Um die Sicherheit der Verbraucherdaten zu gewährleisten, hat die Europäische Union (EU) ein strenges Datenschutz- und Sicherheitsgesetz eingeführt, das als  Datenschutz-Grundverordnung  (DSGVO) bekannt ist. Die DSGVO definiert und setzt die Rechte der EU-Bürger in Bezug auf ihre  personenbezogenen Daten durch.  Sie implementiert Standards für Verantwortlichkeit, Sicherheit und Transparenz bei der Verwendung dieser Daten.

Globale Unternehmen, die in der Europäischen Union tätig sind oder personenbezogene Daten aus der EU verarbeiten, müssen verstehen,  wie sich die DSGVO auf sie auswirkt  und wie sie die DSGVO-Compliance aufrechterhalten können.

Ein Aspekt dieser Compliance ist die Implementierung einer  Datenverarbeitungsvereinbarung  (Data Processing Agreement, DPA). Eine  DSGVO-Datenverarbeitungsvereinbarung  legt die Einzelheiten, Regeln, Rechte und Pflichten im Zusammenhang mit Datenverarbeitungsaktivitäten fest. Die Lösung trägt dazu bei, die Compliance des Unternehmens zu gewährleisten, Daten zu sichern und die Verbraucher zu schützen und zufriedenzustellen.

Dieser Leitfaden bietet einen genaueren Blick darauf, wie DPAs funktionieren und  was in eine DPA aufgenommen werden soll.

Was ist ein DPA  gemäß der DSGVO?

Eine Datenverarbeitungsvereinbarung ist ein Vertrag, der zwischen den Datenverantwortlichen und den  Datenverarbeitern unterzeichnet wird , die ihre Daten verarbeiten. Sie ist für die vollständige Einhaltung der DSGVO erforderlich.

Ein DPA legt die Art, den Zweck und die Dauer der Verarbeitungstätigkeiten fest, die stattfinden werden. Sie legt auch die Art der zu verarbeitenden personenbezogenen Daten und die Kategorien der Personen fest, zu denen die Daten gehören. Sie definiert die Rechte und Pflichten des Verantwortlichen. Sie kann die Verwendung von technischen Sicherheitsmaßnahmen, wie z. B. eine bestimmte Verschlüsselungsstufe, festlegen, die vorhanden sein müssen.

Ein DPA ist rechtlich bindend, und der Datenverantwortliche und der Auftragsverarbeiter müssen sich daran halten oder schwere Strafen riskieren.

Der Hauptvorteil einer DPA besteht darin, dass sie die Qualifikation und Zuverlässigkeit des Datenverarbeiters sicherstellt. Unternehmen müssen wissen, dass ihre Daten in guten Händen sind und dass sie privat und vor neugierigen Augen geschützt sind. Ein DPA hilft dabei, diese Zusicherungen zu geben.

Die DSGVO und ihre  DPA-Anforderungen  dürften in Zukunft erhebliche Auswirkungen auf den Geschäftsbetrieb haben. Geschäftstransaktionen können sich ändern, wenn die Erfassung personenbezogener Daten immer begrenzter wird, die Kommunikation über die Erfassung und Speicherung von Daten unerlässlich wird und Beziehungen zu Drittanbietern strengere Verträge erfordern. Einzelunternehmen und ihre Personalabteilungen werden erhebliche Auswirkungen spüren, wenn sie ihre Prozesse an die DSGVO-Anforderungen anpassen.

Der Vorteil der DSGVO-Anforderungen besteht darin, dass Vertrauen im Geschäft gedeihen kann, wenn die Menschen mehr Vertrauen in die Privatsphäre und den Schutz ihrer Daten gewinnen.

Wann ist eine Datenverarbeitungsvereinbarung erforderlich?

Benötigen Sie eine Datenverarbeitungsvereinbarung? Sie können personenbezogene Daten in oder aus der EU verarbeiten.

Gemäß der DSGVO  ist ein  DPA-Dokument obligatorisch, wenn eine Person oder Organisation personenbezogene Daten an einen Drittanbieter für einen Kooperationsdienst weitergibt. Alle Parteien, die als Datenverarbeiter fungieren, müssen DPAs mit den  Datenverantwortlichen unterzeichnen.

Beispielsweise muss in der EU ein Dienst, der eine Website hostet, eine DPA mit dem Unternehmen unterzeichnen, zu dem die Website gehört. Ein Unternehmen, das personenbezogene Daten verarbeitet, um gezieltes Verbrauchermarketing bereitzustellen, muss auch eine DPA unterzeichnen.

Im Folgenden finden Sie einige andere gängige Geschäftsdienstleistungen und -szenarien, die DPAs erfordern:

  • Outsourcing des E-Mail-Managements
  • Technische Datenverarbeitungslösungen für die Finanz- und Lohnbuchhaltung
  • Datensicherungsdienste, entweder über physische Server oder in der Cloud
  • Datenerfassung oder Digitalisierung über einen externen Dienstleister
  • Entsorgung alter Hardware mit sensiblen Daten

In einigen Fällen kann die DSGVO DPAs  für Unternehmen außerhalb Europas verlangen. Diese Anforderung kommt immer dann ins Spiel, wenn EU-Daten involviert sind. Beispielsweise kann ein Unternehmen mit Sitz in Kanada der DPA-Anforderung unterliegen, wenn es mit Daten über EU-Bürger umgeht.

Wann ist ein DPA nicht erforderlich?

Mehrere spezifische Szenarien erfordern keine DPAs. Sie verfügen über integrierte Schutzmaßnahmen, die den DPA-Schutz unnötig machen. Berücksichtigen Sie Folgendes, damit Sie die Verpflichtungen Ihres Unternehmens unter diesen Umständen besser verstehen können:

  1. Partnerschaften mit Berufsgruppen, die Vertraulichkeitsanforderungen haben: In vielen Berufen sind Best Practices für Dienstleister, branchenspezifische, maßgeschneiderte Vertraulichkeitsvereinbarungen zu haben, die alle Sicherheitsmaßnahmen und Datenschutzanforderungen abdecken, die eine DPA erfordern würde. Einige Berufe, die diese Vertraulichkeitsvereinbarungen in der Regel nutzen, sind Recht, Steuerberatung und Finanzprüfung. Viele Gesundheitsdienstleistungen verfügen in der Regel auch über eigene strenge Vertraulichkeitsgarantien.
  2. Portaldienste: Dienste, die lediglich Personen oder Unternehmen verbinden, sind in der Regel von den DPA-Anforderungen ausgenommen. Diese professionellen Matchmaking-Dienste sind so vorübergehend, dass eine DPA wenig Nutzen hätte. Personalvermittler fallen beispielsweise in diese Kategorie. Sie verbinden lediglich Personen, die nach Arbeit suchen, mit Unternehmen, die nach talentierten neuen Teammitgliedern suchen. Dieses Szenario macht eine DPA mit dem Personalvermittler unnötig.
  3. Zusammenarbeit mit Inkassoagenturen: Inkassoagenturen erhalten Zugang zu persönlichen Finanzinformationen und medizinischen Informationen. Da Inkassoagenturen von den ursprünglichen Gläubigern getrennt sind und die Schulden zu ihrem eigenen Vorteil einziehen, sind sie von den DPA-Anforderungen ausgenommen. Wenn sie im Namen der ursprünglichen Gläubiger arbeiten würden, müssten die Inkassoagenturen DPAs unterzeichnen.
  4. Gemeinsames Datenmanagement mehrerer Unternehmen: In einigen Fällen arbeiten Unternehmen als Gruppe zusammen, um eine Sammlung von Daten zu verwalten. Dieses Szenario tritt häufig auf, wenn Unternehmen gemeinsamen Zugriff auf Daten von Lieferanten, Produkten oder Vertriebsleitern haben. Obwohl die Unternehmen Konkurrenten sein können, verwenden sie dieselben Daten für die gleichen allgemeinen Zwecke. Der Umfang dieser Datennutzung bedeutet im Allgemeinen, dass eine DPA nicht zwingend erforderlich ist.
  5. Klinische Studien: Groß angelegte klinische pharmazeutische Studien verwenden normalerweise keine DPAs aufgrund der zahlreichen Mitwirkenden, die sie mit sich bringen. Ärzte, Forschungszentren und Sponsoren haben alle Zugriff auf die Patientendaten und sie verarbeiten sie alle unterschiedlich je nach ihren Bedürfnissen. Die erhobenen Daten dienen im Allgemeinen auch verschiedenen Zwecken während der gesamten klinischen Studie. Unter diesen Umständen finden DPAs im Allgemeinen keine Anwendung.

Wer ist der Datenverantwortliche?

Jede DPA-Vereinbarung findet zwischen einem Verantwortlichen und einem Auftragsverarbeiter statt. Der Datenverantwortliche ist die Organisation oder Person, die bestimmt, wie und warum personenbezogene Daten verarbeitet werden. Wenn Ihr Unternehmen beschließt, Daten zur Sicherung auf seinen Servern an einen Dritten zu senden, ist Ihr Unternehmen der Datenverantwortliche.

Das entscheidende Merkmal eines Datenverantwortlichen ist die Entscheidungsbefugnis.  Der Datenverantwortliche trifft übergreifende Entscheidungen über die Gründe für die Datenerhebung und die Art und Weise, wie die  Verarbeitung personenbezogener Daten erfolgen  soll.

In den meisten Szenarien ist ein Unternehmen oder eine Organisation der Datenverantwortliche. Der Auftragsverarbeiter ist eine separate Stelle, die Verträge mit dem Unternehmen abschließt. Eine Person, wie z. B. ein Einzelunternehmer oder Selbstständiger, kann auch ein Datenverantwortlicher sein, wenn diese Person Entscheidungen über die Erhebung und Verarbeitung personenbezogener Daten trifft.

Wer ist der Auftragsverarbeiter?

Der Datenverarbeiter ist der Dritte, der die Daten für einen Datenverantwortlichen verarbeitet. Wenn Ihr Unternehmen im obigen Szenario beschließt, Ihre Daten zur Sicherung zu versenden, ist das Unternehmen, das die Backup-Dienste bereitstellt, der Datenverarbeiter.

Der Datenverarbeiter kann viele Formen annehmen. Es kann sich um ein Unternehmen, eine Einzelperson oder eine öffentliche Behörde handeln. Das relevante Kriterium ist, ob diese natürliche oder juristische Person Daten im Auftrag eines Datenverantwortlichen verarbeitet oder nicht.

Was beinhaltet ein DPA-Dokument?

Artikel 28-36 der DSGVO legen fest, welche vertraglichen Verpflichtungen für den Datenverarbeiter  gemäß den  DPA-Regeln der DSGVO obligatorisch sind. Nachfolgend finden Sie einige der erforderlichen  DPA-Klauseln:

1. Eine gründliche Aufschlüsselung der Details der Datenverarbeitung

Der DPA sollte umfassende Einzelheiten darüber enthalten, wie jeder Aspekt der Datenverarbeitung stattfinden wird. Der DPA sollte klare Informationen zu Themen enthalten wie:

  • Die Art der zu verarbeitenden personenbezogenen Daten
  • Der Gegenstand der Daten
  • Die Kategorien der betroffenen Personen
  • Zweck und Art der Verarbeitung
  • Die erwartete Dauer der Datenverarbeitung
  • Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten
  • Die Rückgabe oder Löschung personenbezogener Daten am Ende der Verarbeitung

2. Rechte und Verantwortlichkeiten des Datenverantwortlichen und des Auftragsverarbeiters

Bei der Festlegung der Rechte und Verantwortlichkeiten für beide Parteien stellt die DPA sicher, dass klar ist, wer die Datenverarbeitung kontrolliert.

Der DPA sollte ausdrücklich angeben, dass der Auftragsverarbeiter die Verarbeitung gemäß den Wünschen und Spezifikationen des Verantwortlichen durchführen muss. Es sollte angegeben werden, dass die Steuerung, nicht der Prozessor, die vollständige Kontrolle über die Daten behält und was damit geschieht.

Der DPA sollte den Datenverarbeiter anweisen, die Daten nur gemäß den direkten Anweisungen des Datenverantwortlichen zu verarbeiten, wobei von diesen Anweisungen nur dann abgewichen wird, wenn die EU-Gesetze oder eines der Gesetze der Mitgliedstaaten dies erfordern.

3. Erforderliche Vertraulichkeitsmaßnahmen für den Auftragsverarbeiter

Der DPA sollte die Protokolle angeben, die der Datenverarbeiter befolgen sollte, um die Vertraulichkeit der personenbezogenen Daten zu gewährleisten.

So muss der Auftragsverarbeiter beispielsweise von festangestellten Mitarbeitern, Zeitarbeitskräften und Unterauftragnehmern verlangen, Vertraulichkeitsvereinbarungen zu unterzeichnen, bevor er mit der Verarbeitung personenbezogener Daten beginnen kann. Einziger Zeitpunkt, an dem eine Vertraulichkeitsvereinbarung unnötig wird, ist, wenn eine gesetzliche Verpflichtung bereits den Auftragsverarbeiter zur Wahrung der Vertraulichkeit verpflichtet.

4. Erforderliche technische und organisatorische Protokolle zur Informationssicherheit

Der DPA sollte die Sicherheitsmaßnahmen darlegen, die der Auftragsverarbeiter umsetzen muss, einschließlich Maßnahmen wie diese, wenn angemessen:

  • Datenverschlüsselung
  • Pseudonymisierung der betroffenen Person
  • Protokolle zur Gewährleistung der Datenvertraulichkeit, Verfügbarkeit, Belastbarkeit und Sicherheit aller Datenverarbeitungssysteme
  • Prozesse zur Wiederherstellung des Zugriffs auf personenbezogene Daten nach einem Angriff oder einer Verletzung
  • Ein regelmäßiges Programm zum Testen und Bewerten der Wirksamkeit aller Sicherheitsmaßnahmen

Viele Auftragsverarbeiter möchten möglicherweise formelle Zertifizierungen erhalten oder offizielle Verhaltenskodizes erstellen, die ihre implementierten Protokolle bestätigen. Maßnahmen wie diese tragen dazu bei, zu gewährleisten, dass ihre Datenverarbeitung vollständig mit der DSGVO übereinstimmt.

5. Bedingungen für etwaige Subunternehmerverträge

Der DPA sollte auch die Anforderungen darlegen, die der Auftragsverarbeiter für seine Unterauftragnehmer stellen muss. Zum Beispiel muss der Auftragsverarbeiter sicherstellen, dass er diese Regeln und Best Practices einhält:

  • Einsatz von Subunternehmern nur mit ausdrücklicher Zustimmung und Genehmigung des Verantwortlichen
  • Ausarbeitung und Unterzeichnung von Verträgen, die dem Unterauftragnehmer die gleichen Datensicherheitsanforderungen auferlegen, die der Auftragsverarbeiter selbst befolgen muss
  • Sicherstellung der Einhaltung der Datenschutzanforderungen durch den Subunternehmer
  • Information des Datenverantwortlichen über alle Änderungen, an denen Unterauftragnehmer beteiligt sind, und Bereitstellung von Zeit für die Beantwortung des Datenverantwortlichen

6. Mitwirkungspflichten für den Auftragsverarbeiter

Der DPA sollte festlegen, wann und wie der Auftragsverarbeiter mit dem Verantwortlichen zusammenarbeiten muss. Der Auftragsverarbeiter muss beispielsweise zusammenarbeiten, um Anfragen nach Datenzugriff zu lösen. Der Auftragsverarbeiter muss auch beim Schutz der Privatsphäre und der Rechte der betroffenen Personen kooperieren, insbesondere durch die Erfüllung dieser Anforderungen:

  • Gewährleistung der Sicherheit personenbezogener Daten
  • Unverzügliche Benachrichtigung von Behörden und betroffenen Personen über Verletzungen des Schutzes personenbezogener Daten
  • Durchführung von Datenschutz-Folgenabschätzungen (DSFAs) nach Bedarf
  • Bei schwerwiegenden Datenrisiken die zuständigen Behörden konsultieren

Der Auftragsverarbeiter muss es dem Verantwortlichen auch ermöglichen, während der Verarbeitung Compliance-Audits durchzuführen. Bei Audits muss der Auftragsverarbeiter dem Verantwortlichen unverzüglich alle relevanten Informationen zur Verfügung stellen, um nachzuweisen, dass er seine Compliance-Verpflichtungen gemäß Artikel 28 der DSGVO erfüllt hat.

Best Practices dienen auch dazu, dass der Auftragsverarbeiter Aufzeichnungen über seine Verarbeitungsaktivitäten führt, um die Einhaltung der DSGVO nachzuweisen.

Was geschieht nach einer Datenschutzverletzung im Rahmen eines DPA?

Wenn eine Datenschutzverletzung auftritt, müssen die beteiligten Unternehmen spezifische, sofortige Maßnahmen ergreifen. Ihr Unternehmen muss die zuständige Aufsichtsbehörde innerhalb von Stunden  benachrichtigen72 , wenn der Verstoß schwerwiegende Risiken darstellt.

Wenn der Verstoß ein sehr hohes Risiko für die betroffenen Personen darstellt, muss Ihr Unternehmen diese Personen in der Regel ebenfalls benachrichtigen. Wenn Ihr Unternehmen jedoch bereits über effektive technische und organisatorische Risikominderungsprotokolle verfügt, ist möglicherweise keine Benachrichtigung erforderlich.

Stellen Sie sich zum Beispiel vor, ein Kreditkartenunternehmen hätte aufgrund eines Angriffs auf die Server, auf denen es seine Daten gespeichert hat, eine Datenschutzverletzung erlitten. Die persönlichen Finanzinformationen seiner Kunden sind kompromittiert worden. Ihre Namen, Privatadressen, zusätzlichen Kontaktinformationen, finanziellen Details und die Details der Arten von Zahlungen, die sie auf ihren Kreditkarten getätigt haben, sind alle öffentlich geworden.

Das Unternehmen, das die Server hostet, müsste die Behörden innerhalb von 72 Stunden über den Verstoß informieren. Es müsste auch das Kreditkartenunternehmen benachrichtigen.

Das Unternehmen müsste die Verbraucher wahrscheinlich informieren, da die Offenlegung ihrer personenbezogenen Daten sie gefährden könnte.  Die Verletzung könnte auch zu Offenlegungen der sensiblen, geschützten Gesundheitsinformationen der Verbraucher führen, wenn sie medizinische Zahlungen mit ihren Kreditkarten getätigt hätten.

Was sind die Strafen für die Nichteinhaltung der DSGVO? 

Wenn eine Datenschutzverletzung auftritt, wird das Unternehmen, das als nicht konform befunden wird, mit Disziplinarmaßnahmen belegt. Ein wahrscheinlicher Verstoß erhält lediglich eine Abmahnung. Bestätigte Verstöße können einer oder mehreren der folgenden Strafen unterliegen:

  1. Eine formelle Verwarnung
  2. Ein vorübergehendes oder dauerhaftes Verbot der Datenverarbeitung
  3. Eine  Geldstrafe von bis zu EUR Mio20. oder 4 Prozent des gesamten globalen Jahresumsatzes des Unternehmens

Stellen Sie Datensicherheitsexperten mit Globalization Partners in Ihr Team ein

Wenn Sie internationale Teams aufbauen, die sich auf Datensicherheit konzentrieren, arbeiten Sie mit Globalization Partners zusammen. Unsere Expertenteams können Ihnen dabei helfen , die für Ihr Unternehmen geltenden Vorschriften zu  Datenverarbeitungsvereinbarungen zu verstehen.

Datenschutzbeauftragte und andere Rechtsexperten in Ihrem Team zu haben, ist unerlässlich, um die  DPA-Compliance zu gewährleisten.  Als globaler Employer of Record (EOR) hilft Ihnen Globalization Partners dabei, die internationalen Talente einzustellen und zu bezahlen, die Sie für den Erfolg benötigen. Wir nehmen den Datenschutz sehr ernst und können Ihnen dabei helfen, die lokalen Arbeitsgesetze einzuhalten und Ihre vertraulichen Informationen zu schützen, während Sie Ihr Unternehmen international skalieren.

Bei Globalization Partners helfen wir Ihnen, Ihre Einstellungsprozesse zu beschleunigen. Mit unserer  Full-Stack-Globale Beschäftigungsplattform können Sie Ihre neuen Teammitglieder mit nur wenigen Klicks einstellen und einbinden, was Zeit spart und Ihren Ansatz für die Herausforderungen des internationalen Unternehmenswachstums rationalisiert.

Fordern Sie noch heute ein Angebot  an oder  kontaktieren Sie uns , um mehr über die Einstellung von Datensicherheitsexperten über unsere Plattform zu erfahren.

 

Lesen Sie das gerne?
Kontakt