In der heutigen digitalen Welt sind fast alle Organisationen auf die eine oder andere Weise auf Dritte angewiesen, um personenbezogene Daten zu verarbeiten, wodurch ein unmittelbarer Bedarf an Datenverarbeitungsverträgen entsteht.
Und die Ressourcen, von denen bekannt ist, dass sie für Unternehmen unerlässlich sind, wie z. B. E-Mail-Clients, CMS-Systeme, Datenspeicherserver oder Website-Analysen, verarbeiten alle im Auftrag von Unternehmen personenbezogene Daten.
Bei der Umsetzung der Datenschutz-Grundverordnung gibt es spezifische Spezifikationen und Leitlinien dafür, wie dies auf konforme Weise erreicht werden kann, nämlich durch unterzeichnete Datenverarbeitungsverträge zwischen dem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und jeder Gruppe, die in seinem Namen als Datenverarbeiter tätig ist. Aber was sind Datenverarbeitungsverträge, die Sie brauchen, wie sehen sie aus und wer muss in Ihrem Unternehmen daran beteiligt sein?
Was ist ein Abkommen zur Datenverarbeitung (AVV)?
Ein Datenverarbeiter (AVV) ist eine schriftliche Vereinbarung zwischen einem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und einer dritten Organisation (Datenverarbeiter), um sicherzustellen, dass alle Verarbeitungstätigkeiten in Übereinstimmung mit den Anweisungen sowohl der DSGVO als auch des für die Datenverarbeitung Verantwortlichen durchgeführt werden.
Genauer gesagt, beschreibt die DSGVO die DSGVO als eine rechtsverbindliche Vereinbarung, die entweder schriftlich oder elektronisch zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter geschlossen wird. Die DSGVO dient als Vereinbarung, in der die Aufgaben, Pflichten und Bedingungen für das Handeln aller Beteiligten geklärt werden.
Wer unterzeichnet ein AVV?
Natürlich sind die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter die wichtigsten Parteien bei der Unterzeichnung einer Datenschutzvereinbarung. Dennoch sollten auch alle anderen Parteien, die an der Verarbeitung der Daten Ihrer Organisation beteiligt sind, einbezogen werden.
Was muss eine DSGVO nach der DSGVO enthalten?
Die folgenden acht Hauptpunkte sollten gemäß Artikel 28 Absatz 3 DSGVO unbedingt in die DSGVO aufgenommen werden:
1. Dass der für die Verarbeitung Verantwortliche der Verarbeitung personenbezogener Daten nur auf schriftliche Anweisung des für die Verarbeitung Verantwortlichen zustimmt.
2. Jede Person, die mit personenbezogenen Daten umgeht, ist zur Vertraulichkeit verpflichtet.
3. Es werden angemessene technische und organisatorische Maßnahmen getroffen, um den Schutz der Daten zu gewährleisten.
4. Der Auftragsverarbeiter beschließt, keinen Unterauftrag an einen anderen Auftragsverarbeiter zu vergeben, es sei denn, der für die Verarbeitung Verantwortliche hat ihn ausdrücklich schriftlich dazu angewiesen. Dies bedeutet, dass mit dem Unterauftragsverarbeiter dieselben Verantwortlichkeiten für die Datensicherheit ausgehandelt werden sollten wie zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter (gemäß Artikel 28 Absatz 2-4 der DSGVO).
5. Der Datenverarbeiter erklärt sich bereit, den für die Datenverarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten nach der DSGVO zu unterstützen, insbesondere im Hinblick auf die Rechte der betroffenen Person.
6. Der Datenverarbeiter erklärt sich bereit, den für die Verarbeitung Verantwortlichen bei der Einhaltung der DSGVO im Lichte von Artikel 32 der DSGVO (Sicherheit der Datenverarbeitung) und Artikel 36 der DSGVO (Konsultation der Datenschutzbehörde vor der Verarbeitung von Daten, die als risikoreich gelten) zu unterstützen.
7. Bei Beendigung des Dienstes entscheidet der Datenverarbeiter, alle personenbezogenen Daten zu löschen oder die Daten an den für die Verarbeitung Verantwortlichen zurückzugeben.
8. Der Datenverarbeiter muss dem für die Verarbeitung Verantwortlichen die Durchführung eines Audits ermöglichen und die erforderlichen Informationen bereitstellen, um die Einhaltung des Audits nachzuweisen.
Beispiel für ein AVV
Schauen wir uns ein populäres und einfaches Beispiel für eine Situation an, in der eine AVV zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter erforderlich ist, um Ihnen einen besseren Einblick zu geben.
Sie kann auch Folgendes umfassen:
Um sicherzustellen, dass Ihre Vereinbarungen mit der DSGVO übereinstimmen, gibt es auch nette, zuverlässige Online-Tools, wie z. B. diese AVV-Vorlage.
Erste Schritte zur Vorbereitung auf die Ausarbeitung einer AVV
Definitionen verstehen
Die meisten Datenschutzvereinbarungen enthalten unweigerlich eine Fülle von juristischem Fachjargon, aber die Vereinbarung sollte am Ende für beide Parteien leicht verständlich sein. Es kann von Vorteil sein, das EDPB-Glossar einzubeziehen, das hier leicht erhältlich ist, um sicherzustellen, dass auch diejenigen, die kein Jurastudium absolviert haben oder nicht im Datenschutz tätig sind, die DSGVO gut verstehen. Führen Sie dann für alle Beteiligten eine offene Debatte.
Kartierung der Datennutzung und Bestimmung des Risikos
Sie sollten sich vor der Ausarbeitung einer DSGVO darüber im Klaren sein, um welche Art von personenbezogenen Daten es sich handelt. Die Datenschutz-Grundverordnung klassifiziert personenbezogene Daten oder regelmäßige Daten in bestimmte Datenkategorien. Zu den standardmäßigen personenbezogenen Daten gehören Details wie Namen und Geburtsdaten und zu den vertraulichen Informationen wie Finanzdaten und biometrische Daten gehören einzigartige Datenkategorien.
Eine bestimmte Datenkategorie erfordert höhere Standards für die Datensicherheitskontrollen; das Unternehmen sollte sich genau darüber im Klaren sein, auf welche Kategorie personenbezogener Daten sich die Datenschutzbehörde beziehen wird.
Auch Ihre Datenverarbeiter sollten die Bedeutung der Daten, die sie in Ihrem Auftrag verarbeiten, erkennen und ihre Sicherheitsrichtlinien korrekt darauf abstimmen. Neben der Durchführung einer Datenschutz-Folgenabschätzung kann das Data Mapping eine geeignete Methode dafür sein.
Die Rollen kennen
Ihr Unternehmen sollte jede beteiligte Gruppe kennen, bevor es mit der Erstellung einer AVV beginnt, und wissen, welche Hauptfunktionen sie für diese spezielle Vereinbarung haben. Untersuchen Sie, ob mehr als ein oder mehrere Unterauftragsverarbeiter an der Datenverarbeitung beteiligt sind.
Wichtig ist auch, dass der Auftragsverarbeiter ausschließlich unter der Aufsicht des für die Verarbeitung Verantwortlichen handelt, während der Unterauftragsverarbeiter unter der Aufsicht des Auftragsverarbeiters arbeitet. Daher werden Missverständnisse und Irreführungen durch die Aufnahme von Klauseln, die sich mit beiden Positionen befassen, erheblich minimiert, was sich ansonsten als teuer erweisen könnte.
Auswerten
Schließlich wird auch dringend empfohlen, vor der Ausarbeitung einer AVV eine Risikobewertung des Anbieters vorzunehmen. Es wäre von g
roßem Vorteil, festzustellen, inwieweit jede Partei an der Vereinbarung interessiert ist und auf welcher Ebene sie zu gegebener Zeit auf DSARs reagieren kann.
Es gibt ein paar wichtige Dinge, auf die Sie besonders achten sollten:
Konsistenz ist der Schlüssel
Die DSGVO sollte betonen, dass Datenverarbeiter aus anderen Gründen als den in der DSGVO und von dem/den für die Verarbeitung Verantwortlichen mitgeteilten nicht in der Lage sind, die personenbezogenen Daten Ihrer Organisation zu verarbeiten.
Um sicherzustellen, dass der Auftragsverarbeiter die übermittelten Daten in einer Weise verwendet, die im Rahmen der DSGVO entwickelt und beschlossen wurde, könnte es wichtig sein, dass Ihr Unternehmen Audits durchführt. Es wäre auch sinnvoll, sicherzustellen, dass die Reichweite der DSGVO eines Auftragsverarbeiters nicht größer ist als die ursprüngliche Rechtsgrundlage, die für die Verarbeitung personenbezogener Daten durch Ihr Unternehmen geschaffen wurde.
Vermeiden Sie Fehlinterpretationen
Stellen Sie sicher, dass bei der Festlegung von Rollen und Aufgaben kein Raum für Fehlinterpretationen bleibt. Dies kann z. B. dadurch erreicht werden, dass die Fristen, innerhalb derer der Datenverarbeiter die DSARs bearbeiten sollte, bestätigt und bekräftigt werden. Achten Sie darauf, dass auch Kontaktinformationen enthalten sind, damit die Parteien wissen, an wen sie sich bei Problemen wenden können. Natürlich kann es auch hilfreich sein, sich täglich zu melden und ein transparentes, offenes und persönliches Verhältnis zu entwickeln, das Vorbehalte ausräumt und Sie bei möglichen Unfällen in den Vordergrund rückt.
Kümmern Sie sich gut um Ihre AVVs
Die Erstellung eines solchen Dokuments kann zwar langwierig sein und eine Menge Vorbereitungsarbeit mit sich bringen, z. B. Datenmapping, Datenschutzfolgenabschätzungen, Zeitaufwand und Geld, aber am Ende lohnt sich das alles. Bei der Einhaltung der DSGVO spielen Datenverarbeitungsregelungen eine entscheidende Rolle, um sicherzustellen, dass alle Aufgaben angemessen mit der Verordnung abgestimmt sind.
Mit Hilfe von Datenschutzvereinbarungen können Unternehmen ihre Datenverarbeitungsprozesse und Sicherheitsmaßnahmen weiter stärken, das Risiko von Datenschutzverletzungen oder -vorfällen verringern und die Transparenz und Wirksamkeit verbessern. Insgesamt fungiert die AVV als Rückgrat, das alle Parteien auf dem Weg zur Gewährleistung einer konsistenten und langfristigen Datensicherheit in Ihrem Unternehmen leitet.