Die Datenverarbeitungsvereinbarung (DPA) verstehen

Eine Datenverarbeitungsvereinbarung (DPA) ist ein Vertrag, der bei der Nutzung bestimmter Dienstanbieter gemäß der Datenschutz-Grundverordnung (DSGVO) der EU oder des Vereinigten Königreichs bestehen muss.

Eine DPA muss bestimmte rechtliche Anforderungen erfüllen und ist zwingend erforderlich , wenn ein „Verantwortlicher“ einen „Auftragsverarbeiter“ beauftragt. Wird eine DPA nicht wie vorgeschrieben umgesetzt, kann dies für beide Parteien zu ernsthaften rechtlichen Problemen führen.

Dieser Artikel führt Sie durch die wichtigsten Elemente einer DPA , untersucht, wann eine DPA erforderlich ist , und bietet einige wichtige Tipps zum Verfassen einer DPA , die für Ihr Unternehmen und seine Kunden geeignet ist.

Was ist eine Datenverarbeitungsvereinbarung (DPA)?

Gemäß der DSGVO ist eine Datenverarbeitungsvereinbarung ein Vertrag, der einen „Auftragsverarbeiter“ verpflichtet, gemäß den Anweisungen eines „Verantwortlichen“ zu handeln.

Viele Arten von Unternehmen bieten Dienste im Rahmen einer DPA an, darunter Cloud Service Provider (CSPs), Netzwerksicherheitsanbieter und Marketingunternehmen.

Eine DPA kann ein eigenständiger Vertrag sein oder in einen anderen Vertrag integriert werden, z. B. in Servicebedingungen (Terms of Service, ToS) oder Master Services Agreement (MSA) . Eine DPA wird manchmal auch als „Data Processing Addendum“ bezeichnet.

Verantwortliche und Auftragsverarbeiter

Ein DPA regelt die Beziehung zwischen einem Verantwortlichen und einem Auftragsverarbeiter im Rahmen der DSGVO. Wir werden diese Begriffe später im Artikel genauer betrachten, hier ist jedoch eine kurze Erklärung zu jedem einzelnen:

• Ein Verantwortlicher „bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten“: Er hat einen Grund für die Verarbeitung personenbezogener Daten und entscheidet, wie dabei vorgegangen wird.
• Ein Auftragsverarbeiter „verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen“: Er erbringt Dienstleistungen für den Verantwortlichen und verwendet personenbezogene Daten nur für die Zwecke des Verantwortlichen

Hinweis: „Personenbezogene Daten“ ist im Sinne der DSGVO ein weit gefasster Begriff und umfasst alle Informationen, die sich auf eine identifizierbare Person beziehen. Unter „Verarbeitung“ personenbezogener Daten versteht man deren Erhebung, Speicherung oder sonstige Verwendung in praktisch jeder beliebigen Weise.

Die meisten Bestimmungen der DSGVO gelten direkt für Verantwortliche, die in erster Linie für die personenbezogenen Daten verantwortlich sind, die sie erfassen und verwenden. Ein Verantwortlicher bleibt für personenbezogene Daten verantwortlich, auch wenn ein Auftragsverarbeiter diese in seinem Auftrag verarbeitet. 

Mit einem DPA wird dieses Prinzip „realisiert“ – wenn der Auftragsverarbeiter gegen die DSGVO verstößt, bleibt der Verantwortliche normalerweise rechtlich verantwortlich. Der Verantwortliche kann jedoch möglicherweise Schadenersatz für Schäden verlangen, die dem Auftragsverarbeiter durch den Verstoß gegen das DPA entstanden sind.

Ein AV-Vertrag stellt nicht nur eine zentrale Anforderung der DSGVO dar, er kommt auch dem Verantwortlichen und dem Auftragsverarbeiter zugute:

• Der Verantwortliche profitiert von einer rechtsverbindlichen Vereinbarung, die den Auftragsverarbeiter in der Nutzung personenbezogener Daten in seinem Namen einschränkt.
• Der Auftragsverarbeiter profitiert davon, da er nicht in erster Linie für die Einhaltung der DSGVO verantwortlich ist, solange er den Anweisungen des Verantwortlichen im Rahmen des DPA Folge leistet (mit einigen Ausnahmen).

Wann muss eine Organisation eine Datenverarbeitungsvereinbarung verwenden?

Nach der DSGVO dürfen Auftragsverarbeiter nur im Rahmen einer Auftragsverarbeitungsvereinbarung tätig werden. Eine Auftragsverarbeitungsvereinbarung ist daher immer dann erforderlich, wenn eine andere Organisation personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Es kann schwierig sein, Prozessoren zu erkennen. Hier sind einige gängige Beispiele für Controller/Prozessor-Beziehungen :

• Ein Einzelhandelsunternehmen (Verantwortlicher) speichert personenbezogene Daten remote über einen Cloud-Dienstanbieter (CSP) (Auftragsverarbeiter), beispielsweise Google Drive.
• Eine Regierungsbehörde (Controller) verwaltet Mitarbeiterdatensätze mithilfe eines HR-Softwareanbieters (Prozessor) wie beispielsweise Workday.
• Ein Websitebetreiber (Verantwortlicher) analysiert die Nutzung seiner Website über einen Analyseanbieter (Auftragsverarbeiter) wie beispielsweise Google Analytics.

Ein Auftragsverarbeiter entscheidet nicht über das „Wie“ oder „Warum“ der Verarbeitung personenbezogener Daten und verarbeitet personenbezogene Daten nicht für seine eigenen Zwecke oder seinen eigenen Vorteil (außer in dem Umfang, in dem er durch die Bereitstellung der Dienste Geld verdient).

Wie ein Auftragsverarbeiter zum Verantwortlichen wird

Verwendet ein Auftragsverarbeiter personenbezogene Daten, die unter eine Datenschutz-Vereinbarung fallen, für seine eigenen Zwecke , ist er laut Artikel 28 (10) DSGVO der Verantwortliche für diese Verarbeitung. 

Für den Auftragsverarbeiter ist das eine schlechte Nachricht, da er jeglichen Schutz durch das Datenschutzgesetz verliert und für Verstöße gegen die DSGVO direkt haftbar gemacht wird. 

So verhängte die griechische Regulierungsbehörde beispielsweise gegen einen Auftragsverarbeiter gemäß Artikel 28 (10) eine Geldbuße in Höhe von 5.000 Euro, nachdem dieser gegen die Anordnung des für die Verarbeitung Verantwortlichen personenbezogene Daten an ein Gericht weitergegeben hatte.

Auftragsverarbeiter sollten klar darlegen, wie sie die personenbezogenen Daten, die sie im Auftrag der Verantwortlichen verarbeiten, zu verwenden beabsichtigen, und die Verantwortlichen sollten Datenverarbeitungsverträge und andere Vereinbarungen sorgfältig lesen, um sicherzustellen, dass sie verstehen, wie die Dienstanbieter die personenbezogenen Daten verwenden.

Wichtige Bestandteile einer Datenverarbeitungsvereinbarung

Artikel 28 der DSGVO listet die Komponenten auf, die in einem DPA enthalten sein müssen. Hier ist ein Blick auf jedes der Schlüsselelemente.

Einführung oder Präambel

Erstens gibt es einige Bestimmungen, die Sie wahrscheinlich in Ihre DPA aufnehmen möchten, auch wenn diese in der DSGVO nicht als verpflichtend aufgeführt sind.

• Namen der Parteien : Wie bei jedem Vertrag ist es am besten, mit der Auflistung der beteiligten Parteien zu beginnen, d. h. die gesetzlichen Namen des Verantwortlichen und des Auftragsverarbeiters sowie gegebenenfalls die Person, die im Namen der jeweiligen Partei unterschreibt. 
• Definitionen : Sie können Schlüsselbegriffe (wie „Verantwortlicher“, „Auftragsverarbeiter“ und „personenbezogene Daten“) definieren und auf das geltende Gesetz verweisen (nämlich die DSGVO bzw. im Vereinigten Königreich die britische DSGVO).
• Andere Vereinbarungen : Sie sollten alle anderen Vereinbarungen auflisten, die in Ihre DPA aufgenommen wurden oder auf die darin verwiesen wird, z. B. ein Master Services Agreement (MSA). Beachten Sie, dass andere Vereinbarungen die obligatorischen Teile der DPA nicht außer Kraft setzen können.
• Überprüfungszeitraum : Einige DPAs sehen einen regelmäßigen Überprüfungszeitraum vor, in dem die Parteien prüfen, ob die DPA noch relevant ist, oder ein Ereignis feststellen, das eine Überprüfung auslöst, z. B. wenn sich die Verarbeitungsaktivitäten oder die relevanten Arten personenbezogener Daten ändern.

Details der Verarbeitung

Gemäß Artikel 28 (3) der DSGVO muss eine Datenschutzvereinbarung bestimmte Einzelheiten über die Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter festlegen, und zwar:

• Der Gegenstand : Wofür die DPA gedacht ist, z. B. Cloud-Dienste, Marketingdienste, Betrugserkennung usw.
• Die Dauer der Verarbeitung : Wie lange die Verarbeitung dauert, einschließlich der Angabe, ob es sich um eine einmalige Transaktion oder eine laufende Geschäftsbeziehung handelt (Sie müssen keine bestimmte Anzahl von Monaten oder Jahren angeben).
• Art und Zweck der Verarbeitung : Welche Arten von Diensten der Verarbeiter erbringt und warum.
• Die Art der personenbezogenen Daten : Welche Arten von Informationen werden von der DPA abgedeckt, z. B. Namen, E-Mail-Adressen oder Geräte-IDs.
• Die Kategorien betroffener Personen : Die Arten von Personen, deren personenbezogene Daten gemäß der DPA verarbeitet werden, wie z. B. Kunden, Mitarbeiter oder Benutzer der App oder Website des Verantwortlichen.
• Pflichten und Rechte des Verantwortlichen : Einige Datenschutzvereinbarungen enthalten einen Absatz, in dem erläutert wird, dass der Verantwortliche verpflichtet ist, die allgemeine Einhaltung des Datenschutzrechts sicherzustellen und das Recht hat, Entscheidungen über die Verarbeitung personenbezogener Daten zu treffen.

Anforderungen an den Prozessor

Der Großteil Ihrer Datenverarbeitungsvereinbarung beinhaltet die Auferlegung von Datenschutzanforderungen an den Auftragsverarbeiter .

Diese Anforderungen sind in jedem DPA verbindlich und in Artikel 28 (3) (a)-(h) der DSGVO festgelegt. Hier ist ein Überblick über die Anforderungen an den Auftragsverarbeiter:

• Dokumentierte Anweisungen : Der Auftragsverarbeiter darf personenbezogene Daten nur auf Grundlage der „dokumentierten Anweisungen“ des Verantwortlichen verarbeiten. Diese Anweisungen können in der DPA selbst (z. B. im Abschnitt „Details der Verarbeitung“ oben) oder in einer anderen Vereinbarung enthalten sein, sofern Sie dies in Ihrer DPA klarstellen.
• Internationale Übermittlungen : Der Verarbeiter muss (zumindest) den Verantwortlichen informieren, bevor er „ internationale Datenübertragungen “ mit personenbezogenen Daten durchführt.
• Vertraulichkeit : Der Verarbeiter muss sicherstellen, dass alle Personen, die Zugriff auf die personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind, sei es aufgrund der Unterzeichnung eines Vertrags oder einer gesetzlichen Verpflichtung.
• Sicherheit : Der Auftragsverarbeiter muss „alle Maßnahmen ergreifen, um Artikel 32“ der DSGVO einzuhalten, der die gesetzlichen Anforderungen an die Datensicherheit festlegt. Die Datenschutzbehörde muss nicht festlegen, welche Sicherheitsmaßnahmen der Auftragsverarbeiter ergreifen muss, aber in manchen Fällen kann dies angebracht sein.
• Unterauftragsverarbeiter : Unter bestimmten Bedingungen kann ein Auftragsverarbeiter andere Auftragsverarbeiter, sogenannte „Unterauftragsverarbeiter“, damit beauftragen, die personenbezogenen Daten des Verantwortlichen in seinem Namen zu verarbeiten. Wir werden uns die Unterauftragsverarbeiter weiter unten genauer ansehen.
• Rechte der betroffenen Person : Der Auftragsverarbeiter muss zustimmen, den Verantwortlichen bei der Wahrung der Rechte der betroffenen Person zu unterstützen, soweit dies möglich und angemessen ist.
• Artikel 32-36 : Der Auftragsverarbeiter muss den Verantwortlichen dabei unterstützen, die Anforderungen der DSGVO in Bezug auf Sicherheit, Verletzungen des Schutzes personenbezogener Daten und Datenschutz-Folgenabschätzungen (DSFA) einzuhalten. Beispielsweise sollte der Auftragsverarbeiter den Verantwortlichen über alle Datenschutzverletzungen informieren. Wir werden uns dies weiter unten genauer ansehen.
• Beendigung : Sobald der Auftragsverarbeiter die Erbringung von Dienstleistungen für den Verantwortlichen einstellt, muss der Auftragsverarbeiter alle relevanten personenbezogenen Daten „löschen oder zurückgeben“. Der Verantwortliche kann wählen, ob er vom Auftragsverarbeiter die „Löschung“ oder „Rückgabe“ der Daten verlangt, und gibt dies manchmal in der DPA an.
• Audits : Der Auftragsverarbeiter muss sich verpflichten, dem Verantwortlichen „alle erforderlichen Informationen zum Nachweis der Einhaltung“ von Artikel 28 der DSGVO bereitzustellen, unter anderem durch die Teilnahme an vom Verantwortlichen organisierten Audits und Inspektionen.

Auftragsverarbeiter und Unterauftragsverarbeiter

Wie oben erwähnt, muss ein Auftragsverarbeiter unter Umständen „ Unterauftragsverarbeiter “ ernennen. Unterauftragsverarbeiter sind sozusagen die „ Auftragsverarbeiter des Auftragsverarbeiters “ – andere Organisationen, die dem Auftragsverarbeiter dabei helfen, seinen Pflichten gemäß dem DPA nachzukommen.

Beispiel: Wie viele andere Auftragsverarbeiter stellt Amazon Web Services (AWS) eine fortlaufende Liste seiner Unterauftragsverarbeiter zur Verfügung. Dazu gehören andere Unternehmen der Amazon-Unternehmensgruppe, Sicherheitsunternehmen und Softwareanbieter, die Ortungs- und Benachrichtigungsdienste bereitstellen.

Die DSGVO sieht mehrere Regeln für die Ernennung von Unterauftragsverarbeitern vor:

• Der Auftragsverarbeiter muss mit dem Unterauftragsverarbeiter eine Datenverarbeitungsvereinbarung umsetzen , die alle Anforderungen des Artikels 28 der DSGVO erfüllt.
• Der Auftragsverarbeiter haftet für den Unterauftragsverarbeiter , wenn dieser seinen Verpflichtungen aus dem DPA nicht nachkommt (der Verantwortliche kann den Auftragsverarbeiter mit einigen wenigen Ausnahmen wegen der Nichteinhaltung durch seinen Unterauftragsverarbeiter verklagen).
• Der Auftragsverarbeiter muss vor der Ernennung eines Unterauftragsverarbeiters die „vorherige schriftliche Genehmigung“ des Verantwortlichen einholen . 

Es gibt zwei Möglichkeiten, wie ein Verantwortlicher einem Auftragsverarbeiter die Ernennung von Unterauftragsverarbeitern gestatten kann:

• Allgemeine Ermächtigung : Der Verantwortliche gestattet dem Auftragsverarbeiter, nach eigenem Ermessen neue Unterauftragsverarbeiter zu ernennen. Der Auftragsverarbeiter muss den Verantwortlichen hierüber benachrichtigen und ihm die Möglichkeit geben, Einspruch gegen die Ernennung einzulegen.
• Besondere Genehmigung : Der Auftragsverarbeiter muss jedes Mal die schriftliche Genehmigung des Verantwortlichen einholen, wenn er einen neuen Unterauftragsverarbeiter ernennen möchte.

In der Datenschutzvereinbarung sollte festgelegt werden, ob der Verantwortliche dem Auftragsverarbeiter eine allgemeine oder eine spezifische Genehmigung erteilt.

Ausarbeitung und Verhandlung einer Datenverarbeitungsvereinbarung

Wir haben uns angesehen, woran man die Notwendigkeit einer DPA erkennt, und die obligatorischen Elemente der DPA zusammengefasst. Betrachten wir nun , wie sich diese Anforderungen in die Praxis umsetzen lassen .

Entwicklung einer standardisierten DPA

Viele Verantwortliche verwenden eine standardisierte Datenverarbeitungsvereinbarung , deren Unterzeichnung sie von neuen Auftragsverarbeitern verlangen. 

Die Verwendung einer Vorlage kann Verantwortlichen dabei helfen, ihre Beziehungen zu Auftragsverarbeitern zu verwalten. Der Verantwortliche muss jedoch immer sicherstellen, dass die DPA der DSGVO entspricht.

Bei der Verwendung einer DPA-Vorlage sollten Sie Folgendes beachten:

• Umfasst die DPA alle Anforderungen des Artikels 28 der DSGVO?
• Enthält das DPA weitere Bedingungen , die nach Artikel 28 nicht erforderlich sind?
• Wurde die DPA für einen bestimmten Kontext konzipiert , der auf den Auftragsverarbeiter nicht zutrifft?
• Ist die DPA eindeutig ?
• Wie behandelt die Datenschutzbehörde die flexibleren Teile von Artikel 28? Zum Beispiel:
  • Erteilt die Datenschutz-Grundverordnung dem Auftragsverarbeiter eine allgemeine oder besondere Vollmacht zur Ernennung von Unterauftragsverarbeitern?
  • Gibt die Datenschutzvereinbarung vor, ob der Auftragsverarbeiter die personenbezogenen Daten nach Vertragsende löschen oder zurückgeben muss?
  • Beschränkt das DPA die Anzahl der Prüfungen, die der Verantwortliche durchführen darf?

Einige größere Auftragsverarbeiter lehnen möglicherweise die Annahme der Standard-Datenschutzvereinbarung eines Verantwortlichen ab. Kleinere Auftragsverarbeiter stellen jedoch möglicherweise eine Datenschutzvereinbarung bereit, die die Anforderungen der DSGVO nicht erfüllt – oder haben möglicherweise überhaupt keine Datenschutzvereinbarung vorbereitet.

So kann die Standard-Datenverarbeitungsvereinbarung eines Verantwortlichen für verschiedene Auftragsverarbeiter angepasst werden oder als Ausgangspunkt für Verhandlungen mit neuen Dienstanbietern dienen .

Aushandeln einer DPA

Die meisten Aspekte einer Datenverarbeitungsvereinbarung sind nicht verhandelbar. Dazu gehören etwa die Anforderungen an die Auftragsverarbeiter, den Anweisungen des Verantwortlichen zu folgen, diesen bei Anträgen auf Wahrung der Rechte der betroffenen Person zu unterstützen und die Sicherheitsverpflichtungen der DSGVO einzuhalten.

Einige Teile der DPA können jedoch zwischen dem Verantwortlichen und dem Auftragsverarbeiter ausgehandelt werden . Zum Beispiel:

• Die Parteien müssen sich darauf einigen, ob der Auftragsverarbeiter eine „allgemeine“ oder eine „besondere“ Vollmacht zur Ernennung von Unterauftragsverarbeitern hat. Der Auftragsverarbeiter könnte eine allgemeine Vollmacht bevorzugen, während risikoscheue Verantwortliche eine besondere Vollmacht bevorzugen könnten.
• Artikel 33 der DSGVO besagt, dass der Auftragsverarbeiter den Verantwortlichen „unverzüglich“ über eine Verletzung des Schutzes personenbezogener Daten informieren muss. Einige Datenschutzbehörden legen fest, dass der Auftragsverarbeiter den Verantwortlichen innerhalb einer bestimmten Frist, beispielsweise 24 Stunden, informieren muss .
• Einige Datenschutzbehörden verbieten dem Auftragsverarbeiter grundsätzlich die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) (oder gegebenenfalls des Vereinigten Königreichs). Andere besagen, dass der Auftragsverarbeiter den Verantwortlichen vor einer internationalen Datenübertragung benachrichtigen muss.

Zusätzlich zu diesen Verhandlungspunkten sollte der Verantwortliche Zusicherungen über die Datensicherheitsvorkehrungen des Auftragsverarbeiters einholen.

Wenn der Auftragsverarbeiter nicht nachweisen kann, dass er die Sicherheitsanforderungen nach Artikel 32 der DSGVO erfüllen kann, sollte der Verantwortliche die Einführung spezifischer Sicherheitsmaßnahmen in Erwägung ziehen, bevor er den Auftragsverarbeiter einbezieht. Einige Verantwortliche fügen der DPA einen „ Datensicherheitszusatz “ oder eine ähnliche Vereinbarung hinzu.

Unterzeichnung einer Standard-Datenverarbeitungsvereinbarung mit einem Auftragsverarbeiter

Einige größere Auftragsverarbeiter stellen ihre eigenen DPA bereit und verlangen von ihren Kunden (Verantwortlichen), diese zu unterzeichnen. Google stellt beispielsweise ein Cloud Data Processing Addendum für Google Workspace-Kunden bereit. Das Product and Services Data Protection Addendum von Microsoft deckt Office 365 und andere Software ab.

Nach der DSGVO sollte der Verantwortliche das Sagen haben (und er trägt auch die meiste Haftung). Größere Auftragsverarbeiter bieten ihre Dienste jedoch manchmal auf einer „friss oder stirb“-Basis an und zögern möglicherweise, ihre Standard-Datenverarbeitungsvereinbarung für kleinere Kunden zu ändern.

Es ist völlig legal, dass ein für die Verarbeitung Verantwortlicher eine vom Auftragsverarbeiter erstellte Datenverarbeitungsvereinbarung unterzeichnet – solange die Datenverarbeitungsvereinbarung alle zwingenden Bedingungen des Artikels 28 der DSGVO enthält.

Doch unabhängig davon, ob es sich beim Auftragsverarbeiter um einen Technologieriesen wie Google oder ein kleines Startup ohne DSGVO-Erfahrung handelt, muss der Verantwortliche sicherstellen, dass zum Schutz der in seiner Verfügung befindlichen personenbezogenen Daten eine gültige Datenschutzvereinbarung vorliegt.

Wichtige Erkenntnisse und Zusammenfassung

In diesem Artikel haben wir Ihnen geholfen, Folgendes zu verstehen:

• Ein DPA ist ein verbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter gemäß der DSGVO, der die rechtmäßige Verarbeitung personenbezogener Daten gewährleistet.
• Verantwortliche überwachen die Zwecke und Methoden der Datenverarbeitung, während Auftragsverarbeiter im Auftrag der Verantwortlichen auf Grundlage dokumentierter Anweisungen handeln.
• DPAs sind immer dann erforderlich, wenn ein Auftragsverarbeiter personenbezogene Daten für einen Verantwortlichen verarbeitet, beispielsweise bei Cloud-Diensten, HR-Plattformen oder Marketing-Tools.
• DPAs müssen Einzelheiten zu den Verarbeitungstätigkeiten, den Pflichten des Verarbeiters und den Regeln für Unterverarbeiter enthalten.
• Verantwortliche sollten Datenflüsse abbilden, Vereinbarungen regelmäßig überprüfen und sicherstellen, dass die Datenschutzbehörden die DSGVO-Anforderungen erfüllen.

DPAs sind für die Einhaltung der DSGVO und den Schutz personenbezogener Daten von entscheidender Bedeutung. Buchen Sie noch heute eine Demo , um zu erfahren, wie Privasee Ihnen dabei helfen kann, Ihren gesetzlichen Verpflichtungen gegenüber Datensubjekten nachzukommen. 

Häufig gestellte Fragen zu Auftragsverarbeitungsvereinbarungen

Welche Strafen drohen, wenn keine DPA vorhanden ist?

Wenn zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter keine gültige Datenverarbeitungsvereinbarung besteht, kann die Datenschutzbehörde eine Geldbuße von bis zu 10 Millionen Euro (8,7 Millionen Pfund) oder 2 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist.

Wie oben erwähnt, kann gegen einen Auftragsverarbeiter auch eine Geldstrafe verhängt werden, wenn er gegen die Bedingungen einer Datenschutzvereinbarung verstößt oder seinen Sicherheitsverpflichtungen nicht nachkommt.

Im August 2024 verhängte das britische Information Commissioner’s Office (ICO) eine vorläufige Geldstrafe in Höhe von 6 Millionen Pfund gegen einen Auftragsverarbeiter , die Advanced Computer Software Group Ltd, wegen des mutmaßlichen Verstoßes gegen Artikel 32 der britischen DSGVO.

Kann eine DPA rückwirkend angewendet werden?

Nein, eine Datenverarbeitungsvereinbarung muss vorliegen, bevor der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet . 

Dies gilt auch für Auftragsverarbeiter, die eine kostenlose Testversion ihrer Dienste anbieten. Wenn bei der kostenlosen Testversion personenbezogene Daten im Spiel sind, müssen diese durch eine Datenverarbeitungsvereinbarung abgedeckt sein.

Wie oft sollten DPAs überprüft und aktualisiert werden?

Die DSGVO legt nicht fest, wie oft DPAs überprüft werden sollen. Die Parteien können eine regelmäßige Überprüfung vereinbaren. Wenn bei der Verarbeitung besonders sensible personenbezogene Daten verarbeitet werden, ist eine regelmäßige Überprüfung der DPA sinnvoll.

Eine DPA sollte aktualisiert oder eine neue DPA implementiert werden, wenn sich die Verarbeitungsaktivität wesentlich ändert . Zum Beispiel: 

• Der Auftragsverarbeiter stellt dem Verantwortlichen neue Dienste zur Verfügung
• Der Verantwortliche erweitert die vom Auftragsverarbeiter verarbeiteten Datenarten
• Der Auftragsverarbeiter wird von einem anderen Unternehmen übernommen oder wechselt den Standort

Verantwortliche sollten die Einrichtung eines Prozesses zur regelmäßigen Überprüfung von DPAs in Erwägung ziehen.

Was ist der Unterschied zwischen einer DPA und einer Datenfreigabevereinbarung?

Während eine DPA zwischen einem Verantwortlichen und einem Auftragsverarbeiter (oder einem Auftragsverarbeiter und einem Unterauftragsverarbeiter) umgesetzt wird, wird eine Datenfreigabevereinbarung im Allgemeinen zwischen zwei Verantwortlichen umgesetzt.

Vereinbarungen zur Datenfreigabe sind gemäß der DSGVO nicht zwingend vorgeschrieben, können jedoch eine gute Möglichkeit sein, die Haftung zu verwalten und Verantwortlichkeiten bei der Weitergabe von Daten an eine andere Organisation zu klären.

Beispielsweise könnten zwei Werbeunternehmen eine Vereinbarung zum Datenaustausch treffen, wenn sie Datensätze zu Zwecken der Datenanreicherung kombinieren. Jedes Unternehmen benötigt eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten und wird die daraus resultierenden Analysedaten für seine eigenen Zwecke verwenden.

Eine Datenfreigabevereinbarung ist nicht dasselbe wie eine Vereinbarung zur gemeinsamen Verarbeitung , die erforderlich ist, wenn zwei Verantwortliche gemeinsam entscheiden, wie und warum dieselben personenbezogenen Daten verarbeitet werden.

Best Practices für die Implementierung von Datenverarbeitungsvereinbarungen

DPAs sind ein Eckpfeiler des Datenschutzes. Verantwortliche sollten die folgenden Schritte in Betracht ziehen, um sicherzustellen, dass alle relevanten Aktivitäten durch eine gültige DPA abgedeckt sind:

• Datenzuordnung : Wenn Sie die Datenflüsse Ihres Unternehmens verstehen, können Sie leichter erkennen, welche Dienstanbieter als Auftragsverarbeiter fungieren. Verwenden Sie die Datenzuordnung , um die Transparenz aller Datenverarbeitungsaktivitäten sicherzustellen, und stellen Sie sicher, dass alle Auftragsverarbeiter im Rahmen einer DPA handeln.
• Überprüfungsprozess : Überprüfen Sie Ihre DPAs regelmäßig. Wenn ein Auftragsverarbeiter Ihr Unternehmen über eine Änderung seiner Dienste informiert, stellen Sie sicher, dass Ihre DPA gültig und relevant bleibt.
• Aufbewahrung von Aufzeichnungen : Sorgen Sie dafür, dass Ihre DPAs gut organisiert sind und für die Datenschutz- oder Rechtsabteilungen Ihres Unternehmens zugänglich sind. Verknüpfen Sie Ihr DPA-Repository mit Ihren Aufzeichnungen von Verarbeitungstätigkeiten (RoPA), um eine gute Datenverwaltung zu gewährleisten.

Weitere Informationen und Ressourcen zu Datenverarbeitungsvereinbarungen

• Hinweise zu Auftragsverarbeiterverträgen vom Information Commissioner's Office (ICO) : Hinweise des britischen ICO zu Verträgen gemäß Artikel 28 (beachten Sie, dass das ICO den Begriff „DPA“ nicht verwendet).
• Standard-DPA-Klauseln der dänischen Datenschutzbehörde (direkter Download-Link für Word-Dokument): Die dänische Aufsichtsbehörde hat einige Musterklauseln veröffentlicht, die zwischen Verantwortlichen und Auftragsverarbeitern umgesetzt werden können .
• Leitlinien des Europäischen Datenschutzausschusses (EPDB) 07/2020 : Diese Leitlinien des EDSB bieten eine umfassende Analyse der Verantwortlichen und Auftragsverarbeiter im Rahmen der DSGVO.