Einen Data Processing Agreement (DPA), also einen Auftragsverarbeitungsvertrag (AVV) schließen Sie laut DSGVO dann ab, wenn Sie personenbezogene Daten an einen Dienstleister weitergeben, diese zu verarbeiten.
Ein Data Processing Agreement sichert beide Parteien ab und regelt für den Datenverantwortlichen und Datenverarbeiter die spezifischen Merkmale im Umgang mit personenbezogenen Daten. Dazu zählen etwa Umfang und Zweck der Datenspeicherung sowie -verarbeitung. Zusätzlich legt der DPA Pflichten für beide Parteien fest, die von Datenschutzgesetzen, wie der DSGVO oder dem revidierten Schweizer Datenschutzrecht, vorgegeben werden.
In diesem Artikel stellen wir die 7 wichtigsten Bestandteile eines Data Processing Agreement (DPA) vor. Damit gewährleisten Sie die Datensicherheit, respektieren Datenschutzrechte Ihrer Kunden und sammeln Daten stets im Rahmen der DSGVO.
Wann benötigen Sie einen Data Processing Agreement?
Ein schriftlicher Vertrag ist immer dann erforderlich, wenn eine datenverarbeitende Organisation, im Auftrag eines datenverantwortlichen Partners, personenbezogene Daten verwaltet oder speichert. Beispielsweise, wenn Sie mit einem Analytics-Anbieter zusammenarbeiten oder ein externes CRM-System einsetzen.
Der Vertrag stellt sicher, dass beide Parteien ihre jeweiligen Rollen im Umgang mit den Daten kennen. Beide Organisationen stecken klare Grenzen ab, wozu sie sich verpflichten und was sie verantworten..
Ist der DPA ein eigenständiges Dokument?
Hierzu gibt es keine gesetzlichen Vorgaben. In der Praxis nehmen Organisationen häufig die wichtigsten Punkte in bestehende Kooperationsverträge auf. Eine Vertragsanlage oder ein separater Vertrag erleichtern das umfangreiche Thema zu behandeln.
Was beinhaltet ein Data Processing Agreement?
Die DSGVO gibt einige Regeln und Anhaltspunkte zum Data Processing Agreement vor. Auf der Basis und mithilfe unserer Expertise haben wir eine Liste der wichtigsten Bestandteile eines DPA erstellt.
Dieser Leitfaden bietet Ihnen nützliche Tipps, ist aber kein allgemeingültiges, vorgefertigtes Dokument. Berücksichtigen Sie daher die branchenspezifischen Vorschriften und Ihr individuelles Geschäftsumfeld.
1) Generelle Klauseln
Wie in jedem Vertrag stecken Sie zunächst die vorkommenden Begriffe ab:
- Vertragsgegenstand – Listen Sie alle Aktionen auf, die in Bezug zum vertraglichen Verhältnis beider Vertragspartner stehen
- Umfang, Art und Dauer der Datenverarbeitung – Führen Sie die verschiedenen Vorgänge und Gründe der Datenverarbeitung an (z. B. um Nutzerverhalten auf Ihrer Website zu analysieren oder um die User Experience zu personalisieren)
- Verantwortlichkeit – Geben Sie an, wer sicherstellt, dass die verarbeiteten Daten DSGVO-konform gespeichert werden (diese Pflicht sollte bei dem Datenverantwortlichen liegen)
- Betroffene Personen der Datenverarbeitung – Benennen Sie den Umfang der betroffenen Personen (handelt es sich z. B. um Bankkunden, Patienten, Minderjährige, Website-Besucher oder fallen die Personen in mehrere Kategorien)
- Datentypen, die verarbeitet werden – Zählen Sie die Datenkategorien auf, die der Datenverarbeiter verwendet, z. B. technische Eigenschaften des Browsers, Verhaltensdaten zu Website-Aktivitäten und IP-Adressen
pro tip
Der Datenverantwortliche soll den Datenverarbeiter informieren, sobald Daten einer speziellen Kategorie gesammelt werden. Einige personenbezogene Daten unterliegen strengeren Auflagen bei der Verarbeitung. Mehr zu den Datenunterschieden finden Sie in unserem Blogartikel: Was sind personenbezogene Daten, PII und Non-PII?
- Datenspeicherung – Die DSGVO beschränkt das Speichern personenbezogener Daten außerhalb der EU. Es ist ratsam, dem Datenverarbeiter vertraglich zu untersagen, Daten ohne spezifisches Einverständnis in einem Nicht-EU-Land zu speichern. Gegebenenfalls behandeln Sie dieses Thema als eigene Klausel oder als eine Vertragsanlage.
2020 hob der Europäische Gerichtshof den Privacy Shield (den bisherigen Rechtsrahmen zum Datentransfer aus der EU und der Schweiz in die USA) auf. Dies erschwerte Datenübertragungen zwischen den Ländern. Lesen Sie hier mehr darüber: Der Status des EU-US Datentransfers nach Privacy Shield.
- Vertragslaufzeit und Bedingungen bei Vertragsbeendigung – Der Datenverarbeiter verpflichtet sich bei Vertragsende sämtliche personenbezogenen Daten aus der Datenbank zu löschen oder diese dem Datenverwalter zu übergeben. Sie listen Fälle auf, wann die Parteien den Vertrag vorzeitig beenden dürfen. Dazu zählen Situationen, wenn der Datenverantwortliche keine Information über einen Datenschutzverstoß erhält oder der Datenverarbeiter unerlaubt Prozesse ändert.
2) Rechte und Pflichten des Datenverantwortlichen
In diesem Teil des Vertrags begrenzen Sie (konform zu Artikel 24 der DSGVO) die Rechte und Pflichten für den Datenverantwortlichen:
- Laut DSGVO ist der Datenverantwortliche dafür zuständig, einen gesetzeskonformen Prozess festzulegen. Er gewährleistet u. a. die Rechte betroffener Personen (inkl. dem Einholen von Einwilligungen und dem Beantworten von Anfragen).
- Der Datenverantwortliche unterweist den Datenverarbeiter sowie seine Mitarbeiter, wie sie vertragskonform Daten handhaben sollen.
3) Rechte und Pflichten des Datenverarbeiters
Im Auftragsverarbeitungsvertrag benennen Sie ebenfalls die Rechte und Pflichten des Datenverarbeiters (festgelegt in DSGVO Artikel 28). Der Datenverarbeiter:
- Versichert einen angemessenen Datenschutz.
- Beauftragt keinen weiteren Datenverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen.
- Arbeitet mit den Behörden im Fall einer Kontrolle zusammen.
- Meldet unverzüglich jegliche Datenschutzverletzungen dem Verantwortlichen.
- Ernennt einen Datenschutzbeauftragten.
- Ermöglicht dem Datenverantwortlichen die Datenprüfung, um DSGVO-Compliance sicherzustellen.
- Dokumentiert alle Verarbeitungsaktivitäten.
- Befolgt die europäischen Vorschriften für den grenzüberschreitenden Datentransfer (wenn erforderlich).
- Arbeitet mit dem Datenverantwortlichen zusammen, um die Rechte und Freiheiten betroffener Personen zu schützen, einschließlich der Verarbeitung von Datenschutzanfragen).
- Hilft dem Datenverantwortlichen, die möglichen Folgen eines Datenschutzverstoßes zu bewältigen.
- Löscht bei Vertragsende die Daten oder retourniert alle personenbezogenen Daten (je nach Wahl des Datenverantwortlichen).
- Informiert den Datenverantwortlichen, falls die Verarbeitungsprozesse nicht DSGVO-konform sind.
Stellen Sie sicher, dass der DPA keinen Raum für Missinterpretationen lässt. Achten Sie auf folgende Aspekte:
- Legen Sie Fristen für die Bearbeitung von Anfragen betroffener Personen fest. Dasselbe betrifft den Bericht über einen Datenschutzverstoß.
- Fordern Sie den Datenverarbeiter an, den Namen und die Kontaktdaten seines Datenschutzbeauftragten bekanntzugeben.
- Legen Sie Details zu Kontrollen durch den Datenverantwortlichen fest (Zeitabstände und Kostenübernahme).
Dank solcher Details weiß der Datenverarbeiter genau, was Sie von ihm erwarten.
4) Technische und organisatorische Maßnahmen
Als Nächstes legen Sie Maßnahmen fest, die beide Parteien treffen, um einen angemessenen Datenschutz zu gewährleisten. Nach Artikel 32 der DSGVO sollen der Datenverantwortliche und der Datenverarbeiter:
- Personenbezogene Daten pseudonymisieren und verschlüsseln.
- Die Systeme und Dienste, in deren Rahmen die Daten verarbeitet werden, so gestalten, dass sie dauerhaft verfügbar, stabil, vertraulich und unverletzlich bleiben.
- Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen.
- Ein Verfahren entwickeln, mit dem sie regelmäßig überprüfen und bewerten, ob die technischen und organisatorischen Maßnahmen wirken und zu der Sicherheit der Datenverarbeitung beitragen.
Dieser Vertragsbestandteil gewährt, dass der Datenverarbeiter alle technischen und organisatorischen Maßnahmen umsetzt, bevor er personenbezogene Daten verwaltet.
Solche Klausel schützen auch den Datenverantwortlichen im Fall eines Datenschutzverstoßes. Der Datenverarbeiter haftet voll für die von ihm verschuldeten Verstöße.
Aufgrund der Vielfalt dieser Maßnahmen empfehlen wir, die Anforderungen im Anhang der DPA zu beschreiben (siehe Punkt 1).
5) Untervertragspartner
Eine entsprechende Vertragsklausel reguliert die Weitergabe der personenbezogenen Daten an Dritte:
- Der Datenverarbeiter holt eine schriftliche Einwilligung ein, bevor er eine Drittpartei als Untervertragspartner einsetzt.
- Der Vertrag zwischen dem Datenverarbeiter und dem Untervertragspartner gewährleistet ein Maß an Datenschutz, das der Datenschutzebene in der gesetzten DPA gleicht.
- Der Datenverarbeiter tritt gegenüber der Drittpartei als der Datenverantwortliche auf und überprüft regelmäßig (z. B. alle 12 Monate) ihre DSGVO-Compliance.
Den Untervertragsparteien widmen Sie am besten eine separate Anlage (siehe Punkt 2).
6) Schlussklausel
Eine Schlussklausel finden wir in jedem Vertrag. Sie gibt an, dass beide Parteien jeglichen Änderungen zustimmen. Im Fall eines DPA definiert sie auch in der Regel, dass dieses Dokument alle anderen Absprachen zwischen dem Datenverarbeiter und Datenverantwortlichen ersetzt. Dadurch lassen Sie keinen Raum für Fehlschlüsse.
7) Anlagen
Die bereits erwähnten Anlagen vervollständigen den Data Processing Agreement. Sie ergänzen und erläutern die vielschichtigen Aspekte des Vertrags.
Anlage 1 – Technische und organisatorische Maßnahmen
Anlage 1 ergänzt die DPA-Klauseln, die mit den technischen und organisatorischen Maßnahmen zusammenhängen. Hier beweist der Datenverarbeiter, dass er dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste gewährleistet. Zusätzlich verpflichtet er sich, ein Verfahren einzuführen, das stetig überprüft und bewertet, ob die technischen und organisatorischen Maßnahmen wirken. Mehr dazu finden Sie im Artikel 32 der DSGVO.
Um Daten DSGVO-konform zu verarbeiten, beachten Sie folgende Punkte:
Vertraulichkeit
Der Datenverarbeiter beschreibt:
- Die Struktur des Rechenzentrums, das personenbezogene Daten speichern soll
- Berichte zu Sicherheitskontrollen
- Physischer Zugang zu Büroräumen und umgesetzte Sicherheitsmaßnahmen
- Fernzugriff auf die Arbeitsumgebung
- Zugriffskontrolle für Software
Integrität
Der Datenverarbeiter belegt, dass die personenbezogenen Daten während eines elektronischen Datentransfers nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden.
Verfügbarkeit und Belastbarkeit
Der Datenverarbeiter beschreibt seine Backup-Richtlinien, sowie weitere Maßnahmen, die Redundanz, Wiederherstellbarkeit und hohe Verfügbarkeit der Daten sicherstellen.
Verfahren zu regelmäßigen Überprüfungen
Der Datenverarbeiter stellt ein Konzept vor, anhand dessen er die technischen und organisatorischen Maßnahmen regelmäßig überprüft und bewertet.
Anlage 2 – Liste der Untervertragspartner
Dieser Anhang enthält eine Liste mit allen Drittparteien, mit denen der Datenverarbeiter zusammenarbeitet. Vergewissern Sie sich, dass die Liste den vollständigen Namen und Adresse jedes Untervertragspartners beinhaltet.
WHITEPAPER
Die 7 wichtigsten Bestandteile eines DPA:
Eine praktische Checkliste, mit der Sie einen gesetzeskonformen Data Processing Agreement vorbereiten.
Fazit
In diesem Artikel stellten wir Ihnen die wichtigsten Bestandteile eines Data Processing Agreement vor. Trotzdem könnten noch weitere Fragen bestehen, da jede Organisation und jede Branche unterschiedlich sind. Klare Regeln sichern eine ordentliche Zusammenarbeit zwischen Datenverarbeiter und Verantwortlichen.
Wir stehen Ihnen gerne zur Verfügung und beantworten Ihnen gerne jede Frage zu DPAs.
Wenn Sie unterdessen mehr über das Sammeln von Daten innerhalb der Grenzen der DSGVO erfahren möchten, empfehlen wir folgende Artikel:
6 Wege wie Sie Daten online sammeln und der Vergleich 5 beliebter Analytics Plattformen→
Was Sie vielleicht noch interessieren könnte:
5 Alternativen zu Google Analytics – kostenlos & kostenpflichtig →