{"id":4854,"date":"2025-01-24T11:02:39","date_gmt":"2025-01-24T11:02:39","guid":{"rendered":"https:\/\/hocoos.com\/?post_type=answer&#038;p=4854"},"modified":"2025-01-29T12:31:44","modified_gmt":"2025-01-29T12:31:44","slug":"was-ist-eine-datenverarbeitungsvereinbarung","status":"publish","type":"answer","link":"https:\/\/hocoos.com\/de\/antworten\/was-ist-eine-datenverarbeitungsvereinbarung\/","title":{"rendered":"Was ist ein Datenverarbeitungsvertrag (DSV)?\u00a0"},"content":{"rendered":"<h2 class=\"wp-block-heading\">Wer ben\u00f6tigt einen AVV bzw. DPA und warum?&nbsp;<\/h2>\n\n\n\n<p>Unternehmen jeder Gr\u00f6\u00dfe ben\u00f6tigen einen DVV, wenn sie mit externen Datenverarbeitern arbeiten und selbst als \"Datenverantwortliche\" eingestuft sind. Diese Vertr\u00e4ge legen die gesetzlichen Anforderungen und Verfahren zum Schutz von <a href=\"https:\/\/hocoos.com\/de\/antworten\/was-sind-personenbezogene-daten-pii\/\">personenbezogenen Daten<\/a>.\u00a0<\/p>\n\n\n\n<p>Sie ben\u00f6tigen DVV insbesondere bei der Einhaltung verschiedener Datenschutzgesetze aus folgenden Gr\u00fcnden:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sanktionen oder Geldstrafen im Zusammenhang mit Datenschutzverletzungen k\u00f6nnen durch die Einhaltung der einschl\u00e4gigen Vorschriften vermieden werden.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Um zu beschreiben, wie Verarbeiter und Verantwortliche zusammenarbeiten werden. Dazu geh\u00f6rt auch die Beschreibung der Daten, die Sie verarbeiten werden, und Ihrer Gr\u00fcnde daf\u00fcr.&nbsp;<\/li>\n<\/ul>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Was sind die wichtigsten Bestandteile einer DPA (Data Processing Agreement)?&nbsp;<\/h2>\n\n\n\n<p>AVVs unterscheiden sich geringf\u00fcgig von Organisation zu Organisation, ihre allgemeinen Grunds\u00e4tze sind jedoch \u00e4hnlich. Einige der wichtigsten Elemente einer AVV sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Zweck:<\/strong> Skizzieren Sie die Daten, die Sie verarbeiten m\u00f6chten, und warum Sie dies tun m\u00fcssen.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Rechte\/Verantwortlichkeiten:<\/strong> Legen Sie fest, wof\u00fcr jede Partei verantwortlich ist und welche Rechte sie w\u00e4hrend des gesamten Prozesses hat.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Wesentliche Ma\u00dfnahmen:<\/strong> Skizzieren Sie die unternehmensweiten Ma\u00dfnahmen, die Sie zum Schutz von Daten ergriffen haben. Sie sollten auch erw\u00e4hnen, welche technischen Ma\u00dfnahmen Sie zum Schutz von Daten einsetzen (z. B. die Implementierung einer Multi-Faktor-Authentifizierung).&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bestimmungen zu Datenschutzverletzungen: <\/strong>Skizzieren Sie, was Sie tun werden, wenn eine Datenschutzverletzung auftritt, und ergreifen Sie die notwendigen Schritte, um dies zu verhindern.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Rechte der betroffenen Person:<\/strong> Identifizieren Sie die Rechte der Person, deren Daten Sie verwenden.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p>Nehmen Sie sich Zeit f\u00fcr die Erstellung einer klaren AVV, die alle Aspekte abdeckt; dies ist unerl\u00e4sslich f\u00fcr den Aufbau von Vertrauen.<\/p>\n\n\n\n<div class=\"answers-tip-box mt-8 mt-lg-10\">\n<div class=\"answers-small-title\">\n\t\t\t\t\t\t\t\nProfi-Tipp:\u00a0\n\n<\/div>\n<div class=\"answers-small-description mt-4\">\n\nKonsultieren Sie einen auf Ihre Gerichtsbarkeit spezialisierten Rechtsexperten, bevor Sie eine AVV erstellen.\u00a0\n\n<\/div>\n<\/div>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Welche Pflichten hat der Auftragsverarbeiter in einer AVV in Bezug auf den Umgang mit Daten?&nbsp;<\/h2>\n\n\n\n<p>Die Pflichten des Datenverarbeiters legen fest, wof\u00fcr der Datenverarbeiter bei der Verarbeitung von Daten verantwortlich ist. Diese decken in der Regel die verschiedenen Elemente ab.&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverarbeiter ist daf\u00fcr verantwortlich, alle Anweisungen des Datenverantwortlichen zu befolgen.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverarbeiter ist daf\u00fcr verantwortlich, die Vertraulichkeit der Daten zu wahren.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverarbeiter muss den Datenverantwortlichen dabei unterst\u00fctzen, seine eigenen Datenschutzanforderungen zu erf\u00fcllen.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverarbeiter kann f\u00fcr Datenschutzverletzungen haftbar gemacht werden.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverantwortliche kann den Datenverarbeiter jederzeit \u00fcberpr\u00fcfen.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Datenverarbeiter muss dem Datenverantwortlichen m\u00f6glicherweise weitere Informationen dar\u00fcber geben, wie er Daten verarbeitet.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Wie sch\u00fctzt eine Datenschutzbeh\u00f6rde die Rechte der betroffenen Personen?&nbsp;<\/h2>\n\n\n\n<p>Vereinbarungen zum Datenschutz (Data Protection Agreements, DPAs) legen die Pflichten und Rechte sowohl der Datenverarbeiter als auch der Datenverantwortlichen fest, was zum Schutz der Rechte der betroffenen Personen beitragen kann. Diese Dokumente werden in \u00dcbereinstimmung mit den Vorschriften entwickelt und schaffen einen Rahmen f\u00fcr eine verantwortungsvolle Datenverarbeitung. Durch die Festlegung von Pflichten und Rechten bilden DPAs einen wichtigen Bestandteil der Transparenzverfahren.&nbsp;<\/p>\n\n\n\n<p>Datenschutzbeh\u00f6rden (DSB) sind auch wichtig f\u00fcr die Ber\u00fccksichtigung von Antr\u00e4gen betroffener Personen. Diese Dokumentation kann das Recht umfassen auf:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00c4nderungen von Daten beantragen&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Daten l\u00f6schen, wenn sie nicht mehr ben\u00f6tigt werden&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Zugriff auf personenbezogene Daten<\/li>\n<\/ul>\n\n\n\n<p>Auftragsverarbeiter haben klare Richtlinien dar\u00fcber, was sie tun d\u00fcrfen und was nicht, wodurch das Risiko von Verst\u00f6\u00dfen gegen die Vorschriften minimiert wird.&nbsp;<\/p>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Wie melden Organisationen Datenverletzungen im Rahmen einer DPA?&nbsp;<\/h2>\n\n\n\n<p>Gem\u00e4\u00df der DSGVO-Vorschriften m\u00fcssen Unternehmen Datenverletzungen innerhalb von 72 Stunden nach Bekanntwerden melden.&nbsp;<\/p>\n\n\n\n<p>Sie sind daf\u00fcr verantwortlich, die Datenschutzbeh\u00f6rde (DPA) zu kontaktieren. Bei der Einreichung Ihres Berichts m\u00fcssen Sie mehrere Details angeben. Dazu geh\u00f6ren:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Art und Wesen der Datenverletzung&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ungef\u00e4hre Anzahl der betroffenen Personen&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Kategorien von Personen, die von der Verletzung betroffen sind&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Was Sie getan haben, um die Auswirkungen zu minimieren&nbsp;<\/li>\n<\/ul>\n\n\n\n<p>Bei schwerwiegenden Verst\u00f6\u00dfen, wie z. B. Cyberangriffen, bleibt die Meldefrist von 72 Stunden bestehen. Sie k\u00f6nnen den Richtlinien der DPA f\u00fcr die Meldung von Verst\u00f6\u00dfen folgen, und es ist auch wichtig, dass Sie einen Vorfallreaktionsplan erstellt haben. In Ihrem Vorfallreaktionsplan sollten Sie Folgendes ber\u00fccksichtigen:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verfahren zur Erkennung von Sicherheitsverletzungen&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Risikobewertung<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Meldung von Datenschutzverletzungen&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Reaktion auf das Problem und Eind\u00e4mmung so schnell wie m\u00f6glich<\/li>\n<\/ul>\n\n\n\n<div class=\"answers-tip-box mt-8 mt-lg-10\">\n<div class=\"answers-small-title\">\n\t\t\t\t\t\t\t\nProfi-Tipp:\u00a0\n\n<\/div>\n<div class=\"answers-small-description mt-4\">\n\nDatenverarbeiter sollten die Informationen bereitstellen, die Verantwortliche ben\u00f6tigen, um Benachrichtigungen \u00fcber Datenschutzverletzungen zu erstellen.\u00a0\n\n<\/div>\n<\/div>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Was passiert mit den Daten am Ende einer Datenverarbeitungsvereinbarung (DPA)?&nbsp;<\/h2>\n\n\n\n<p>DPAs k\u00f6nnen gek\u00fcndigt werden, wenn die verarbeiteten Daten nicht mehr ben\u00f6tigt werden. W\u00e4hrend des K\u00fcndigungsprozesses ist der Verarbeiter daf\u00fcr verantwortlich, alle personenbezogenen Daten sicher zu l\u00f6schen. Alternativ k\u00f6nnen sie die Informationen an den Verantwortlichen zur\u00fcckgeben \u2013 je nachdem, was der Verantwortliche vorgibt.&nbsp;<\/p>\n\n\n\n<p>Auch an diesem Punkt ist die DPA noch wichtig. Diese Dokumentation muss den gesamten L\u00f6sch-\/R\u00fcckgabeprozess beschreiben, damit alle Beteiligten ihn nachvollziehen k\u00f6nnen. Sie ist umso wichtiger, um den Missbrauch von Daten zu verhindern.&nbsp;<\/p>\n\n\n\n<p>In einigen F\u00e4llen muss der Auftragsverarbeiter m\u00f6glicherweise nachweisen, dass er die Informationen gel\u00f6scht oder zur\u00fcckgegeben hat. Daher sollte er Aufzeichnungen f\u00fchren.&nbsp;<\/p>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Welche Strafen drohen bei Nichteinhaltung einer AVV?&nbsp;<\/h2>\n\n\n\n<p>Die Strafen f\u00fcr die Nichteinhaltung von <a href=\"https:\/\/hocoos.com\/de\/antworten\/was-ist-die-dsgvo\/\">DSGVO<\/a> und anderen Vorschriften \u00fcber eine DPA k\u00f6nnen erheblich sein, und es ist daher wichtig, sie zu verstehen und zu vermeiden. Wenn Sie in der EU\/im EWR ans\u00e4ssig sind, kann die DSGVO eine Geldstrafe von 4 % des weltweiten Jahresumsatzes oder 20 Millionen EUR verh\u00e4ngen, je nachdem, welcher Wert h\u00f6her ist.\u00a0<\/p>\n\n\n\n<p>Obwohl diese Strafen hoch sind, dienen sie als Abschreckung f\u00fcr diejenigen, die sich nicht an die Vorschriften halten. Es ist wichtig zu verstehen, was in Ihre DPA aufgenommen werden sollte, und Daten sicher zu verarbeiten. Sie sollten die h\u00e4ufigsten Arten von Verst\u00f6\u00dfen kennen; diese beziehen sich in der Regel auf schlechte Sicherheitspraktiken, die zu Datenschutzverletzungen f\u00fchren.&nbsp;<\/p>\n\n\n\n<p>Sie sollten niemals personenbezogene Daten verarbeiten, ohne die Zustimmung einzuholen; dies kann \u00fcber Cookie-Banner auf der Website und Opt-in-Best\u00e4tigungen erfolgen.&nbsp;<\/p>\n\n\n\n<div style=\"height:72px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p>Data Processing Agreements (DPA) sind entscheidend f\u00fcr Unternehmen, die in L\u00e4ndern t\u00e4tig sind, in denen Datenschutz ernst genommen wird. Ihre Dokumentation sollte die Rollen und Verantwortlichkeiten aller Beteiligten explizit darlegen, und Sie m\u00fcssen auch darlegen, was Sie tun werden, um potenzielle Datenschutzverletzungen einzud\u00e4mmen.&nbsp;<\/p>\n\n\n\n<p>Sie sollten DPAs auch nutzen, um Vertrauen bei Ihren Kunden aufzubauen und ihnen Transparenz dar\u00fcber zu geben, wie Sie mit ihren Daten umgehen. Stellen Sie sicher, dass alle Beteiligten, einschlie\u00dflich Ihrer Auftragsverarbeiter und Verantwortlichen, ihre Rechte und Pflichten kennen.<\/p>","protected":false},"excerpt":{"rendered":"<p>Wer ben\u00f6tigt einen DPA und warum?&nbsp; Organisationen jeder Gr\u00f6\u00dfe ben\u00f6tigen einen DPA, wenn sie mit Drittverarbeitern zusammenarbeiten und selbst als \u201cDatenverantwortlicher\u201d eingestuft werden. Diese Vereinbarungen legen die rechtlichen Anforderungen und Verfahren im Zusammenhang mit dem Schutz personenbezogener Daten fest.\u00a0 DPAs sind besonders dann erforderlich, wenn Sie verschiedene Datenschutzgesetze f\u00fcr die folgenden [&hellip;] einhalten m\u00fcssen.<\/p>","protected":false},"author":39,"featured_media":4860,"template":"","answers_category":[22],"class_list":["post-4854","answer","type-answer","status-publish","has-post-thumbnail","hentry","answers_category-legal-and-ethical-considerations"],"acf":{"image":null,"card_image":4860,"content":[{"acf_fc_layout":"header_section","title":"Was ist ein Datenverarbeitungsvertrag (DSV)?","descriptions":"Data Processing Agreements, also known as DPAs, are contracts that outline what two parties are responsible for when processing personal information. The contract is legally binding, and it\u2019s important to ensure that both rights and requirements are covered.\r\n\r\nWhen developing DPAs, you should ensure that processing durations \u2013 along with the reasons why you\u2019re processing data \u2013 are outlined. Data controllers and processor rights\/obligations also need to be covered.\r\n\r\nIf you operate in the European Economic Area (EEA), you will need a DPA to comply with GDPR. You should also have an agreement of this kind if you operate in jurisdictions with specific data privacy laws (e.g. California and the UK). Although mainly associated with regulations like GDPR, having a DPA is a good general business practice.","tip_label":"Pro Tip","tip":"DPAs are particularly important when controllers work with processors for personal data.","additional_tips":null,"key_takeaways_label":"Key Takeaways: ","key_takeaways":[{"label":"Use data processing agreements (DPAs) so that everyone understands roles, responsibilities, and rights","body":""},{"label":"Your DPAs are an essential part of regulatory compliance, especially for controllers\/data processors","body":""},{"label":"Develop robust DPAs outlining breach handling, subject rights, scope, etc","body":""}]}]},"_links":{"self":[{"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/answer\/4854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/answer"}],"about":[{"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/types\/answer"}],"author":[{"embeddable":true,"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/users\/39"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/media\/4860"}],"wp:attachment":[{"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/media?parent=4854"}],"wp:term":[{"taxonomy":"answers_category","embeddable":true,"href":"https:\/\/hocoos.com\/de\/wp-json\/wp\/v2\/answers_category?post=4854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}