Was ist ein DPA? Datenverarbeitungsvereinbarungen erklärt

von: Etienne Cussol CIPP/E, CIPM Etienne Cussol CIPP/E, CIPM | Aktualisiert am: 25. Mai 2023

Beginnen Sie mit der Umsetzung von Compliance
Datenverarbeitungs-Vereinbarung-01

Wenn Ihr Unternehmen personenbezogene Daten von Nutzern sammelt und sich bei der Verarbeitung der Daten auf Dritte verlässt, benötigen Sie eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA), um Geldstrafen für die Nichteinhaltung verschiedener Datenschutzgesetze auf der ganzen Welt zu vermeiden.

Einfach ausgedrückt ist ein Datenverarbeitungsvertrag ein Vertrag zwischen einem Datensammler und den von ihm zur Datenverarbeitung eingesetzten Drittanbietern.

Im Folgenden erfahren Sie mehr darüber, was eine Datenverarbeitungsvereinbarung ist, wie sie aussieht und warum Ihr Unternehmen aufgrund der aktualisierten und neuen Datenschutzgesetze heute möglicherweise eine solche Vereinbarung benötigt.

Inhaltsübersicht
  1. Was ist ein Datenverarbeitungsabkommen (DPA)?
  2. Warum werden DPAs benötigt?
  3. Brauche ich eine Vereinbarung zur Datenverarbeitung?
  4. Wie kann ich eine DPA erstellen?
  5. Was muss ich in meine DPA aufnehmen?
  6. Wer unterschreibt eine DPA?
  7. Wie hoch sind die Bußgelder bei Nichtvorhandensein einer DPA?
  8. Beispiele für Datenverarbeitungsverträge
  9. Tipps für die Verhandlung eines DPA
  10. Datenverarbeitungsvertrag FAQ
  11. Zusammenfassung

Was ist ein Datenverarbeitungsabkommen (DPA)?

Eine Datenverarbeitungsvereinbarung - auch Datenverarbeitungszusatz oder DPA genannt - ist ein rechtsgültiger Vertrag, in dem Sie die Rechte und Pflichten der an der Datenverarbeitung beteiligten Parteien festlegen.

In den meisten Fällen schließt das Ihr Unternehmen und alle von Ihnen genutzten Dienste Dritter ein.

Ihr Unternehmen ist der Datensammler, und jedes Drittunternehmen, das Sie bei der Sammlung oder Verarbeitung von Daten unterstützt, ist der Datenverarbeiter.

Eine Datenverarbeitungsvereinbarung gibt den Nutzern die Gewissheit, dass Sie die Verantwortung für den Datenerfassungsprozess übernehmen, da Sie sicherstellen, dass die Drittverarbeiter, mit denen Sie zusammenarbeiten, ihre Daten gemäß den einschlägigen Gesetzen behandeln, verarbeiten und speichern.

Warum werden DPAs benötigt?

Datenverarbeitungsvereinbarungen sind notwendig, weil sie Ihr Unternehmen schützen, indem sie alle Drittverarbeiter, mit denen Sie zusammenarbeiten, vertraglich verpflichten, die einschlägigen Datenschutzgesetze einzuhalten.

Ohne eine DPA besteht die Gefahr, dass Ihr Unternehmen für die rechtswidrigen Datenverarbeitungspraktiken des Dritten zur Rechenschaft gezogen wird, falls es zu solchen Praktiken kommt.

Technisch gesehen sind Sie jedoch nicht gesetzlich verpflichtet, eine DPA zu verwenden. Diese Dokumente enthalten jedoch in der Regel Klauseln, die alle Richtlinien und Anforderungen der verschiedenen Datenschutzvorschriften abdecken, was es Ihnen erleichtert, die Einhaltung der Vorschriften zu gewährleisten.

Diese rechtlichen Vereinbarungen tragen auch dazu bei, die Erwartungen der Kunden in Bezug auf den Umgang Ihres Unternehmens mit ihren persönlichen Daten zu erfüllen.

Ursprünglich war die Verwendung einer Datenschutzbehörde zur Erstellung von Verträgen eine der entscheidenden Komponenten für die Einhaltung der allgemeinen Datenschutzverordnung (DSGVO).

Doch ab 2023 verlangen fünf weitere US-Bundesstaaten - Kalifornien, Utah, Virginia, Colorado und Connecticut - Verträge, die den DPAs ähnlich sind und Klauseln zu den folgenden Punkten enthalten müssen:

  • Zweck der Datenverarbeitung
  • Art der verarbeiteten Daten
  • Anweisungen zur Datenverarbeitung
  • Dauer der Datenverarbeitungsrechte
  • Verpflichtungen beider Parteien.

Im Vergleich dazu verlangt Artikel 28 der DSGVO , dass die für die Verarbeitung Verantwortlichen mit ihren Auftragsverarbeitern einen Vertrag abschließen, in dem es heißt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Die Pflichten und Rechte des für die Verarbeitung Verantwortlichen

Gesetze, die DPAs vorschreiben

Alle der folgenden Datenschutzgesetze und -vorschriften verlangen oder werden verlangen, dass Unternehmen Verträge mit dritten Datenverarbeitern abschließen, und die Verwendung einer Datenschutzbehörde erfüllt diese Verpflichtungen:

  • Allgemeine Datenschutzverordnung (DSGVO)
  • Der Data Protection Act 2018(UK DSGVO)
  • Kalifornisches Verbraucherschutzgesetz(CCPA)
  • Virginia Verbraucherdatenschutzgesetz(CDPA)
  • Allgemeines brasilianisches Datenschutzgesetz(LGPD)
  • Thailändisches Gesetz zum Schutz persönlicher Daten(PDPA)
  • Gesetz zum Schutz personenbezogener Daten in den VAE(PDPA)
  • Südafrikanisches Gesetz zum Schutz persönlicher Informationen(POPIA)
  • Colorado Privacy Act(CPA) - in Kraft ab 1. Juli 2023
  • Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA) - in Kraft ab 1. Juli 2023
  • Utah's Consumer Privacy Act(UCPA) - in Kraft bis 31. Dezember 2023

Die meisten dieser Vorschriften haben einen extraterritorialen Geltungsbereich, d. h. sie können auch dann für Ihr Unternehmen gelten, wenn Sie sich außerhalb der traditionellen territorialen Grenzen befinden.

Die spezifischen vertraglichen Verpflichtungen sind ebenfalls leicht unterschiedlich. Klicken Sie auf die Links, um mehr darüber zu erfahren, wie sich die einzelnen Rechtsvorschriften auf den Inhalt Ihrer Datenschutzvereinbarungen auswirken.

Brauche ich eine Vereinbarung zur Datenverarbeitung?

Möglicherweise benötigen Sie eine Datenverarbeitungsvereinbarung, um Strafen für die Nichteinhaltung der oben genannten Datenschutzgesetze zu vermeiden.

Die DSGVO gilt beispielsweise für jede Website oder App, die personenbezogene Daten sammelt und Besucher aus der Europäischen Union (EU) hat.

Gemäß Artikel 83 der DSGVO riskieren Unternehmen, die sich nicht an die Vorschriften halten, Geldstrafen von bis zu 20 Millionen Dollar oder 4 % des weltweiten Umsatzes - je nachdem, welcher Betrag höher ist.

Um diese Risiken zu vermeiden, befolgen Sie die Leitlinien für die Einhaltung der Bestimmungen von DSGVO , einschließlich der Erstellung einer Datenverarbeitungsvereinbarung.

Das geänderte CCPA verlangt auch einen Vertrag, wenn ein Unternehmen personenbezogene Nutzerdaten an Auftragnehmer, Dienstleister und Dritte weitergibt.

In den folgenden Abschnitten werden diese Begriffe definiert und ihr Zusammenhang mit den Datenschutzbestimmungen erläutert.

Auftragnehmer und Dienstleistungserbringer

Aufgrund der Änderungen des California Privacy Rights Act(CPRA) zum CCPA muss jede Einrichtung, die personenbezogene Daten im Auftrag eines Unternehmens verarbeitet oder personenbezogene Daten von Verbrauchern für geschäftliche Zwecke erhält, einen schriftlichen Vertrag haben. Sie können diese Richtlinie mit einer DPA erfüllen.

Es gibt jedoch einen Unterschied zwischen der Definition von Auftragnehmern und Dienstleistern im CCPA.

Rechtlich gesehen ist die Definition eines Auftragnehmers weiter gefasst als die Definition eines Dienstleisters. Sie schließt alle Personen ein , denen ein Unternehmen personenbezogene Daten von Verbrauchern zu Geschäftszwecken zur Verfügung stellt.

Auf der anderen Seite ist ein Dienstleistungsanbieter einfach eine Einrichtung, die Informationen für ein Unternehmen "verarbeitet".

Gemäß dem geänderten CCPA sollten die Auftragnehmer bestätigen, dass sie die vertraglichen Anforderungen verstanden haben.

Diese Verträge erfordern Abschnitte, die:

  • Verbot des Verkaufs oder der Weitergabe von personenbezogenen Daten
  • Verbot der Aufbewahrung, Verwendung oder Weitergabe von persönlichen Informationen außerhalb der direkten Geschäftsbeziehung zwischen dem Auftragnehmer und dem Unternehmen
  • Verbot der Kombination personenbezogener Daten aus verschiedenen Quellen
  • Benachrichtigung des Unternehmens über Unterauftragsverarbeiter
  • Verpflichten Sie die Unterauftragsverarbeiter durch einen schriftlichen Vertrag zu den gleichen Verarbeitungspflichten
  • Verpflichtet beide Parteien durch Bestimmungen zur Überwachung ihrer eigenen Rechtskonformität

Auch Auftragnehmer müssen personenbezogene Daten direkt vom Unternehmen erhalten, während Dienstleister personenbezogene Daten im Namen des Unternehmens erhalten können.

Dies bedeutet, dass die Unternehmen eine stärkere Kontrolle über die Auftragnehmer haben als über die Dienstleister, was durch die Verpflichtung der Auftragnehmer, ihr Verständnis der gesetzlichen Vertragsbedingungen nachzuweisen, noch verstärkt wird.

Dritte Parteien

Nach dem CCPA ist eine dritte Partei jedes Unternehmen, das nicht das ursprüngliche Unternehmen ist, mit dem der Verbraucher absichtlich interagiert und das seine persönlichen Daten als Teil seiner Interaktion mit dem ursprünglichen Unternehmen sammelt.

Dies bedeutet, dass Dienstleister und Auftragnehmer rechtlich als Dritte des Unternehmens betrachtet werden.

Nach dem CCPA müssen die Verträge Bestimmungen enthalten, die besagen, dass die Schutzmaßnahmen hinsichtlich der Nutzungsbeschränkungen und der Datenschutzbestimmungen für personenbezogene Daten in der gesamten Lieferkette bestehen bleiben.

Diese Verträge müssen auch ein gewisses Maß an Due-Diligence-Prüfung durch das Unternehmen ermöglichen, um sicherzustellen, dass die Verarbeitung durch Dritte mit den neuen CPRA-Verpflichtungen, mit denen der CCPA geändert wurde, in Einklang steht.

Dritte wiederum müssen das Unternehmen benachrichtigen, wenn es seinen geänderten CCPA-Verpflichtungen nicht mehr nachkommen kann, und dem Unternehmen das Recht einräumen, "angemessene und geeignete Maßnahmen" zu ergreifen, um die unbefugte Nutzung personenbezogener Daten in solchen Fällen abzustellen.

Wie kann ich eine DPA erstellen?

Möglicherweise arbeitet Ihr Unternehmen bei der Datenverarbeitung mit mehreren Dritten zusammen und benötigt daher mehrere Datenschutzvereinbarungen:

  • Suchen Sie einen Rechtsbeistand auf
  • Versuchen Sie eine verwaltete Lösung
  • Passen Sie eine kostenlose, herunterladbare Vorlage an
  • Sie können den Vertrag selbst verfassen (Do-it-yourself).

Rechtsbeistand suchen

Wenn Sie ein großes Unternehmen sind, das mit vielen Nutzerdaten zu tun hat, ist es am besten, wenn Sie sich an ein juristisches Team wenden, das Ihnen bei der Ausarbeitung einer DPA hilft.

Verwaltungslösung

Eine der schnellsten und einfachsten Methoden zur Erstellung einer DPA ist die Verwendung einer verwalteten Lösung, wie z. B. eines Data Processing Agreement Generator.

Für die Nutzung einer verwalteten Lösung müssen Sie zwar wahrscheinlich eine geringe monatliche oder jährliche Gebühr zahlen, aber dafür entfällt das Rätselraten und die Verwirrung beim Abschluss dieses technischen Vertrags.

Sie müssen nur ein paar einfache Fragen zu Ihrem Unternehmen und der Drittpartei beantworten, und das Programm erstellt auf der Grundlage Ihrer Antworten eine konforme DPA.

Vorlage

Wenn Sie eine DPA erstellen möchten, ohne einen Cent auszugeben, können Sie eine kostenlose, herunterladbare Vorlage für eine Datenverarbeitungsvereinbarung verwenden.

Die Verwendung einer Vorlage ist zeit- und arbeitsaufwändiger als eine verwaltete Lösung, aber eine gut ausgearbeitete Vorlage enthält bereits einige der anfänglichen Formulierungen, Formatierungen und Standardklauseln für Sie.

DIY

Sie können auch einen Do-it-yourself-Ansatz wählen und Ihre eigenen Datenverarbeitungsverträge verfassen.

Diese Option ist eine Herausforderung, aber machbar, solange Sie über die richtigen technischen Kenntnisse und Fähigkeiten verfügen und sich der Datenschutzgesetze bewusst sind.

Wenn Sie sich für diesen Weg entscheiden, lesen Sie den Rest dieses Leitfadens, um Tipps zu erhalten, was Sie in Ihre Vereinbarung aufnehmen sollten.

Was muss ich in meine DPA aufnehmen?

Die genauen Einzelheiten Ihrer Datenverarbeitungsvereinbarung hängen davon ab, welche Datenschutzgesetze Sie befolgen müssen, aber in den meisten Vereinbarungen sind alle folgenden Informationen enthalten:

Wenn Sie alle oben genannten Details einbeziehen, sollte Ihre DPA die rechtlichen Anforderungen erfüllen, die in den meisten Datenschutzgesetzen weltweit festgelegt sind. Im nächsten Abschnitt werden wir jedoch kurz die Anforderungen von DSGVO für Verträge aufführen, die einige strengere Richtlinien enthalten.

Was verlangt eine DSGVO DPA?

Gemäß Artikel 28, Absatz 3 der DSGVO gibt es acht wichtige Punkte, die Sie in Ihre Vereinbarung zur Datenverarbeitung aufnehmen müssen:

  1. Datenverarbeiter müssen sich verpflichten, Daten nur auf schriftliche Anweisung des für die Datenverarbeitung Verantwortlichen zu verarbeiten.
  2. Die beiden Parteien müssen sich auf die Vertraulichkeit der an der Datenverarbeitung Beteiligten verpflichten.
  3. Sie müssen alle Maßnahmen auflisten, die die Sicherheit der personenbezogenen Daten gewährleisten.
  4. Sie, der für die Verarbeitung Verantwortliche, müssen sicherstellen, dass die delegierten Funktionen des Datenverarbeiters nicht ohne das Wissen und die Zustimmung des für die Verarbeitung Verantwortlichen an einen anderen Datenverarbeiter ausgelagert werden.
  5. Der Datenverarbeiter muss Sie, den für die Verarbeitung Verantwortlichen, bei der Einhaltung der DSGVO bezüglich seiner Verpflichtungen gegenüber den Rechten der betroffenen Personen unterstützen.
  6. Der Auftragsverarbeiter muss Sie, den für die Verarbeitung Verantwortlichen, bei der Erfüllung der Pflichten unterstützen, die sich aus der Einhaltung von DSGVO ergeben, nämlich Artikel 32 (Sicherheit der Verarbeitung) und Artikel 36 (vorherige Beratung).
  7. Nach Beendigung der Dienste oder nach Rückgabe der Daten an Sie, den für die Verarbeitung Verantwortlichen, muss sich der Auftragsverarbeiter verpflichten, alle personenbezogenen Daten zu löschen.
  8. Als für die Verarbeitung Verantwortlicher haben Sie das Recht, den Auftragsverarbeiter zu überprüfen, der erforderlichenfalls alle relevanten Informationen bereitstellen muss.

Das mag viel erscheinen, aber wir haben im nächsten Abschnitt einige Beispiele von Datenverarbeitungsverträgen aus der Praxis aufgeführt, die Sie bei der Erstellung Ihres Vertrags inspirieren sollen.

Sie können sich die Vorlagen auch auf der offiziellen WebsiteDSGVO ansehen.

Wer unterschreibt eine DPA?

Damit Ihre DSGVO rechtsverbindlich ist, müssen sowohl der für die Datenverarbeitung Verantwortliche(d. h. Ihr Unternehmen) als auch der Datenverarbeiter(d. h. der Dritte) die Datenverarbeitungsvereinbarung unterzeichnen, ebenso wie alle Unterauftragsverarbeiter.

Im nächsten Abschnitt geht es darum, wie Sie feststellen können, ob die Ihnen vorgelegte DPA in beiderlei Hinsicht unterschriftswürdig ist oder ob zunächst weitere Verhandlungen stattfinden sollten.

Unterzeichnung einer DPA als für die Datenverarbeitung Verantwortlicher

Wenn Ihr Unternehmen einen Dritten mit der Verarbeitung von Daten beauftragt, müssen Sie als für die Datenverarbeitung Verantwortlicher eine DPA erstellen und unterzeichnen.

Bevor Sie als für die Verarbeitung Verantwortlicher eine Vereinbarung zur Datenverarbeitung unterzeichnen, sollten Sie sicherstellen, dass diese den folgenden Standards entspricht:

  • Es wird klar dargelegt, wie der Auftragsverarbeiter die personenbezogenen Daten verwenden kann.
  • Vergewissern Sie sich, dass der Auftragsverarbeiter die Daten schützen kann und schnell reagiert, wenn Probleme auftreten
  • Überprüfen Sie, ob der Umfang der Datenerhebung unter die Rechtsgrundlage fällt, die Sie für die Datenverarbeitung haben.
  • Überlegungen und Planungen für internationale Datenübertragungen

Diese Maßnahmen sind von entscheidender Bedeutung, da nach Vorschriften wie der DSGVO der für die Datenverarbeitung Verantwortliche - d. h. Ihr Unternehmen - haftbar gemacht wird, wenn ein Datenverarbeiter eine Sicherheitsverletzung verursacht, selbst wenn der Fehler auf seiner Seite lag.

Wenn Sie Zweifel an den Sicherheitspraktiken oder der Integrität der Drittverarbeiter haben, mit denen Sie einen Vertrag abschließen, sollten Sie die Beziehung überdenken oder die Vereinbarung überarbeiten.

Unterzeichnung einer DPA als Datenverarbeiter

Wenn Sie ein Datenverarbeiter sind, sollten Sie sich dennoch mit den Besonderheiten von Datenverarbeitungsverträgen vertraut machen, da Sie viele dieser Verträge unterzeichnen werden, um Ihre Arbeit zu erledigen.

Bei der Unterzeichnung einer DSGVO als Datenverarbeiter sind einige Dinge zu beachten, um sicherzustellen, dass der Vertrag angemessen ist, z. B:

  • Überprüfen Sie, ob alle geltenden Datenschutzgesetze, unter die Sie fallen, im Vertrag berücksichtigt sind.
  • Stellen Sie sicher, dass Sie alle Sicherheitsanforderungen angemessen erfüllen können.
  • Halten Sie die persönlichen Daten aktuell und korrekt
  • Ausarbeitung eines Verfahrens, wie die Verbraucher ihre Datenschutzrechte wahrnehmen können
  • Stellen Sie sicher, dass alle Ihre Unterauftragsverarbeiter die Bestimmungen der DSGVO ebenfalls unterzeichnen und einhalten können.

Der Datenverarbeiter ist für die ordnungsgemäße Speicherung und Verarbeitung personenbezogener Daten von Verbrauchern gemäß dem Datenschutzgesetz und allen geltenden Datenschutzgesetzen verantwortlich. Sie müssen sich auch vergewissern, dass Ihre Unterauftragsverarbeiter das Gleiche tun können.

Wie hoch sind die Bußgelder bei Nichtvorhandensein einer DPA?

Wenn Sie keine konforme DPA erstellen, können Sie hohe Geldstrafen zahlen, das Vertrauen Ihrer Kunden verlieren und möglicherweise ins Gefängnis kommen.

Nachstehend finden Sie eine Tabelle, in der die möglichen Strafen für einige Datenschutzgesetze, die vertragliche Anforderungen zwischen für die Datenverarbeitung Verantwortlichen und Auftragsverarbeitern vorsehen, verglichen werden.

Datenschutzgesetz Sanktionen bei Nichteinhaltung der Vorschriften
Allgemeine Datenschutzverordnung (DSGVO)
  • Geldbußen von bis zu 10 Millionen Euro (rund 12 Millionen Dollar) oder 2 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist
  • Höchststrafe von 24 Millionen Euro (rund 23 Millionen Dollar) oder 4 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist
Der Data Protection Act 2018(UK DSGVO)
  • Geldbußen bis zu 8,7 Millionen Pfund (rund 10 Millionen Dollar) oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nachdem, welcher Betrag höher ist
Kalifornisches Verbraucherschutzgesetz(CCPA)
  • $2.500 pro nicht vorsätzlichem Verstoß
  • 7.500 Dollar für jeden vorsätzlichen Verstoß oder für Straftaten im Zusammenhang mit personenbezogenen Daten von Minderjährigen unter 16 Jahren
    Die Verbraucher können privatrechtliche Schritte gegen Sie einleiten.
Virginia Gesetz zum Schutz der Verbraucherdaten(CDPA)
  • Bis zu $7.500 pro Verstoß
Allgemeines brasilianisches Datenschutzgesetz(LGPD)
  • Geldbußen bis zu 50 Millionen Reals (rund 10 Millionen Dollar) oder bis zu 2 % des weltweiten Jahresumsatzes
Thailändisches Gesetz zum Schutz persönlicher Daten(PDPA)
  • Geldbußen bis zu 5 Millionen THB (rund 150.000 $)
  • Freiheitsstrafe bis zu einem Jahr und/oder eine Geldstrafe von bis zu 1 Million THB (rund 30.000 $)
  • Strafschadensersatz in Höhe des doppelten Betrags des tatsächlichen Schadens.
Gesetz zum Schutz personenbezogener Daten in den VAE(PDPA)
  • Es gibt noch keine standardisierten Strafen, aber sie sollen schließlich in den Durchführungsbestimmungen festgelegt werden.
Südafrikanisches Gesetz zum Schutz persönlicher Informationen(POPIA)
  • Geldstrafen bis zu 10 Millionen ZAR (rund 550.000 $ ) oder bis zu 10 Jahren Gefängnis
Colorado Privacy Act(CPA) - in Kraft ab 1. Juli 2023
  • Es wurden noch keine konkreten Bußgelder festgelegt, aber es wird erwartet, dass sie zwischen 2.000 und 20.000 Dollar pro Verstoß liegen.
Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA) - in Kraft ab 1. Juli 2023
  • Geldstrafen bis zu 5.000 $ pro vorsätzlichem Verstoß
  • Mögliche Rechtsbehelfe nach dem Billigkeitsrecht, einschließlich Rückerstattung, Rückerstattung und Unterlassungsanspruch
Utah Consumer Privacy Act(UCPA) - in Kraft bis 31. Dezember 2023
  • der tatsächliche Schaden des Verbrauchers, der durch den Gesetzesverstoß des Unternehmens entstanden ist
  • Ein maximales Bußgeld von $7.500 pro Verstoß

Die Risiken sind es nicht wert. Sorgen Sie für eine wirksame und konforme DSGVO, um die personenbezogenen Daten Ihrer Kunden und die Integrität Ihres Unternehmens zu schützen.

Beispiele für Datenverarbeitungsverträge

Schauen wir uns einige Beispiele für Datenverarbeitungsverträge an, um zu sehen, wie andere Unternehmen die Anforderungen der Datenschutzvorschriften, wie DSGVO und das geänderte CCPA, erfüllen.

Beispiel 1: LinkedIns Datenverarbeitungsvertrag

Das erste Beispiel für eine Datenverarbeitungsvereinbarung, das wir betrachten, stammt von der beruflichen Netzwerk-Website LinkedIn.

Unten sehen Sie einen Screenshot, wie sie ihre Vereinbarung mit Hilfe eines einfachen Inhaltsverzeichnisses organisieren.

Uns gefällt ihr logischer Aufbau, denn so können beide Parteien überprüfen, ob alle erforderlichen Bestimmungen und Richtlinien abgedeckt sind.

LinkedIn-Datenverarbeitungs-Vereinbarung

Außerdem definieren sie alle Begriffe in ihrer Vereinbarung klar und deutlich, wie in der folgenden Abbildung zu sehen ist. Das ist eine ausgezeichnete Idee, denn so wird jede Unklarheit beseitigt und die Gefahr von Fehlinterpretationen verringert.

LinkedIn-Datenverarbeitungs-Vereinbarung-Definitionen

Im weiteren Verlauf des Abkommens wird anhand von Tabellen mitgeteilt, welche Kategorien personenbezogener Daten von dem für die Verarbeitung Verantwortlichen an den für die Verarbeitung Verantwortlichen übermittelt werden, während die Daten von dem für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter übermittelt werden.

Wie unten dargestellt, werden so komplexe Informationen übersichtlich gegliedert, was dazu beiträgt, dass jede Partei, die die Vereinbarung unterzeichnet, die Bedingungen versteht.

LinkedIn-Datenverarbeitungs-Vereinbarung-organisieren-Informationen

Beispiel 2: Yahoo's Datenverarbeitungsvertrag

Als Nächstes wollen wir uns die DPA von Yahoo ansehen. Auf dem Screenshot unten können Sie sehen, dass auf große Textmengen verzichtet wurde, was das Lesen und Verstehen erleichtert.

Yahoo-Datenverarbeitungs-Vereinbarung

Uns gefällt, dass das Dokument übersichtlich gegliedert ist, und die klaren Überschriften auf der linken Seite erleichtern die Navigation durch die Abschnitte.

Unten sehen Sie, wie einfach sie ihre Klausel formulieren, die ihre Verpflichtungen bezüglich der europäischen Datenschutzgesetze erklärt.

Yahoo-Datenverarbeitungsabkommen-Verpflichtung-Europäische-Datenschutzgesetze

Das Gleichgewicht zwischen klarer Sprache und rechtssicheren Formulierungen zu finden, ist nicht immer einfach. Die DPA von Yahoo ist ein Beispiel dafür, wie man dies erfolgreich tun kann.

Beispiel 3: Die Datenverarbeitungsvereinbarung von Mailchimp

Zum Schluss noch ein Blick auf die Datenverarbeitungsvereinbarung für den E-Mail-Marketingdienst Mailchimp.

Sie leisten großartige Arbeit bei der Kombination und Vermittlung der vertraglichen Anforderungen an die Datenverarbeitung aus verschiedenen Rechtsvorschriften - ein schwieriger Balanceakt.

In Anhang C der DSGVO werden die vertraglichen Verpflichtungen und Anforderungen in den verschiedenen Rechtsordnungen, denen sie unterliegen - Kalifornien und Kanada -, zusätzlich zur DSGVO erläutert.

Nachstehend finden Sie Informationen über die Datenverarbeitung in Kalifornien.

Mailchimp-Datenverarbeitungs-Vereinbarung

Vergleichen Sie dann die Angaben mit ihren Informationen über die kanadische Datenverarbeitung.

Mailchimp-Datenverarbeitungsabkommen-Kanadische-Datenverarbeitung

Ein direkter Verweis auf Datenschutzgesetze wie dieser ist eine gute Möglichkeit, um sicherzustellen, dass Sie alle rechtlichen Richtlinien und Anforderungen einhalten. Erwägen Sie, dasselbe in Ihren Datenverarbeitungsverträgen zu tun.

Tipps für die Verhandlung eines DPA

Bei der Aushandlung einer Datenverarbeitungsvereinbarung sollten Sie sicherstellen, dass die Richtlinie alle Datenschutzgesetze angemessen berücksichtigt und günstige Geschäftsbedingungen enthält.

Um eine DPA zu erstellen, die beides leistet, empfehlen wir die folgenden Schritte:

Datenverarbeitungsvertrag FAQ

Nachstehend finden Sie die am häufigsten gestellten Fragen zu Datenverarbeitungsverträgen.

Sind DPAs gesetzlich vorgeschrieben?

Nein, technisch gesehen sind Datenverarbeitungsverträge nicht gesetzlich vorgeschrieben, aber sie helfen Unternehmen, die vertraglichen Verpflichtungen mit Drittverarbeitern zu erfüllen, wie sie in Datenschutzgesetzen wie dem DSGVO, dem geänderten CCPA und dem CDPA festgelegt sind.

Ist eine Datenverarbeitungsvereinbarung ein Vertrag?

Ja, eine Datenverarbeitungsvereinbarung ist ein rechtsverbindlicher Vertrag zwischen einem Unternehmen und einem externen Datenverarbeiter. Darin werden die Rechte und Pflichten jeder Partei in Bezug auf personenbezogene Nutzerdaten erläutert.

Was ist der Unterschied zwischen einer Vereinbarung zur Datenverarbeitung und einer Vereinbarung zur gemeinsamen Nutzung von Daten?

Eine Vereinbarung über die gemeinsame Nutzung von Daten wird in der Regel zwischen zwei für die Datenverarbeitung Verantwortlichen - d. h. Unternehmen - geschlossen und legt fest, was in den einzelnen Phasen mit den Daten geschieht, wie sie weitergegeben werden und wie sie verwendet werden.

Im Gegensatz dazu ist eine Datenverarbeitungsvereinbarung ein Vertrag zwischen einem für die Verarbeitung Verantwortlichen und einem Datenverarbeiter, in dem Sicherheitsmaßnahmen festgelegt sind und die Möglichkeiten des Dritten, die Daten zu verwenden, eingeschränkt werden.

Was ist der Unterschied zwischen einer Datenverarbeitungsvereinbarung und einer Datenschutzrichtlinie?

Eine Datenverarbeitungsvereinbarung ist ein Vertrag zwischen einem Unternehmen und Dritten, die Daten verarbeiten, um zu gewährleisten, dass die personenbezogenen Daten der Nutzer sicher gespeichert und in einer Weise verwendet werden, die die Verbraucherrechte respektiert.

Im Gegensatz dazu erklärt eine Datenschutzrichtlinie Ihren Nutzern, welche Daten Sie erheben, verwenden und verarbeiten und auf welcher Rechtsgrundlage Sie dies tun.

Wie kann ich eine DPA erstellen?

Sie können eine Datenverarbeitungsvereinbarung mithilfe einer verwalteten Lösung wie einem DPA-Generator erstellen, eine kostenlos herunterladbare Vorlage herunterladen und anpassen oder das Dokument selbst verfassen.

Zusammenfassung

Das Vorhandensein einer DPA ist ein entscheidender Bestandteil der Einhaltung von Datenschutzbestimmungen, die sich aus mehreren Gesetzen ergeben, darunter das DSGVO, das CCPA in der durch das CPRA geänderten Fassung und andere.

Dieser rechtsverbindliche Vertrag hilft Ihnen, hohe Bußgelder zu vermeiden und gleichzeitig das Vertrauen Ihrer Kunden zu stärken, indem er zeigt, dass Sie und Ihr(e) Datenverarbeiter verantwortlich und vertrauenswürdig sind.

Unabhängig davon, ob Sie einen Rechtsbeistand hinzuziehen, selbst einen Vertrag verfassen, eine Vorlage verwenden oder auf einen Generator für Datenverarbeitungsverträge zurückgreifen, sollten Sie sicherstellen, dass Ihre Verträge alle einschlägigen Datenschutzgesetze einhalten, Ihre Haftung angemessen begrenzen und überprüfen, ob die Drittverarbeiter, mit denen Sie zusammenarbeiten, qualifiziert sind, die personenbezogenen Daten Ihrer Kunden angemessen zu schützen und zu speichern.

Etienne Cussol CIPP/E, CIPM
Mehr über die Autorin

Geschrieben von Etienne Cussol CIPP/E, CIPM

Etienne ist Fachmann für Datenschutz und Compliance-Analyst bei Termly. Er arbeitet seit 2021 bei uns und kümmert sich um die Einhaltung der Datenschutzgesetze und beteiligt sich an unseren Marketinguntersuchungen. Zu seinen Fachgebieten - und Interessen - gehören Datenschutz (DSGVO, Datenschutzrichtlinie für elektronische Kommunikation, CCPA), Tracking-Technologien (Cookies von Drittanbietern, Fingerabdrücke) und neue Formen des Datenschutzmanagements (GPC und die Google Privacy Sandbox). Etienne hat an der Universität Toulouse internationale Wirtschaftsangelegenheiten studiert und sein Studium 2017 mit einem Master abgeschlossen. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen