Data Processor: ein Begriff, der in fast jedem Cookie-Banner und jeder Datenschutzerklärung auftaucht. Aber was bedeutet er eigentlich konkret? Und warum sollte es dich als Website-Betreiber interessieren, wer deine Daten verarbeitet?
Hier erfährst du, was hinter dem Begriff steckt, wie sich ein Data Processor vom Data Controller unterscheidet und was die DSGVO von Auftragsverarbeitern verlangt.
Was ist ein Data Processor?
Kurz gesagt: Ein Data Processor (auf Deutsch: Auftragsverarbeiter) ist jemand, der personenbezogene Daten im Auftrag eines anderen verarbeitet. Das kann ein Unternehmen sein, eine Software oder ein Cloud-Dienst.
Die offizielle Definition findest du in Artikel 4 Nr. 8 der DSGVO. Entscheidend ist: Der Data Processor entscheidet nicht selbst, was mit den Daten passiert. Er führt nur aus, was der Auftraggeber (der sogenannte Data Controller) vorgibt.
Ein typisches Beispiel aus der Webanalyse: Du betreibst einen Online-Shop und nutzt ein Analytics-Tool. Du bist der Controller, das Tool ist der Processor. Du bestimmst, welche Daten erhoben werden. Das Tool sammelt und verarbeitet sie in deinem Auftrag.
Data Processor vs. Data Controller: wo liegt der Unterschied?
Die beiden Begriffe werden gerne durcheinandergeworfen. Dabei ist die Abgrenzung eigentlich ziemlich klar:
| Data Controller | Data Processor | |
|---|---|---|
| Rolle | Bestimmt das Warum und Wie der Datenverarbeitung | Führt die Verarbeitung nach Anweisung aus |
| Verantwortung | Hauptverantwortlich gegenüber den Betroffenen | Haftet bei eigenen Pflichtverletzungen |
| Vertragsbasis | Braucht eine Rechtsgrundlage (Art. 6 DSGVO) | Braucht einen Auftragsverarbeitungsvertrag |
| Alltags-Beispiel | Der Shop-Betreiber | Der Hosting-Anbieter des Shops |
In der Praxis ist es manchmal gar nicht so einfach, die Rollen sauber zu trennen. Gerade bei großen Plattformen wie Google oder Meta verschwimmen die Grenzen, je nachdem, welchen Dienst du nutzt und wie die Daten verarbeitet werden.
Was macht ein Data Processor in der Webanalyse konkret?
Wenn wir über Data Processors in der Webanalyse reden, geht es um ganz handfeste Aufgaben:
Daten sammeln
Ob JavaScript-Tracker, Server-Logs oder Pixel: Der Processor erfasst die Rohdaten von deiner Website. Das können Seitenaufrufe sein, Klicks, Scroll-Tiefen oder Conversion-Events. Je nach Setup passiert das clientseitig im Browser oder serverseitig.
Daten aufräumen
Rohdaten sind chaotisch. Da ist Bot-Traffic drin, Spam-Referrer, doppelte Sessions und jede Menge Rauschen. Ein guter Processor filtert das raus und sorgt dafür, dass du mit sauberen Daten arbeitest.
Daten transformieren
Die gesammelten Daten müssen in ein Format gebracht werden, mit dem du tatsächlich etwas anfangen kannst. Dazu gehört auch die Anreicherung mit Zusatzinfos, zum Beispiel Geolocation aus der IP-Adresse oder Gerätekategorien aus dem User-Agent-String.
Daten speichern und bereitstellen
Am Ende landen die verarbeiteten Daten in einer Datenbank oder einem Data Warehouse und werden über Dashboards oder APIs zugänglich gemacht. Hier spielt auch die Frage eine Rolle, wie lange Daten gespeichert werden dürfen. Stichwort: Speicherbegrenzung nach DSGVO.
Anonymisieren und pseudonymisieren
Gerade in der Webanalyse ein großes Thema: IP-Adressen kürzen, User-IDs hashen, Daten aggregieren. Das Ziel ist, brauchbare Analysen zu fahren, ohne dabei gegen den Datenschutz zu verstoßen. Tools wie Matomo oder Plausible setzen hier von Haus aus auf datenschutzfreundliche Ansätze.
Was die DSGVO von Data Processors verlangt
Die DSGVO nimmt Auftragsverarbeiter durchaus in die Pflicht. Es reicht nicht, einfach nur „im Auftrag“ zu handeln. Es gibt klare Spielregeln:
Auftragsverarbeitungsvertrag (AVV) ist Pflicht
Ohne AVV geht nichts. Artikel 28 DSGVO schreibt vor, dass zwischen Controller und Processor ein schriftlicher Vertrag existieren muss. Darin steht unter anderem:
- Was genau verarbeitet wird und wie lange
- Welche Arten von Daten betroffen sind
- Welche Personengruppen betroffen sind
- Welche Rechte und Pflichten beide Seiten haben
Die meisten SaaS-Anbieter stellen mittlerweile Standard-AVVs bereit, die du einfach akzeptieren kannst. Trotzdem lohnt sich ein Blick ins Kleingedruckte.
Technische und organisatorische Maßnahmen (TOMs)
Der Processor muss nachweisen können, dass er die Daten angemessen schützt. Art. 32 DSGVO nennt hier unter anderem:
- Verschlüsselung bei Übertragung und Speicherung
- Zugangskontrolle und Berechtigungsmanagement
- Regelmäßige Sicherheits-Audits
- Backup- und Recovery-Konzepte
Meldepflicht bei Datenpannen
Passiert ein Datenleck, muss der Processor den Controller sofort informieren, nicht erst nach zwei Wochen. Die Meldung an die Aufsichtsbehörde übernimmt dann der Controller. Der Processor ist aber verpflichtet, bei der Aufklärung mitzuhelfen.
Typische Data Processors in der Webanalyse
Damit du ein Gefühl dafür bekommst, wo dir Data Processors im Alltag begegnen, hier ein paar Beispiele:
- Analytics-Tools: Google Analytics, Matomo Cloud, Adobe Analytics, Plausible, Fathom
- Tag-Management: Google Tag Manager, Tealium, Segment
- Cloud-Infrastruktur: AWS, Google Cloud, Hetzner, Microsoft Azure
- E-Mail-Marketing: Mailchimp, Brevo, CleverReach, Rapidmail
- Heatmaps und Session Recordings: Hotjar, Microsoft Clarity, Mouseflow
- A/B-Testing: Optimizely, VWO, Kameleoon
All diese Tools verarbeiten in irgendeiner Form Nutzerdaten in deinem Auftrag. Für jedes einzelne brauchst du im Prinzip einen AVV, auch wenn viele Anbieter das inzwischen automatisiert über ihre AGB abdecken.
Worauf du bei der Auswahl achten solltest
Nicht jeder Data Processor ist gleich gut geeignet. Hier sind die wichtigsten Punkte, die du vor der Entscheidung prüfen solltest:
- Serverstandort: Wo werden die Daten verarbeitet? EU-Server sind datenschutzrechtlich deutlich unkomplizierter als US-Server, auch nach dem EU-US Data Privacy Framework.
- AVV vorhanden? Bietet der Anbieter einen Auftragsverarbeitungsvertrag an? Sind die TOMs einsehbar?
- Sub-Processors: Nutzt der Anbieter selbst weitere Dienstleister? Wenn ja, welche und wo sitzen die?
- Datenlöschung: Kannst du Daten auf Anfrage löschen lassen? Wie schnell geht das?
- Integration: Passt der Processor in deinen bestehenden Tech-Stack?
- Kosten: Stimmt das Pricing für dein Datenvolumen? Manche Tools werden bei viel Traffic schnell teuer.
Der Data Controller entscheidet, warum und wie Daten verarbeitet werden. Er ist der Verantwortliche. Der Data Processor führt die Verarbeitung nur im Auftrag des Controllers aus. Beispiel: Du betreibst eine Website (Controller) und nutzt Google Analytics (Processor).
Ja, das ist Pflicht nach Art. 28 DSGVO. Sobald ein Dritter personenbezogene Daten in deinem Auftrag verarbeitet, muss ein AVV vorliegen. Das gilt für Google Analytics, Matomo Cloud, Hotjar und praktisch jedes Analytics-Tool, das Nutzerdaten erhebt.
Bei Verstößen gegen die Auftragsverarbeiter-Pflichten können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden. Bei schwerwiegenden Verstößen sind es sogar bis zu 20 Millionen Euro oder 4 Prozent.
Fazit
Der Data Processor ist mehr als nur ein technischer Begriff aus der DSGVO. Für jeden, der eine Website betreibt und dabei auf externe Tools setzt, ist es wichtig zu verstehen, wer die eigenen Daten verarbeitet und unter welchen Bedingungen das passiert.
Die gute Nachricht: Die meisten etablierten Analytics-Anbieter haben ihre Hausaufgaben gemacht und bieten DSGVO-konforme Lösungen mit fertigen AVVs an. Trotzdem solltest du nicht blind vertrauen, sondern regelmäßig prüfen, ob deine Data Processors noch den aktuellen Anforderungen entsprechen. Besonders dann, wenn sich Gesetze oder Gerichtsurteile ändern.
Anna ist eine erfahrene Webanalyse-Spezialistin und Expertin in der Verwendung von Webanalyse-Tools wie Google Analytics, Adobe Analytics und Piwik, um Kunden dabei zu helfen, wertvolle Einblicke in ihre Website-Besucher zu gewinnen. Mit ihrem tiefen Verständnis für die Analyse von Daten und der Identifizierung von Mustern hilft Anna ihren Kunden, ihre Online-Präsenz zu verbessern und ihr Geschäft auszubauen.