Ein Data Processor bzw. Datenverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag eines Data Controllers (Datenverantwortlichen) verarbeitet. Die DSGVO nennt diese Position auch Auftragsverarbeiter. Beide Rollen im Umgang mit personenbezogenen Daten regelt der Data Processing Agreement (DPA), auch Auftragsverarbeitungsvertrag (AVV) genannt. Die DSGVO verpflichtet den Datenverantwortlichen und den Data Processor einen DPA zu unterzeichnen und die gegenseitigen Rechte und Pflichten darin zu benennen.
Data Processor:
- Setzt angemessene Maßnahmen zur Informationssicherheit um.
- Schaltet keine weitere Datenverarbeiter ein, wenn der Verantwortliche es nicht genehmigt.
- Arbeitet mit den Behörden im Fall einer Kontrolle zusammen.
- Meldet unverzüglich jegliche Datenschutzverletzungen dem Verantwortlichen.
- Benennt mit dem Verantwortlichen einen Datenschutzbeauftragten (falls erforderlich).
- Ermöglicht dem Verantwortlichen, Audits seiner DSGVO-Compliance durchzuführen.
- Dokumentiert alle Verarbeitungsaktivitäten.
- Befolgt die europäischen Vorschriften für den grenzüberschreitenden Datentransfer (wenn erforderlich).
- Hilft dem Datenverantwortlichen, die Rechte und Freiheiten der betroffenen Person zu schützen. Diese Pflicht bedeutet auch, dass er Anfragen der betroffenen Personen bearbeitet.
- Bewältigt zusammen mit dem Verantwortlichen die Folgen eines Datenschutzverstoßes.
- Löscht alle personenbezogenen Daten bei Vertragsende oder gibt sie zurück (je nach Wahl des Datenverantwortlichen).
- Informiert den Verantwortlichen, wenn die Verarbeitungsprozesse nicht mit den DSGVO-Richtlinien übereinstimmen.
Mehr zum Thema Data Processor im Piwik PRO-Blog:
- Die 7 wichtigsten Bestandteile eines Data Processing Agreement
- Eine Checkliste, die hilft, einen gesetzeskonformen Data Processing Agreement vorzubereiten
Was Sie noch interessieren könnte:
5 Alternativen zu Google Analytics – kostenlos & kostenpflichtig →