Mitarbeiter, Subunternehmer und Supportmitarbeiter abdeckt, nicht nur ein allgemeines Unternehmensversprechen.

  3. Sicherheitsmaßnahmen nach Artikel 32
    Die DPA sollte die Sicherheitszusagen an konkrete Kontrollen knüpfen. Dazu gehören Zugriffskontrolle, Verschlüsselung, Monitoring und die Behandlung von Vorfällen. Wenn Ihr Team regionenübergreifend arbeitet, hilft es auch, dies mit Ihren Anforderungen an die Datenresidenz abzustimmen.

  4. Genehmigung von Unterauftragsverarbeitern
    Anbieter agieren selten allein. Cloud-Hosting, Support-Plattformen und Infrastrukturanbieter können alle nachgelagert sein. Die DPA benötigt eine Regelung für die vorherige schriftliche Genehmigung, Benachrichtigung und die Weitergabe der Verpflichtungen.

Die Klauseln, die den laufenden Betrieb prägen

Die verbleibenden Klauseln werden kritisch, sobald das Produkt live ist.

  • Unterstützung bei Betroffenenrechten: Wenn jemand Auskunft, Berichtigung, Löschung oder Einschränkung verlangt, muss der Auftragsverarbeiter dem Verantwortlichen bei der Beantwortung helfen.

  • Unterstützung bei Datenschutzverletzungen und DSFA: Der Auftragsverarbeiter muss bei der Reaktion auf Vorfälle und gegebenenfalls bei der Durchführung einer Datenschutz-Folgenabschätzung helfen.

  • Löschung oder Rückgabe bei Vertragsende: Ein Vertrag ohne klare Regelungen für das Vertragsende führt später oft zu Problemen bei der Datenaufbewahrung.

  • Audit- und Informationsrechte: Sie benötigen eine Möglichkeit, die Einhaltung der Vorschriften zu überprüfen, sei es durch Dokumente, Berichte oder eine tiefergehende Prüfung.

Wenn ein Auftragsverarbeiter sagt „Vertrauen Sie unserem Sicherheitsteam“, sich aber weigert, Nachweise vorzulegen, basiert die DPA mehr auf blindem Vertrauen als auf Beweisen.

Wie eine gute Formulierung aussieht

Die stärksten DPAs wiederholen nicht einfach nur das Gesetz. Sie machen es operativ anwendbar. Sie legen fest, wer Benachrichtigungen über Vorfälle erhält, wie Änderungen bei Unterauftragsverarbeitern kommuniziert werden und was bei Vertragsende mit den Backups passiert.

Sie passen auch zum Kontext. Ein Anbieter von Gesundheitsanalysen, ein Web3-Infrastrukturanbieter und eine HR-Plattform benötigen nicht alle dieselben Anhänge oder denselben Prüfungsprozess. Daher greifen Teams, die in angrenzenden, stark regulierten Bereichen tätig sind, oft auf Best Practices aus branchenspezifischen Materialien zurück – wie etwa diesem Leitfaden zur Einhaltung von Vorschriften für Web3-Unternehmen –, und passen die Vertragssprache an ihre tatsächliche Verarbeitungssituation an, anstatt sich auf eine generische SaaS-Vorlage zu verlassen.

Eine praktische Checkliste für die Erstellung und Prüfung von DPAs

Die meisten Probleme mit DPAs entstehen nicht durch fehlende Modewörter. Sie resultieren aus einem unklaren Anwendungsbereich, vagen Sicherheitsformulierungen und Bedingungen, die nach der Vertragsunterzeichnung niemand mehr umsetzen kann.

A checklist infographic outlining eight essential steps for drafting and reviewing data processing agreements efficiently.

Beginnen Sie mit der Realität der Verarbeitung, nicht mit der Vorlage

Bevor Sie Klauseln prüfen, skizzieren Sie die Funktionsweise des Dienstes:

  • Welche Daten sind betroffen: Klären Sie, ob der Anbieter Kundendatensätze, Mitarbeiterdaten, Protokolldaten, Support-Tickets oder nur technische Metadaten verarbeitet.

  • Wohin die Daten fließen: Prüfen Sie, ob Daten kopiert, im Zwischenspeicher abgelegt, exportiert, per Fernzugriff abgerufen oder vollständig in Ihrer Umgebung aufbewahrt werden.

  • Wer damit in Berührung kommt: Berücksichtigen Sie interne Teams, Unterauftragsverarbeiter, Support-Zugriffspfade und Admin-Tools.

Dieses Vorgehen verhindert ein häufiges Szenario: Teams verhandeln Änderungen an einem Dokument, das das Produkt überhaupt nicht zutreffend beschreibt.

Die Prüfungs-Checkliste, die ich in der Praxis nutzen würde

Nutzen Sie dies als operative Überprüfung, nicht nur als rein rechtliche Durchsicht.

  • Die Beschreibung der Verarbeitung ist spezifisch: Die DPA sollte die Art und den Zweck der Verarbeitung so detailliert beschreiben, dass ein Sicherheitsprüfer dies validieren kann.

  • Der Umfang der personenbezogenen Daten ist eingegrenzt: Datenkategorien und Kategorien betroffener Personen sollten nicht so weit gefasst sein, dass sie mehr erlauben, als der Dienst erfordert.

  • Die Sicherheitsformulierungen sind überprüfbar: Suchen Sie nach Verweisen auf konkrete Kontrollen, dokumentierte Verfahren und verfügbare Nachweise.

  • Der Prozess für Unterauftragsverarbeiter ist praktikabel: Benachrichtigungsfristen, Einspruchspfade und nachgelagerte Verpflichtungen müssen klar administrierbar sein.

  • Die Unterstützung bei Betroffenenanfragen ist zugewiesen: Jemand muss für die Entgegennahme, Eskalation und Unterstützung bei der Beantwortung verantwortlich sein.

  • Die Reaktion auf Datenschutzverletzungen ist operativ glaubwürdig: Auslöser für Benachrichtigungen, Kommunikationskanäle und Mindestinhalte müssen unter Druck funktionieren.

  • Die Bedingungen für das Vertragsende sind explizit: Datenrückgabe, Löschung, verbleibende Kopien und die Behandlung von Backups dürfen nicht informellen Absprachen überlassen werden.

  • Audit-Rechte sind ausgewogen: Sie benötigen Kontrollrechte, aber diese sollten zum Dienstleistungsmodell und zum Risikoniveau passen.

Wo Teams über das absolute Minimum hinausgehen sollten

Das Gesetz setzt das Mindestmaß. Risikomanagement erfordert oft mehr.

Eine ausgereifte Prüfung hinterfragt, ob die Haftungsregelungen zur Sensibilität der Daten passen, ob die Sicherheitsanhänge aktuell sind und ob die fachbereichsübergreifenden Verantwortlichen ihre Pflichten kennen. In HR-intensiven Umgebungen beispielsweise tauchen viele dieser Fragen in umfassenderen operativen Ressourcen auf, wie etwa in diesem ultimativen Leitfaden zum Datenschutz für HR-Verantwortliche, auch wenn die Vertragssprache für die spezifische Anbieterbeziehung angepasst werden muss.

Praxistest: Wenn Ihr Sicherheitsverantwortlicher, Ihr Datenschutzbeauftragter und Ihr Plattformeigentümer eine Klausel auf drei verschiedene Arten interpretieren würden, schreiben Sie sie vor der Unterschrift um.

Verhandlung Ihrer DPA: Der Showdown um Audit und Sicherheit

Die meisten DPA-Verhandlungen scheitern nicht an der Existenz von Audit-Rechten. Sie scheitern daran, was ein Audit in der Praxis bedeutet.

A comparative chart outlining the Controller's pros and Processor's cons regarding data processing agreement audit clauses.

Verantwortliche wollen eine direkte Überprüfung. Auftragsverarbeiter wollen ein skalierbares Prüfmodell, das verhindert, dass jeder Kunde eine individuelle Überprüfung im laufenden Betrieb durchführt. Beide Positionen sind verständlich. Problematisch wird es, wenn jede Seite ihre Präferenz als einzig gesetzeskonforme Lösung darstellt.

Warum die Audit-Klausel so viel Reibung verursacht

Rund 80 % der DPA-Verhandlungen geraten bei der Audit-Klausel ins Stocken. Ein praktikabler Kompromiss besteht darin, dass Auftragsverarbeiter vorab Zertifizierungen wie SOC 2 oder ISO vorlegen, während Vor-Ort-Audits nur bei dokumentierter Unzureichendheit vorbehalten bleiben, so eine Analyse gängiger DPA-Schmerzpunkte.

Dieser Kompromiss funktioniert, weil er Routineprüfungen von außergewöhnlichen Eskalationen trennt. Ein Verantwortlicher erhält schnell aussagekräftige Belege. Ein Auftragsverarbeiter vermeidet ständige Störungen im Betriebsablauf.

Ein tragfähiges Verhandlungsmodell

Ich habe festgestellt, dass diese Struktur hilft, Blockaden zu lösen, ohne die Rechte des Verantwortlichen zu beschneiden:

Thema

Sorge des Verantwortlichen

Sorge des Auftragsverarbeiters

Praktischer Kompromiss

Routineüberprüfung

Benötigt Nachweise der Einhaltung

Zu viele individuelle Audits

Zuerst Zertifizierungen, Zusammenfassungen und Sicherheitsdokumentationen teilen

Tiefere Prüfung

Benötigt Handhabe, falls Belege unzureichend sind

Vor-Ort-Prüfungen stören den Betrieb

Zielgerichtete Audits bei dokumentierten Mängeln oder Vorfällen zulassen

Umfang und Timing

Benötigt zeitnahen Zugriff

Unbefristete Anfragen binden zu viele Ressourcen

Ankündigungsfristen, Häufigkeit, Umfang und Vertraulichkeit definieren

Dieser Ansatz passt auch besser zur Funktionsweise moderner Sicherheitsprogramme. Viele Risiken lassen sich anhand von Nachweisen zu Kontrollmaßnahmen, Zugriffsberechtigungen, Testergebnissen und Protokollen validieren, anstatt wiederholt physische Besuche durchzuführen. Teams, die solide Methoden zur Überwachung und Überprüfung von Datenbanken etablieren, haben meist eine viel bessere Grundlage für diese Diskussionen, weil sie Nachvollziehbarkeit anstelle von reinen Zusicherungen bieten können.

Sicherheitsanhänge sind genauso wichtig wie Audit-Rechte

Die Audit-Klausel steht oft im Rampenlicht, doch der Sicherheitsanhang verdient meist die gründlichere Prüfung. Ein seriöser Anhang sollte Verschlüsselung im Ruhezustand und bei der Übertragung, regelmäßige Sicherheitstests wie Penetrationstests und Schwachstellenscans, dokumentierte Verfahren zur Reaktion auf Vorfälle, Verpflichtungen zur Weitergabe an Unterauftragsverarbeiter, Autorisierungsketten für Übermittlungen (einschließlich Standardvertragsklauseln) und Audit-Trails für Datenzugriffe und Verarbeitungstätigkeiten abdecken, wie in dieser praktischen Übersicht über DPA-Sicherheitsspezifikationen beschrieben.

Hier kann eine externe technische Prüfung hilfreich sein. Wenn ein Anbieter in einem regulierten Umfeld behauptet, über starke Schutzmaßnahmen zu verfügen, können unabhängige Dienstleistungen wie erschwingliche Pentesting HIPAA-Services Teams dabei unterstützen, auf Herz und Nieren zu prüfen, ob die in den Verträgen beschriebenen Kontrollen der tatsächlichen Sicherheitspraxis entsprechen.

Verhandeln Sie nicht hartnäckig über eine weitreichende Audit-Klausel, um dann einen lückenhaften Sicherheitsanhang zu akzeptieren. Im Anhang liegt das eigentliche Risiko.

DPAs für In-Database-Plattformen wie digna

Viele Teams gehen immer noch davon aus, dass jedes Datentool dieselbe DPA-Struktur benötigt. Diese Annahme greift zu kurz, wenn man sich die Architektur ansieht.

A diagram illustrating why Data Processing Agreements are generally not needed for in-database platforms like Digna.

Die entscheidende Frage, die die meisten Vorlagen ignorieren

Wenn eine Plattform innerhalb Ihrer Umgebung läuft, keine Datenzeilen exportiert und der Anbieter nicht auf Produktionsdatenbestände zugreift: Haben Sie es dann mit demselben Auftragsverarbeiter-Modell zu tun wie bei einer klassischen SaaS-Plattform, die Kundendaten kopiert und in der eigenen Cloud hostet?

Häufig nicht. Und diese Unterscheidung ist wichtig. Eine häufige Lücke bei der DPA-Abdeckung ist die Behandlung von Tools, die keine personenbezogenen Daten verarbeiten. 60 % der Unternehmen nehmen fälschlicherweise an, dass eine DPA für alle Datentools erforderlich ist, während Plattformen, bei denen der Anbieter nicht auf Produktionsdaten zugreift, oft von generischen Vorlagen falsch behandelt werden, wie in dieser Diskussion über Fragen zur DPA-Anwendbarkeit angemerkt wird.

Es geht nicht darum, ob eine DPA generell schlecht oder unnötig ist. Es geht darum, dass sich die rechtliche und operative Analyse ändert, wenn sich die Architektur des Anbieters ändert.

Warum die In-Database-Ausführung das Risikomodell verändert

Klassische SaaS-DPAs basieren auf einem Transfermodell. Daten verlassen Ihre Umgebung. Der Anbieter speichert oder verarbeitet sie in einer von ihm kontrollierten Infrastruktur. Dadurch entstehen offensichtliche DPA-Verpflichtungen in Bezug auf Zugriff, Speicherung, Unterauftragsverarbeiter, Übermittlungsmechanismen und Löschung.

In-Database-Systeme funktionieren anders. Die Logik wird dort ausgeführt, wo die Daten bereits liegen. Dies kann die Rolle des Anbieters erheblich eingrenzen, sofern dieser nicht auf die zugrunde liegenden Datensätze zugreift oder diese extrahiert.

Das ist besonders für Anwendungsfälle im Bereich Observability und Datenqualität relevant. Datenanomalieerkennung ist der Prozess zur Identifizierung von Datenpunkten, die erheblich von den erwarteten Mustern oder Trends in einem Datensatz abweichen, wie in dieser Definition der Anomalieerkennung beschrieben. Moderne Plattformen nutzen oft KI-gestützte Anomalieerkennung, die maschinelles Lernen einsetzt, um ungewöhnliche Muster zu erkennen, ohne sich nur auf statische Regeln zu verlassen, wie in dieser Übersicht über KI-Anomalieerkennung erklärt wird. Eine gängige Methode ist das unüberwachte Lernen, das Abweichungen von erkannten Mustern identifiziert, ohne dass gelabelte Daten erforderlich sind, so diese Zusammenfassung von Techniken zur Anomalieerkennung. In der Praxis ermöglicht dies einem Überwachungssystem, normales Verhalten zu lernen und ungewöhnliche Änderungen in großen Datenmengen schnell aufzuzeigen – der Kernnutzen, der in diesem Erklärungsbeitrag zur KI-Anomalieerkennung beschrieben wird.

Aus Vertragssicht ist die entscheidende Frage jedoch enger gefasst als die technische Methode: Verarbeitet der Anbieter in Ihrem Auftrag personenbezogene Daten, oder wird die Software innerhalb Ihrer Umgebung ausgeführt, ohne dass der Anbieter Zugriff auf diese Daten hat?

Was zu prüfen ist, anstatt standardmäßig eine generische SaaS-DPA zu nutzen

Bei In-Database-Tools sollte sich die Vertragsprüfung auf architekturrelevante Fragen konzentrieren:

  • Zugriffsmodell des Anbieters: Kann der Anbieter bei Support, Fehlerbehebung oder Telemetrieerfassung Produktionsdatenzeilen sehen?

  • Umgang mit Metadaten: Exportiert die Plattform Schemadetails, Metriken, Alarme oder Protokolle, die im Kontext dennoch als personenbezogene Daten eingestuft werden könnten?

  • Fernverwaltung: Gibt es Notfall-Zugriffsmechanismen und wer gibt diese frei?

  • Ausführungsgrenze: Bleiben alle Berechnungen innerhalb der vom Kunden kontrollierten Umgebung?

  • Ausgabeprofil: Sind die Ergebnisse aggregiert, statistisch oder anderweitig von direkten Datensatzebenen entkoppelt?

Für Metadaten, Supportkanäle oder begrenzten Admin-Zugriff benötigt ein Tool womöglich dennoch vertragliche Datenschutzbestimmungen. Das ist jedoch etwas anderes, als blind dieselbe DPA überzustülpen, die man für ein gehostetes Kundendaten-SaaS nutzen würde.

Die intelligentere Compliance-Haltung

Die praktische Antwort für diese Plattformen lautet meist nicht „Niemals eine DPA vereinbaren“, sondern „Nutzen Sie das richtige Dokument für die tatsächliche Verarbeitung“. Manchmal ist das eine schlankere DPA. Manchmal sind es starke Sicherheits- und Zugriffsbedingungen im Hauptvertrag, ergänzt um einen begrenzten Datenschutzanhang.

Deshalb sollten Teams, die moderne Observability-Architekturen evaluieren, das Produktmodell selbst prüfen, nicht nur die Beschaffungs-Checkliste. Ein In-Database-Ansatz für Plattformen zur Datenqualität verändert die Art und Weise, wie Daten fließen, wo Risiken liegen und was ein angemessener Vertrag abdecken sollte.

Wenn der Anbieter nie auf Produktionsdatenbestände zugreift, sollte Ihr Vertrag diese Realität widerspiegeln, anstatt so zu tun, als funktioniere der Dienst wie ein standardmäßig gehosteter Auftragsverarbeiter.

Fazit: Die DPA als strategischer Vorteil

Die besten Teams betrachten eine Auftragsverarbeitungsvereinbarung nicht als rechtliches Hindernis, sondern nutzen sie als Kontrollinstrument.

Eine starke DPA sorgt für Transparenz in der Anbieterbeziehung. Sie klärt Weisungen, regelt Zugriffe, definiert Erwartungen bei Vorfällen, kontrolliert Unterauftragsverarbeiter und gibt Ihrem Team die Möglichkeit zu überprüfen, ob der Vertrag zu dem System passt, das Sie erwerben. Deshalb ist die Qualität der Vereinbarung wichtiger als ihr bloßes Vorhandensein.

Es zahlt sich auch aus, nicht alle Anbieter über einen Kamm zu scheren. Eine klassische SaaS-Plattform, die Kundendaten hostet, erfordert eine andere Prüfung als ein In-Database-Tool, bei dem der Anbieter keinen Zugriff auf Produktionsdaten hat. Wenn Ihr Team diese architektonische Unterscheidung übersieht, schaffen Sie entweder unnötigen rechtlichen Aufwand oder lassen ein reales Risiko unzureichend dokumentiert.

Der praktische Ansatz ist einfach: Kennen Sie die Pflichtklauseln. Drängen Sie auf operativ verständliche Formulierungen. Verhandeln Sie Audit-Rechte mit Blick auf echte Nachweise, nicht auf reine Formalitäten. Und gleichen Sie den Vertragstext immer mit dem technischen Design ab.

So wird eine DPA wirklich nützlich – nicht als unterzeichnetes PDF im Vertragsarchiv, sondern als lebendiger Teil Ihres Data Governance-Modells.


Digna website landing page showcasing their next-generation platform for data quality and observability with navigation and action buttons.

Wenn Ihr Team moderne Tools für Datenqualität und Observability evaluiert, ist digna einen genaueren Blick wert. Es ist für die In-Database-Ausführung, Anomalieerkennung, Validierung, Aktualitätsüberwachung und Schema-Verfolgung in vom Kunden kontrollierten Umgebungen konzipiert. Das macht es besonders interessant für Organisationen, die eine stärkere Datenkontrolle anstreben, ohne den Zugriff von Drittanbietern auf Produktionsdaten auszuweiten.

Teilen auf X
Teilen auf X
Auf Facebook teilen
Auf Facebook teilen
Auf LinkedIn teilen
Auf LinkedIn teilen

Lerne das Team hinter der Plattform kennen

Ein in Wien ansässiges Team von KI-, Daten- und Softwareexperten, unterstützt

von akademischer Strenge und Unternehmensexpertise.

Lerne das Team hinter der Plattform kennen

Ein in Wien ansässiges Team von KI-, Daten- und Softwareexperten, unterstützt
von akademischer Strenge und Unternehmensexpertise.

Produkt

Integrationen

Ressourcen

Unternehmen