Blogs
Datenschutz und Compliance Essentials
Alex Franch

Auftragsverarbeitungsvereinbarung vs. Datenschutzrichtlinie

Auftragsverarbeitungsvereinbarung vs. Datenschutzrichtlinie

Rubrik 2
Rubrik 3
Diesen Inhalt teilen

Oft wird der Unterschied zwischen einer Datenverarbeitungsvereinbarung und einer Datenschutzrichtlinie verwechselt. In diesem Artikel werden wir die wichtigsten Unterschiede erläutern und aufzeigen, wie sich eine Datenverarbeitungsvereinbarung von den Allgemeinen Geschäftsbedingungen oder den Nutzungsbedingungen unterscheidet.

Eine Datenverarbeitungsvereinbarung (DPA), die manchmal auch als (Datenverarbeitungszusatz oder Datenverarbeitungsbedingungen) bezeichnet wird, ist eine Vereinbarung zwischen einem für die Verarbeitung Verantwortlichen und einem Datenverarbeiter. Diese Vereinbarung unterscheidet sich im Allgemeinen von den Allgemeinen Geschäftsbedingungen oder Nutzungsbedingungen eines Unternehmens oder einer Website und von einer Datenschutz- und Cookie-Richtlinie.

Allgemeine Geschäftsbedingungen vs. Datenverarbeitungsvertrag

Bedingungen und Konditionen

In den Allgemeinen Geschäftsbedingungen stehen normalerweise Dinge wie:

  • Die Regeln, die Sie für den Zugang zu dem Dienst beachten müssen
  • Welche Dienstleistung wird erbracht?
  • Wie viel Sie zahlen werden
  • Die Haftung für den Fall, dass etwas schief geht usw...

Datenverarbeitungsvereinbarung

Eine Datenverarbeitungsvereinbarung ist vergleichbar mit den Allgemeinen Geschäftsbedingungen, legt aber die Regeln für den Austausch personenbezogener Daten zwischen zwei Unternehmen fest:

  • Welche personenbezogenen Daten werden weitergegeben?
  • Werden diese Daten das Vereinigte Königreich oder den Europäischen Wirtschaftsraum verlassen?
  • welche Sicherheitsmaßnahmen (auch technische und organisatorische Maßnahmen genannt) zum Schutz dieser Datenübertragung getroffen werden
  • Welche Unterauftragsverarbeiter (Dritte) werden die Daten bei der Erbringung der Dienstleistung ebenfalls verarbeiten?
  • die Haftung für den Fall, dass etwas schief geht
  • die Verantwortlichkeiten des für die Verarbeitung Verantwortlichen
  • die Verantwortlichkeiten des Verarbeiters
  • Andere wichtige Informationen

Artikel 28 der Datenschutz-Grundverordnung legt die Regeln fest, die Auftragsverarbeiter bei der Verarbeitung von Daten im Auftrag des für die Verarbeitung Verantwortlichen befolgen müssen.

Datenschutzerklärung vs. Datenverarbeitungsvertrag

Eine Datenschutzrichtlinie beschreibt hauptsächlich, wie Sie personenbezogene Daten verarbeiten, wenn Sie der für die Verarbeitung Verantwortliche sind, während eine Datenverarbeitungsvereinbarung in den meisten Fällen (insbesondere bei SaaS) beschreibt, wie Daten verarbeitet werden, wenn ein Verarbeiter einen Dienst anbietet oder wenn personenbezogene Daten von einem Unternehmen an ein anderes übertragen werden.

Hotjar - SaaS-Beispiel

Hotjar - ein beliebtes Analysetool ist ein Codeschnipsel, den Sie in die Website von Unternehmen A einfügen können, um aufzuzeichnen, wie ein Nutzer diese Website nutzt, um sie zu optimieren. In diesem Szenario ist Hotjar ein Auftragsverarbeiter , da es im Auftrag von Unternehmen A (dem für die Verarbeitung Verantwortlichen) Daten über die Nutzung der Website sammelt.

Die DSGVO besagt, dass, bevor Hotjar mit der Verarbeitung der Daten im Auftrag von Unternehmen A beginnen kann, schriftliche Anweisungen vorliegen müssen, was mit diesen Daten geschehen darf - diese Vereinbarung wird als Datenverarbeitungsvertrag bezeichnet .

Darüber hinaus ist Hotjar ein großes Unternehmen, das auch in anderen Situationen als für die Verarbeitung Verantwortlicher fungiert, z. B. wenn es seine eigenen Website-Besucher hat und Informationen über seine Kunden, Mitarbeiter und andere Personen verarbeitet, weshalb es gemäß der DSGVO auch eine Datenschutzrichtlinie haben muss, die offenlegt, wie es all diese Informationen verarbeitet.

Buchhalter - Dienstleistungsanbieter Beispiel

Die Accountants LTD führen die Lohn- und Gehaltsabrechnung für Unternehmen A durch. Da Unternehmen A die Accountants LTD mit der Durchführung der Lohn- und Gehaltsabrechnung beauftragt, fungieren die Accountants als Auftragsverarbeiter für Unternehmen A, das der für die Verarbeitung Verantwortliche ist. In dieser Situation muss vor der Übermittlung der Daten eine Datenverarbeitungsvereinbarung geschlossen werden.

Internationale Datenübertragungen

Bei der Erstellung einer Datenverarbeitungsvereinbarung müssen wir prüfen, ob für die Erbringung dieser Dienstleistung Informationen außerhalb des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs (UK) oder eines Landes mit Angemessenheitsstatus (AC) übermittelt werden müssen. Dies wird dann als internationale Datenübermittlung definiert.

Beachten Sie, dass die Übertragung vom Controller (Unternehmen A) zum Prozessor (Hotjar) oder umgekehrt erfolgen kann .

Wenn eines der beiden Unternehmen seinen Sitz außerhalb des EWR, des Vereinigten Königreichs oder der Beitrittsländer hat, müssen wir prüfen, ob wir die Standardvertragsklauseln (SCC) oder das International Data Transfer Agreement (IDTA) des Vereinigten Königreichs anwenden müssen.

Standardvertragsklauseln

Die Standardvertragsklauseln (SCC) sind eine Reihe von Klauseln, die einer Datenverarbeitungsvereinbarung hinzugefügt werden müssen, wenn Informationen außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Diese Klauseln zielen darauf ab, den Daten außerhalb der Europäischen Union ein ähnliches Maß an Sicherheit zu geben wie innerhalb der Europäischen Union, wenn sie der EU-DSGVO unterliegen. Für internationale Übermittlungen gibt es vier Module, die je nach der Beziehung zwischen den Parteien, die die Daten übermitteln, ausgewählt werden müssen. Mehr darüber erfahren Sie in unserem Blogbeitrag hier (in Kürze).

UK Internationale Datenübertragungsvereinbarung/Ergänzung

Das UK International Data Transfer Agreement/Addendum muss ebenfalls an Ihre Datenverarbeitungsvereinbarung angehängt werden, wenn Sie Daten aus dem Vereinigten Königreich außerhalb des Vereinigten Königreichs, des EWR oder der AC verarbeiten. Es gibt zwei Versionen dieser Klauseln, von denen eine eine Vereinbarung ist, die hinzugefügt werden muss, wenn Daten aus dem Vereinigten Königreich außerhalb des Vereinigten Königreichs, des EWR oder der BL übermittelt werden, aber keine Standardvertragsklauseln bereits angehängt sind, und das Addendum , das an die SCCs angehängt werden kann.

Was ist zu tun, wenn Sie ein SaaS-Unternehmen sind?

Wenn Sie ein SaaS-Unternehmen sind, das personenbezogene Daten als Teil des Dienstes, den Sie Ihren Kunden anbieten, verarbeitet. Es ist sehr wahrscheinlich, dass Sie die Informationen als Datenverarbeiter verarbeiten und eine Datenverarbeitungsvereinbarung benötigen .

Checkliste Datenverarbeitungsvertrag

  • Wir haben die Rollen in der DSGVO festgelegt (ist der Absender ein Verantwortlicher oder ein Auftragsverarbeiter, ist der Empfänger ein Verantwortlicher oder ein Auftragsverarbeiter).
  • Wir haben sie mit unseren Allgemeinen Geschäftsbedingungen verknüpft.
  • Wir haben die Bedingungen oder die Dauer der Verarbeitung personenbezogener Daten festgelegt.
  • Wir haben eine Frist für die Meldung von Verstößen festgelegt.
  • Wir haben unsere Meldefrist für Unterauftragsverarbeiter festgelegt.
  • Wir haben entschieden, ob wir eine Haftungsobergrenze einführen wollen oder nicht, und wenn ja, haben wir den Höchstbetrag hinzugefügt.
  • Wir haben das geltende Recht und den Gerichtsstand der Datenverarbeitungsvereinbarung erläutert.
  • Wir haben die geltenden Datenschutzbestimmungen erläutert (UK GDPR, EU GDPR, CCPA, CPRA...).
  • Wir haben die Dienste beschrieben, die mit der Verarbeitung personenbezogener Daten verbunden sind.
  • Wir haben die Art und den Zweck der Verarbeitung erläutert.
  • Wir haben erläutert, welche personenbezogenen Daten übermittelt werden.
  • Wir haben erklärt, wer die Personen sind, deren personenbezogene Daten übermittelt werden.
  • Wir haben angegeben, welche Übermittlungsmechanismen wir nutzen werden, wenn die Daten außerhalb des EWR, des Vereinigten Königreichs oder des BL übermittelt werden.
  • Wir haben die Sicherheitsmaßnahmen (technische und organisatorische Maßnahmen) zum Schutz personenbezogener Daten erläutert.
  • Wir haben die Unterauftragsverarbeiter, die wir einsetzen werden, zusammen mit dem Zweck ihres Einsatzes, dem Land, in dem die Daten gespeichert werden, und den Sicherheitsmaßnahmen des Unterauftragsverarbeiters (oder den technischen und organisatorischen Maßnahmen) erläutert.
  • Sie haben die Pflichten des für die Verarbeitung Verantwortlichen dargelegt
  • Sie haben die Verpflichtungen des Verarbeiters dargelegt

Eine Vorlage für die Checkliste (herunterladbar und als PDF exportierbar) finden Sie hier.

Datenverarbeitungsvertrag Vorlage

Eine Vorlage für eine Datenverarbeitungsvereinbarung finden Sie hier.

Wie kann Privasee helfen?

Privasee verfügt über ein Modul für Datenverarbeitungsvereinbarungen und Sicherheitsmaßnahmen, das Ihnen dabei helfen kann, alle erforderlichen Datenverarbeitungsverträge zu erstellen und sicherzustellen, dass sie die erforderlichen Bestimmungen enthalten:

  • Notwendige Klauseln einer Datenverarbeitungsvereinbarung
  • Bewerten Sie, ob Sie Standardvertragsklauseln benötigen
  • Prüfen Sie, ob Sie das UK International Data Transfer Agreement oder Addendum benötigen
  • Führen Sie eine Liste der Unterauftragsverarbeiter
  • Ihnen helfen, die für Sie günstigsten Bedingungen zu ermitteln
  • Halten Sie Ihre Datenverarbeitungsvereinbarung auf dem neuesten Stand, wenn sich etwas an der Gesetzgebung ändert (z. B. die Einhaltung der Fristen der jüngsten Aktualisierung der SCCs oder die Einführung der Verpflichtung, UK IDTAs hinzuzufügen)
  • Halten Sie Ihre Datenverarbeitungsvereinbarung auf dem neuesten Stand, wenn sich in Ihrem Unternehmen etwas ändert (Sie fügen neue Funktionen hinzu, ändern die Daten, die Sie zur Erbringung Ihrer Dienstleistung verwenden, oder fügen Tools und Dritte, die in Ihrem Unternehmen eingesetzt werden, hinzu oder entfernen sie)

Ausnahmen

Hinweis: Der Einfachheit halber haben wir in diesem Artikel nicht die Ausnahmen erläutert, die für Berufe wie Ärzte, Rechtsanwälte, Buchhalter (wenn sie Buchhaltung machen), Finanzberater und andere reglementierte Berufe gelten, die wahrscheinlich als unabhängige Kontrolleure und nicht als Verarbeiter handeln. Wir erklären Ihnen die Unterschiede aber gerne im Live-Chat!

Hinweis 2: In diesem Blogbeitrag haben wir den typischsten Anwendungsfall für eine Datenverarbeitungsvereinbarung zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter betrachtet, aber eine Datenverarbeitungsvereinbarung kann auch zwischen einem für die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter, von einem Auftragsverarbeiter zu einem Auftragsverarbeiter, von einem Auftragsverarbeiter zurück zu einem für die Verarbeitung Verantwortlichen oder von einem unabhängigen für die Verarbeitung Verantwortlichen zu einem anderen unabhängigen für die Verarbeitung Verantwortlichen erforderlich sein.

1. März 2023
Mehr erfahren

Verwandte Beiträge

Datenschutz und Compliance Essentials

Was sind Standardvertragsklauseln (SCCs)?

28. November 2024
Datenschutz und Compliance Essentials

Was ist eine GDPR-Richtlinienvorlage im Vereinigten Königreich?

2. September 2024
Datenschutz und Compliance Essentials

DSGVO-Konformität für B2B-Marketing

13. Juni 2023
Alle anzeigen
Mehr erfahren

Ausgewählte Beiträge

Showcase

Wie sieht der Beschaffungsprozess aus?

Januar 16, 2025
Showcase

Was ist eine DDQ?

Januar 15, 2025
Showcase

Was ist ein RFI?

22. Dezember 2024
Alle anzeigen