Data Processing Agreement (DPA)
Ein rechtlich bindender Vertrag zwischen Datenverantwortlichem und Auftragsverarbeiter, der die Bedingungen für die Verarbeitung personenbezogener Daten gemäß DSGVO regelt.
Jedes KI-Tool eines Drittanbieters, das Kundendaten verarbeitet (Chatbots, Personalisierung, Analytics), erfordert einen DPA.
Erklärung
Ein DPA muss enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien der betroffenen Daten und Personen, Pflichten des Auftragsverarbeiters (Vertraulichkeit, technische Maßnahmen, Subunternehmer-Regelungen, Unterstützung bei Betroffenenrechten, Löschung nach Vertragsende).
Relevanz für Marketing
Jedes KI-Tool eines Drittanbieters, das Kundendaten verarbeitet (Chatbots, Personalisierung, Analytics), erfordert einen DPA. Marketing-Teams müssen vor Tool-Einführung prüfen, ob der Anbieter DSGVO-konforme DPAs bereitstellt.
Beispiel
Ein Marketing-Team möchte einen KI-Textgenerator nutzen. Vor Vertragsabschluss prüfen sie: Wo werden Daten gespeichert (EU/US)? Welche Standard-Vertragsklauseln gelten? Wie werden Trainingsdaten behandelt? Gibt es einen fertigen AVV?
Häufige Fallstricke
Fehlende DPAs bei "kostenlosen" KI-Tools. Unklare Regelungen zu KI-Training mit Nutzerdaten. Veraltete DPAs, die KI-spezifische Risiken nicht abdecken. Subunternehmer-Ketten ohne Transparenz.
Entstehung & Geschichte
Data Processing Agreement (DPA) ist ein etablierter Begriff im Bereich Daten & Analytics. Das Konzept hat sich mit der zunehmenden Bedeutung von KI und datengetriebenen Methoden weiterentwickelt.