Um die Sicherheit der Verbraucherdaten zu gewährleisten, hat die Europäische Union (EU) ein strenges Datenschutz- und Sicherheitsgesetz eingeführt, das als Datenschutz-Grundverordnung bekannt ist. Die Datenschutz-Grundverordnung legt die Rechte der EU-Bürger hinsichtlich ihrer personenbezogenen Daten fest und setzt diese durch. Es setzt Standards für Rechenschaftspflicht, Sicherheit und Transparenz bei der Verwendung dieser Daten um.

Global agierende Unternehmen, die in der Europäischen Union tätig sind oder personenbezogene Daten aus der EU verarbeiten, müssen verstehen, wie sich die Datenschutz-Grundverordnung auf sie auswirkt und wie sie die Einhaltung der Datenschutz-Grundverordnung gewährleisten können.

Ein Aspekt dieser Compliance ist die Implementierung einer Datenverarbeitungsvereinbarung (DPA). Eine Datenverarbeitungsvereinbarung gemäß Datenschutz-Grundverordnung legt die Details, Regeln, Rechte und Pflichten im Zusammenhang mit Datenverarbeitungstätigkeiten fest. Es trägt dazu bei, die Einhaltung der Unternehmensrichtlinien sicherzustellen, Daten zu schützen und die Kundenzufriedenheit zu gewährleisten.

Dieser Leitfaden bietet einen genaueren Einblick in die Funktionsweise von Datenschutzvereinbarungen und gibt Auskunft darüber, was in eine solche Vereinbarung aufgenommen werden sollte.

Was ist eine DSGVO nach der Datenschutz-Grundverordnung?

Eine Datenverarbeitungsvereinbarung ist ein Vertrag zwischen den Datenverantwortlichen und den Datenverarbeitern, die ihre Daten verarbeiten werden. Es ist für die vollständige Einhaltung der Datenschutz-Grundverordnung erforderlich.

Eine Datenschutzvereinbarung legt Art, Zweck und Dauer der durchzuführenden Verarbeitungstätigkeiten fest. Darin wird auch die Art der zu verarbeitenden personenbezogenen Daten und die Kategorien von Personen, zu denen die Daten gehören, festgelegt. Es definiert die Rechte und Pflichten des Verantwortlichen. Es kann die Verwendung technischer Sicherheitsmaßnahmen, wie beispielsweise eines bestimmten Verschlüsselungsniveaus, vorschreiben, die eingehalten werden müssen.

Eine Datenschutzvereinbarung ist rechtsverbindlich, und der Datenverantwortliche und der Datenverarbeiter müssen sich daran halten, andernfalls drohen ihnen schwere Strafen.

Der Hauptvorteil einer Datenverarbeitungsvereinbarung (DPA) besteht darin, dass sie die Qualifikation und Zuverlässigkeit des Datenverarbeiters sicherstellt. Unternehmen müssen die Gewissheit haben, dass ihre Daten in guten Händen sind und dass sie privat und vor neugierigen Blicken geschützt sind. Eine Datenschutzvereinbarung trägt dazu bei, diese Zusicherungen zu gewährleisten.

Die Datenschutz-Grundverordnung und ihre DS-GVO-Anforderungen dürften künftig erhebliche Auswirkungen auf den Geschäftsbetrieb haben. Geschäftstransaktionen könnten sich verändern, da die Erhebung personenbezogener Daten eingeschränkt wird, die Kommunikation über Datenerhebung und -speicherung unerlässlich wird und die Beziehungen zu Drittanbietern strengere Verträge erfordern. Einzelne Unternehmen und ihre Personalabteilungen werden die Auswirkungen deutlich spüren, da sie ihre Prozesse an die Anforderungen der Datenschutz-Grundverordnung anpassen müssen.

Der Vorteil der Anforderungen der Datenschutz-Grundverordnung besteht darin, dass das Vertrauen im Geschäftsleben wachsen kann, da die Menschen mehr Vertrauen in den Schutz und die Vertraulichkeit ihrer Daten gewinnen.

Wann ist eine Datenverarbeitungsvereinbarung erforderlich?

Benötigen Sie eine Datenverarbeitungsvereinbarung? Dies ist der Fall, wenn Sie personenbezogene Daten innerhalb oder aus der EU verarbeiten.

Nach der Datenschutz-Grundverordnung ist ein Auftragsverarbeitungsvertrag (AVV) immer dann obligatorisch, wenn eine Person oder Organisation personenbezogene Daten an einen Drittanbieter für eine kollaborative Dienstleistung weitergibt. Alle Parteien, die als Datenverarbeiter fungieren, müssen Auftragsverarbeitungsvereinbarungen mit den Datenverantwortlichen unterzeichnen.

In der EU muss beispielsweise ein Dienstanbieter, der eine Website hostet, eine Datenschutzvereinbarung mit dem Unternehmen abschließen, dem die Website gehört. Ein Unternehmen, das personenbezogene Daten verarbeitet, um gezieltes Verbrauchermarketing zu betreiben, muss ebenfalls eine Datenschutzvereinbarung unterzeichnen.

Nachfolgend sind einige weitere gängige Geschäftsdienstleistungen und Szenarien aufgeführt, die Datenschutzvereinbarungen erfordern:

  • E-Mail-Management-Outsourcing
  • Technische Datenverarbeitungslösungen für die Finanz- und Lohnbuchhaltung
  • Datensicherungsdienste, entweder über physische Server oder in der Cloud
  • Datenerfassung oder Digitalisierung durch einen externen Dienstleister
  • Entsorgung alter Hardware mit sensiblen Daten

In einigen Fällen kann die Datenschutz-Grundverordnung für Unternehmen außerhalb Europas Datenschutzbehörden vorschreiben. Diese Anforderung kommt immer dann zum Tragen, wenn EU-Daten betroffen sind. Ein Unternehmen mit Sitz in Kanada könnte beispielsweise den Anforderungen des Datenschutzgesetzes unterliegen, wenn es Daten über EU-Bürger verarbeitet.

Wann ist eine Datenschutzvereinbarung nicht erforderlich?

Tabelle „Wann eine Datenschutzvereinbarung nicht erforderlich ist“, einschließlich Partnerschaften, Portaldienste, Inkassobüros und gemeinsames Datenmanagement mehrerer Unternehmen.

Für einige spezifische Szenarien sind keine Datenschutzvereinbarungen erforderlich. Sie verfügen über eingebaute Schutzmechanismen, die den DPA-Schutz überflüssig machen. Um die Verpflichtungen Ihres Unternehmens unter diesen Umständen besser zu verstehen, beachten Sie bitte Folgendes:

  1. Partnerschaften mit Berufsverbänden, die Vertraulichkeitsanforderungen haben: In vielen Berufsfeldern ist es üblich, dass Dienstleister branchenspezifische, maßgeschneiderte Vertraulichkeitsvereinbarungen abschließen, die alle Sicherheitsmaßnahmen und Datenschutzanforderungen abdecken, die eine Datenschutzvereinbarung erfordern würde. Zu den wenigen Berufsgruppen, die üblicherweise solche Vertraulichkeitsvereinbarungen verwenden, gehören Rechtsanwälte, Steuerberater und Wirtschaftsprüfer. Viele Gesundheitsdienstleistungen beinhalten in der Regel auch eigene strenge Vertraulichkeitsgarantien.
  2. Portaldienste: Dienste, die lediglich Personen oder Organisationen miteinander verbinden, sind in der Regel von den Anforderungen des Datenschutzgesetzes ausgenommen. Diese professionellen Partnervermittlungsdienste sind so kurzlebig, dass eine Datenschutzvereinbarung kaum Vorteile bringen würde. Personalvermittler fallen beispielsweise in diese Kategorie. Sie bringen lediglich Arbeitssuchende mit Unternehmen zusammen, die nach talentierten neuen Teammitgliedern suchen. In diesem Szenario ist eine Datenschutzvereinbarung mit dem Personalvermittler nicht erforderlich.
  3. Zusammenarbeit mit Inkassobüros: Inkassobüros erhalten Zugang zu persönlichen Finanzinformationen und medizinischen Daten. Da Inkassobüros von den ursprünglichen Gläubigern getrennt sind und die Schulden zu ihrem eigenen Vorteil eintreiben, sind sie von den Anforderungen des DPA ausgenommen. Wenn die Inkassobüros im Auftrag der ursprünglichen Gläubiger tätig wären, müssten sie eine Vereinbarung zur Strafverfolgung (DPA) unterzeichnen.
  4. Gemeinsames Datenmanagement mehrerer Unternehmen: In manchen Fällen arbeiten Unternehmen als Gruppe zusammen, um eine Datensammlung zu verwalten. Dieses Szenario tritt häufig auf, wenn Unternehmen gemeinsamen Zugriff auf Daten von Lieferanten, Produkten oder Vertriebskontakten haben. Obwohl die Unternehmen Konkurrenten sind, nutzen sie dieselben Daten für dieselben allgemeinen Zwecke. Der Umfang dieser Datennutzung bedeutet im Allgemeinen, dass eine Datenschutzvereinbarung nicht zwingend erforderlich ist.
  5. Klinische Studien: Bei groß angelegten klinischen Arzneimittelstudien werden DPAs in der Regel nicht eingesetzt, da sie zahlreiche Mitwirkende umfassen. Ärzte, Forschungszentren und Sponsoren haben alle Zugriff auf die Probandendaten und verarbeiten diese je nach ihren Bedürfnissen auf unterschiedliche Weise. Die gesammelten Daten dienen im Verlauf der klinischen Studie in der Regel auch verschiedenen Zwecken. Unter diesen Umständen finden Datenschutzvereinbarungen in der Regel keine Anwendung.

Wer ist der Datenverantwortliche?

Jede Auftragsverarbeitungsvereinbarung kommt zwischen einem Datenverantwortlichen und einem Datenverarbeiter zustande. Der Datenverantwortliche ist die Organisation oder Einzelperson, die festlegt, wie und warum personenbezogene Daten verarbeitet werden. Wenn Ihr Unternehmen beschließt, Daten zur Datensicherung auf den Servern eines Drittanbieters zu senden, ist Ihr Unternehmen der Datenverantwortliche.

Das entscheidende Merkmal eines Datenverantwortlichen ist die Entscheidungsmacht. Der Datenverantwortliche trifft übergeordnete Festlegungen über die Gründe für die Datenerhebung und die Art und Weise der Verarbeitung personenbezogener Daten.

In den meisten Fällen ist ein Unternehmen oder eine Organisation der Datenverantwortliche. Der Datenverarbeiter ist eine separate Einheit, die einen Vertrag mit dem Unternehmen abschließt. Eine Einzelperson, wie beispielsweise ein Einzelunternehmer oder ein Selbstständiger, kann ebenfalls Datenverantwortlicher sein, wenn diese Person Entscheidungen über die Erhebung und Verarbeitung personenbezogener Daten trifft.

Wer ist der Datenverarbeiter?

Der Datenverarbeiter ist der Dritte, der die Daten im Auftrag eines Datenverantwortlichen verarbeitet. Im oben genannten Szenario ist das Unternehmen, das die Datensicherungsdienste anbietet, der Datenverarbeiter, wenn Ihr Unternehmen beschließt, Ihre Daten zur Sicherung extern zu senden.

Der Datenprozessor kann viele Formen annehmen. Es kann sich um ein Unternehmen, eine Einzelperson oder eine Behörde handeln. Das maßgebliche Kriterium ist, ob die betreffende Person oder Organisation Daten im Auftrag eines Datenverantwortlichen verarbeitet.

Was beinhaltet ein DPA-Dokument?

Die Artikel 28–36 der Datenschutz-Grundverordnung legen fest, welche vertraglichen Pflichten für den Auftragsverarbeiter nach den Datenschutz-Grundverordnungen verpflichtend sind. Nachfolgend sind einige der erforderlichen Klauseln der Datenschutzvereinbarung aufgeführt:

1. Eine detaillierte Aufschlüsselung der Datenverarbeitungsdetails

Die Datenschutzbehörde sollte detaillierte Angaben darüber machen, wie jeder Aspekt der Datenverarbeitung erfolgen wird. Die Datenschutzvereinbarung sollte klare Informationen zu Themen wie den folgenden enthalten:

  • Art der zu verarbeitenden personenbezogenen Daten
  • Gegenstand der Daten
  • Die Kategorien der betroffenen Personen
  • Zweck und Art der Verarbeitung
  • Die erwartete Dauer der Datenverarbeitung
  • Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten
  • Die Rückgabe oder Löschung personenbezogener Daten nach Beendigung der Verarbeitung

2. Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters

Die Datenschutzvereinbarung sorgt für Klarheit darüber, wer die Kontrolle über die Datenverarbeitung hat.

Durch die Festlegung der Rechte und Pflichten beider Parteien sorgt die Datenschutzvereinbarung für Klarheit darüber, wer die Kontrolle über die Datenverarbeitung hat.

Die Datenschutzvereinbarung sollte ausdrücklich festlegen, dass der Datenverarbeiter die Verarbeitung gemäß den Wünschen und Vorgaben des Datenverantwortlichen durchführen muss. Darin sollte festgelegt werden, dass der Controller und nicht der Prozessor die vollständige Kontrolle über die Daten und deren Verarbeitung behält.

Die Datenschutzbehörde sollte den Datenverarbeiter anweisen, die Daten nur gemäß den direkten Anweisungen des Verantwortlichen zu verarbeiten und nur dann von diesen Anweisungen abzuweichen, wenn dies nach EU-Recht oder dem Recht eines der Mitgliedstaaten erforderlich ist.

3. Erforderliche Vertraulichkeitsmaßnahmen für den Datenverarbeiter

Die Datenschutzbehörde sollte die Protokolle festlegen, die der Datenverarbeiter befolgen muss, um die Vertraulichkeit der personenbezogenen Daten zu gewährleisten.

Beispielsweise muss der Datenverarbeiter von seinen festangestellten Mitarbeitern, Zeitarbeitern und Subunternehmern die Unterzeichnung von Vertraulichkeitsvereinbarungen verlangen, bevor sie mit der Verarbeitung personenbezogener Daten beginnen dürfen. Eine Vertraulichkeitsvereinbarung ist nur dann überflüssig, wenn eine gesetzliche Verpflichtung den Auftragsverarbeiter bereits zur Wahrung der Vertraulichkeit verpflichtet.

4. Erforderliche technische und organisatorische Protokolle für die Informationssicherheit

Die Datenschutzvereinbarung sollte die Sicherheitsmaßnahmen darlegen, die der Datenverarbeiter implementieren muss, einschließlich gegebenenfalls folgender Maßnahmen:

  • Datenverschlüsselung
  • Pseudonymisierung der betroffenen Person
  • Protokolle zur Gewährleistung der Vertraulichkeit, Verfügbarkeit, Ausfallsicherheit und Sicherheit aller Datenverarbeitungssysteme
  • Verfahren zur Wiederherstellung des Zugriffs auf personenbezogene Daten nach einem Angriff oder einer Datenschutzverletzung
  • Ein regelmäßiges Programm zum Testen und Bewerten der Wirksamkeit aller Sicherheitsmaßnahmen

Viele Prozessoren möchten möglicherweise formale Zertifizierungen erlangen oder offizielle Verhaltenskodizes aufstellen, die ihre implementierten Protokolle bestätigen. Maßnahmen wie diese tragen dazu bei, die Gewissheit zu gewährleisten, dass ihre Datenverarbeitung vollständig mit der Datenschutz-Grundverordnung übereinstimmt.

5. Bedingungen für etwaige Subunternehmerverträge

Die Datenschutzvereinbarung sollte auch die Anforderungen festlegen, die der Datenverarbeiter seinen Unterauftragnehmern auferlegen muss. Der Prozessor muss beispielsweise unbedingt diese Regeln und bewährten Verfahren einhalten:

  • Die Beauftragung von Unterauftragnehmern erfolgt nur mit der ausdrücklichen Zustimmung und Genehmigung des Verantwortlichen für die Datenverarbeitung.
  • Ausarbeitung und Unterzeichnung von Verträgen, die dem Unterauftragnehmer dieselben Datensicherheitsanforderungen auferlegen, die auch der Datenverarbeiter selbst erfüllen muss.
  • Sicherstellung der Einhaltung der Datenschutzbestimmungen durch den Subunternehmer.
  • Den Verantwortlichen für die Datenverarbeitung über alle Änderungen im Zusammenhang mit Unterauftragnehmern zu informieren und ihm Zeit zur Reaktion zu geben.

6. Kooperationspflichten des Datenverarbeiters

Der Datenverarbeiter muss dem Datenverantwortlichen außerdem ermöglichen, während der Verarbeitung Compliance-Prüfungen durchzuführen.

Die Datenschutzvereinbarung sollte festlegen, wann und wie der Datenverarbeiter mit dem Datenverantwortlichen zusammenarbeiten muss. Beispielsweise muss der Datenverarbeiter mitwirken, um Anfragen zum Datenzugriff zu bearbeiten. Der Auftragsverarbeiter muss außerdem beim Schutz der Privatsphäre und der Rechte der betroffenen Personen mitwirken, insbesondere durch die Erfüllung folgender Anforderungen:

  • Gewährleistung der Sicherheit personenbezogener Daten
  • Unverzügliche Benachrichtigung der Behörden und der betroffenen Personen bei Datenschutzverletzungen
  • Bei Bedarf Datenschutz-Folgenabschätzungen (DSFA) durchführen.
  • Bei schwerwiegenden Datenrisiken sollten die zuständigen Behörden konsultiert werden.

Der Datenverarbeiter muss dem Datenverantwortlichen außerdem ermöglichen, während der Verarbeitung Compliance-Prüfungen durchzuführen. Bei Prüfungen muss der Auftragsverarbeiter dem Verantwortlichen unverzüglich alle relevanten Informationen zur Verfügung stellen, um nachzuweisen, dass er seinen Verpflichtungen gemäß Artikel 28 der Datenschutz-Grundverordnung nachgekommen ist.

Es empfiehlt sich außerdem, dass der Auftragsverarbeiter Aufzeichnungen über seine Verarbeitungstätigkeiten führt, um die Einhaltung der Datenschutz-Grundverordnung nachzuweisen.

Was geschieht nach einer Datenschutzverletzung im Rahmen einer Datenschutzvereinbarung?

Im Falle einer Datenschutzverletzung müssen die beteiligten Unternehmen unverzüglich konkrete Maßnahmen ergreifen. Ihr Unternehmen muss die zuständige Aufsichtsbehörde innerhalb von 72Stunden benachrichtigen, wenn die Verletzung ein ernsthaftes Risiko darstellt.

Wenn die Datenschutzverletzung ein sehr hohes Risiko für die betroffenen Personen darstellt, muss Ihr Unternehmen in der Regel auch diese Personen benachrichtigen. Verfügt Ihr Unternehmen jedoch bereits über wirksame technische und organisatorische Risikominimierungsprotokolle, ist eine Benachrichtigung möglicherweise nicht erforderlich.

Stellen Sie sich beispielsweise vor, ein Kreditkartenunternehmen erleidet einen Datenverlust aufgrund eines Angriffs auf die Server, auf denen es seine Daten speichert. Die persönlichen Finanzdaten der Kunden wurden kompromittiert. Ihre Namen, Wohnadressen, weitere Kontaktinformationen, Finanzdaten und Einzelheiten zu den Zahlungsarten, die sie mit ihren Kreditkarten getätigt haben, sind alle öffentlich geworden.

Das Unternehmen, das die Server hostet, müsste die Behörden innerhalb von 72 Stunden über den Vorfall informieren. Außerdem müsste das Kreditkartenunternehmen benachrichtigt werden.

Das Unternehmen müsste die Verbraucher wahrscheinlich informieren, da die Offenlegung ihrer personenbezogenen Daten diese gefährden könnte. Die Datenschutzverletzung könnte auch zur Offenlegung sensibler, geschützter Gesundheitsdaten der Verbraucher führen, falls diese medizinische Zahlungen mit ihren Kreditkarten getätigt haben.

Welche Strafen gibt es bei Verstößen gegen die Datenschutz-Grundverordnung? 

Im Falle einer Datenschutzverletzung werden gegen das Unternehmen, das sich als nicht konform erweist, Disziplinarmaßnahmen eingeleitet. Ein wahrscheinlicher Verstoß wird lediglich mit einer Verwarnung geahndet. Bestätigte Verstöße gegen die Vorschriften können mit einer oder mehreren der folgenden Strafen geahndet werden:

  1. Eine formelle Rüge
  2. Ein vorübergehendes oder dauerhaftes Verbot der Datenverarbeitung
  3. Eine Geldstrafe von bis zu20 Millionen Eurooder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens.

Stellen Sie mit G-PDatensicherheitsexperten für Ihr Team ein.

Wenn Sie international Teams aufbauen, die sich auf Datensicherheit konzentrieren, arbeiten Sie mit G-P zusammen. Unsere Expertenteams helfen Ihnen gerne dabei, die für Ihr Unternehmen geltenden Bestimmungen zur Datenverarbeitungsvereinbarung zu verstehen.

Die Einbindung von Datenschutzbeauftragten und anderen Rechtsexperten in Ihr Team ist unerlässlich, um die Einhaltung der Datenschutzgesetze zu gewährleisten. Als globaler Employer of Record (EOR) unterstützt G-P Sie bei der Einstellung und Bezahlung der international Talente, die Sie für Ihren Erfolg benötigen. Wir nehmen den Datenschutz sehr ernst und können Sie bei der Einhaltung des Arbeitsrechts vor Ort unterstützen und Ihre vertraulichen Informationen schützen, während Sie Ihr Unternehmen international ausbauen.

Bei G-P helfen wir Ihnen, Ihre Einstellungsprozesse zu beschleunigen. Mit unserer globalen Full-Stack-Beschäftigungsplattform können Sie Ihre neuen Teammitglieder mit nur wenigen Klicks einstellen und einarbeiten. Das spart Zeit und optimiert Ihren Ansatz für die Herausforderungen des international Unternehmenswachstums.

Fordern Sie noch heute ein Angebot an oder kontaktieren Sie uns, um mehr über die Anstellung von Datensicherheitsexperten über unsere Plattform zu erfahren.