Zurück zu Rechtliche und ethische Erwägungen

Was ist ein Datenverarbeitungsvertrag (DSV)? 

13 Minuten Lesezeit

Vereinbarungen zur Datenverarbeitung, auch bekannt als DPAs, sind Verträge, die die Verantwortlichkeiten zweier Parteien bei der Verarbeitung personenbezogener Daten festlegen. Der Vertrag ist rechtsverbindlich, und es ist wichtig sicherzustellen, dass sowohl Rechte als auch Pflichten abgedeckt sind.

Bei der Entwicklung von DPAs sollten Sie sicherstellen, dass die Verarbeitungsdauer – zusammen mit den Gründen für die Datenverarbeitung – dargelegt wird. Die Rechte und Pflichten der Datenverantwortlichen und -verarbeiter müssen ebenfalls abgedeckt sein.

Wenn Sie im Europäischen Wirtschaftsraum (EWR) tätig sind, benötigen Sie eine DPA, um die DSGVO einzuhalten. Sie sollten auch eine solche Vereinbarung haben, wenn Sie in Rechtsräumen mit spezifischen Datenschutzgesetzen tätig sind (z. B. Kalifornien und Großbritannien). Obwohl DPAs hauptsächlich mit Vorschriften wie der DSGVO in Verbindung gebracht werden, ist es eine gute allgemeine Geschäftspraxis, eine solche Vereinbarung zu haben.

Profi-Tipp:
DPAs sind besonders wichtig, wenn Verantwortliche mit Auftragsverarbeitern für personenbezogene Daten zusammenarbeiten.
Die wichtigsten Punkte:
  • Verwenden Sie Datenverarbeitungsverträge (DVV), damit alle Rollen, Verantwortlichkeiten und Rechte verstehen.
  • Ihre DVV sind ein wesentlicher Bestandteil der Einhaltung gesetzlicher Vorschriften, insbesondere für Verantwortliche/Datenverarbeiter.
  • Entwickeln Sie robuste DVV, die die Behandlung von Datenschutzverletzungen, Betroffenenrechte, Umfang usw. beschreiben.
Hocoos kleines Logo Antworten Rechtliche und ethische Erwägungen

Was ist ein Datenverarbeitungsvertrag (DSV)? 

Wer benötigt einen AVV bzw. DPA und warum? 

Unternehmen jeder Größe benötigen einen DVV, wenn sie mit externen Datenverarbeitern arbeiten und selbst als "Datenverantwortliche" eingestuft sind. Diese Verträge legen die gesetzlichen Anforderungen und Verfahren zum Schutz von personenbezogenen Daten

Sie benötigen DVV insbesondere bei der Einhaltung verschiedener Datenschutzgesetze aus folgenden Gründen: 

  • Sanktionen oder Geldstrafen im Zusammenhang mit Datenschutzverletzungen können durch die Einhaltung der einschlägigen Vorschriften vermieden werden.

  • Um zu beschreiben, wie Verarbeiter und Verantwortliche zusammenarbeiten werden. Dazu gehört auch die Beschreibung der Daten, die Sie verarbeiten werden, und Ihrer Gründe dafür. 

Was sind die wichtigsten Bestandteile einer DPA (Data Processing Agreement)? 

AVVs unterscheiden sich geringfügig von Organisation zu Organisation, ihre allgemeinen Grundsätze sind jedoch ähnlich. Einige der wichtigsten Elemente einer AVV sind:

  • Zweck: Skizzieren Sie die Daten, die Sie verarbeiten möchten, und warum Sie dies tun müssen. 

  • Rechte/Verantwortlichkeiten: Legen Sie fest, wofür jede Partei verantwortlich ist und welche Rechte sie während des gesamten Prozesses hat. 

  • Wesentliche Maßnahmen: Skizzieren Sie die unternehmensweiten Maßnahmen, die Sie zum Schutz von Daten ergriffen haben. Sie sollten auch erwähnen, welche technischen Maßnahmen Sie zum Schutz von Daten einsetzen (z. B. die Implementierung einer Multi-Faktor-Authentifizierung).  

  • Bestimmungen zu Datenschutzverletzungen: Skizzieren Sie, was Sie tun werden, wenn eine Datenschutzverletzung auftritt, und ergreifen Sie die notwendigen Schritte, um dies zu verhindern. 

  • Rechte der betroffenen Person: Identifizieren Sie die Rechte der Person, deren Daten Sie verwenden. 

Nehmen Sie sich Zeit für die Erstellung einer klaren AVV, die alle Aspekte abdeckt; dies ist unerlässlich für den Aufbau von Vertrauen.

Profi-Tipp: 
Konsultieren Sie einen auf Ihre Gerichtsbarkeit spezialisierten Rechtsexperten, bevor Sie eine AVV erstellen. 

Welche Pflichten hat der Auftragsverarbeiter in einer AVV in Bezug auf den Umgang mit Daten? 

Die Pflichten des Datenverarbeiters legen fest, wofür der Datenverarbeiter bei der Verarbeitung von Daten verantwortlich ist. Diese decken in der Regel die verschiedenen Elemente ab. 

  • Der Datenverarbeiter ist dafür verantwortlich, alle Anweisungen des Datenverantwortlichen zu befolgen. 

  • Der Datenverarbeiter ist dafür verantwortlich, die Vertraulichkeit der Daten zu wahren. 

  • Der Datenverarbeiter muss den Datenverantwortlichen dabei unterstützen, seine eigenen Datenschutzanforderungen zu erfüllen. 

  • Der Datenverarbeiter kann für Datenschutzverletzungen haftbar gemacht werden. 

  • Der Datenverantwortliche kann den Datenverarbeiter jederzeit überprüfen. 

  • Der Datenverarbeiter muss dem Datenverantwortlichen möglicherweise weitere Informationen darüber geben, wie er Daten verarbeitet.

Wie schützt eine Datenschutzbehörde die Rechte der betroffenen Personen? 

Vereinbarungen zum Datenschutz (Data Protection Agreements, DPAs) legen die Pflichten und Rechte sowohl der Datenverarbeiter als auch der Datenverantwortlichen fest, was zum Schutz der Rechte der betroffenen Personen beitragen kann. Diese Dokumente werden in Übereinstimmung mit den Vorschriften entwickelt und schaffen einen Rahmen für eine verantwortungsvolle Datenverarbeitung. Durch die Festlegung von Pflichten und Rechten bilden DPAs einen wichtigen Bestandteil der Transparenzverfahren. 

Datenschutzbehörden (DSB) sind auch wichtig für die Berücksichtigung von Anträgen betroffener Personen. Diese Dokumentation kann das Recht umfassen auf: 

  • Änderungen von Daten beantragen 

  • Daten löschen, wenn sie nicht mehr benötigt werden 

  • Zugriff auf personenbezogene Daten

Auftragsverarbeiter haben klare Richtlinien darüber, was sie tun dürfen und was nicht, wodurch das Risiko von Verstößen gegen die Vorschriften minimiert wird. 

Wie melden Organisationen Datenverletzungen im Rahmen einer DPA? 

Gemäß der DSGVO-Vorschriften müssen Unternehmen Datenverletzungen innerhalb von 72 Stunden nach Bekanntwerden melden. 

Sie sind dafür verantwortlich, die Datenschutzbehörde (DPA) zu kontaktieren. Bei der Einreichung Ihres Berichts müssen Sie mehrere Details angeben. Dazu gehören: 

  • Art und Wesen der Datenverletzung 

  • Ungefähre Anzahl der betroffenen Personen 

  • Die Kategorien von Personen, die von der Verletzung betroffen sind 

  • Was Sie getan haben, um die Auswirkungen zu minimieren 

Bei schwerwiegenden Verstößen, wie z. B. Cyberangriffen, bleibt die Meldefrist von 72 Stunden bestehen. Sie können den Richtlinien der DPA für die Meldung von Verstößen folgen, und es ist auch wichtig, dass Sie einen Vorfallreaktionsplan erstellt haben. In Ihrem Vorfallreaktionsplan sollten Sie Folgendes berücksichtigen: 

  • Verfahren zur Erkennung von Sicherheitsverletzungen 

  • Risikobewertung

  • Meldung von Datenschutzverletzungen 

  • Reaktion auf das Problem und Eindämmung so schnell wie möglich
Profi-Tipp: 
Datenverarbeiter sollten die Informationen bereitstellen, die Verantwortliche benötigen, um Benachrichtigungen über Datenschutzverletzungen zu erstellen. 

Was passiert mit den Daten am Ende einer Datenverarbeitungsvereinbarung (DPA)? 

DPAs können gekündigt werden, wenn die verarbeiteten Daten nicht mehr benötigt werden. Während des Kündigungsprozesses ist der Verarbeiter dafür verantwortlich, alle personenbezogenen Daten sicher zu löschen. Alternativ können sie die Informationen an den Verantwortlichen zurückgeben – je nachdem, was der Verantwortliche vorgibt. 

Auch an diesem Punkt ist die DPA noch wichtig. Diese Dokumentation muss den gesamten Lösch-/Rückgabeprozess beschreiben, damit alle Beteiligten ihn nachvollziehen können. Sie ist umso wichtiger, um den Missbrauch von Daten zu verhindern. 

In einigen Fällen muss der Auftragsverarbeiter möglicherweise nachweisen, dass er die Informationen gelöscht oder zurückgegeben hat. Daher sollte er Aufzeichnungen führen. 

Welche Strafen drohen bei Nichteinhaltung einer AVV? 

Die Strafen für die Nichteinhaltung von DSGVO und anderen Vorschriften über eine DPA können erheblich sein, und es ist daher wichtig, sie zu verstehen und zu vermeiden. Wenn Sie in der EU/im EWR ansässig sind, kann die DSGVO eine Geldstrafe von 4 % des weltweiten Jahresumsatzes oder 20 Millionen EUR verhängen, je nachdem, welcher Wert höher ist. 

Obwohl diese Strafen hoch sind, dienen sie als Abschreckung für diejenigen, die sich nicht an die Vorschriften halten. Es ist wichtig zu verstehen, was in Ihre DPA aufgenommen werden sollte, und Daten sicher zu verarbeiten. Sie sollten die häufigsten Arten von Verstößen kennen; diese beziehen sich in der Regel auf schlechte Sicherheitspraktiken, die zu Datenschutzverletzungen führen. 

Sie sollten niemals personenbezogene Daten verarbeiten, ohne die Zustimmung einzuholen; dies kann über Cookie-Banner auf der Website und Opt-in-Bestätigungen erfolgen. 

Fazit

Data Processing Agreements (DPA) sind entscheidend für Unternehmen, die in Ländern tätig sind, in denen Datenschutz ernst genommen wird. Ihre Dokumentation sollte die Rollen und Verantwortlichkeiten aller Beteiligten explizit darlegen, und Sie müssen auch darlegen, was Sie tun werden, um potenzielle Datenschutzverletzungen einzudämmen. 

Sie sollten DPAs auch nutzen, um Vertrauen bei Ihren Kunden aufzubauen und ihnen Transparenz darüber zu geben, wie Sie mit ihren Daten umgehen. Stellen Sie sicher, dass alle Beteiligten, einschließlich Ihrer Auftragsverarbeiter und Verantwortlichen, ihre Rechte und Pflichten kennen.

Inhaltsverzeichnis

Weitere hilfreiche Artikel

BEREIT, IHR KLEINUNTERNEHMEN ZU STARTEN?

Wichtiger Hinweis: Die Informationen unseres Expertenteams sollen Ihnen ein allgemeines Verständnis des Prozesses der Webseitenerstellung und der Ihnen zur Verfügung stehenden Funktionen vermitteln. Es ist wichtig zu beachten, dass diese Informationen keine professionelle Beratung ersetzen, die auf Ihre spezifischen Bedürfnisse und Ziele zugeschnitten ist.
Lesen Sie unsere redaktionelle Standards für Answers-Inhalte.
Unser Ziel ist es, Sie in die Lage zu versetzen, eine großartige Webseite zu erstellen. Wenn Sie Fragen haben oder Unterstützung während des Erstellungsprozesses benötigen, zögern Sie nicht, Kontaktieren Sie uns. Wir helfen Ihnen gerne weiter und weisen Sie in die richtige Richtung.