Data Processor

Ein Data Processor bzw. Datenverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag des Data Controller bzw. Datenverantwortlichen verarbeitet. Die Rolle sollte in einer sogenannten Datenverarbeitungsvereinbarung (Data Processing Agreement (DPA)) geregelt werden, die zwischen dem Data Controller und dem Data Processor unterzeichnet wird.

Unter anderem der Data Processor:

  • Muss über angemessene Informationssicherheitsmaßnahmen verfügen
  • Sollten Subprozessoren nicht ohne vorherige Zustimmung des Controllers einschalten
  • Muss im Falle einer Untersuchung mit den Behörden zusammenarbeiten
  • Datenschutzverletzungen müssen dem Controller unverzüglich gemeldet werden, sobald sie davon Kenntnis erhalten
  • Möglicherweise muss ein obligatorischer Datenschutzbeauftragter ernannt werden
  • Muss dem Data Controller die Möglichkeit geben, Audits durchzuführen, um die Einhaltung der DSGVO zu überprüfen
  • Muss Aufzeichnungen über alle Verarbeitungsaktivitäten führen
  • Muss den grenzüberschreitenden EU-Datenübertragungsregeln entsprechen (falls erforderlich)
  • Muss dem Data Controller helfen, die Rechte der betroffenen Person einzuhalten (einschließlich der Bearbeitung von Anfragen der betroffenen Person)
  • Muss den für die Datenverarbeitung Verantwortlichen bei der Bewältigung der Folgen von Datenverletzungen unterstützen
  • Muss alle personenbezogenen Daten am Ende des Vertrags löschen oder zurückgeben, wie vom Data Controller angefordert
  • Muss den Controller informieren, wenn die Verarbeitungsanweisungen gegen die DSGVO verstoßen