Ein DPA (Data Processing Agreement), auf Deutsch Auftragsverarbeitungsvertrag (AVV), ist das Vertragsdokument, das nach Artikel 28 der DSGVO erforderlich ist, sobald ein Verantwortlicher die Verarbeitung personenbezogener Daten einem Auftragsverarbeiter überträgt (etwa einem SaaS-Softwareanbieter, einem Hosting-Dienstleister oder einem sonstigen Dienstleister).
Das DPA regelt dieses Verhältnis rechtlich. Artikel 28 Abs. 3 verlangt, dass es Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der Daten und die Kategorien der betroffenen Personen sowie die Pflichten der Parteien festlegt. Der Auftragsverarbeiter verpflichtet sich insbesondere, die Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, die Vertraulichkeit zu wahren, Sicherheitsmaßnahmen umzusetzen (Artikel 32), weitere Unterauftragsverarbeiter nur mit Genehmigung einzusetzen, den Verantwortlichen bei der Wahrung der Betroffenenrechte zu unterstützen und die Daten nach Abschluss der Leistung zu löschen oder zurückzugeben.
In der Praxis stellt jeder seriöse Anbieter digitaler Dienste seinen Kunden ein DPA zur Verfügung: Es ist ein zentraler Baustein der Compliance und ein Prüfpunkt bei der Auswahl eines Werkzeugs. Es formalisiert die Verantwortungskette zwischen Auftraggeber und Dienstleister und geht mit der gegebenenfalls erforderlichen Benennung eines Datenschutzbeauftragten (DPO) einher.