In der heutigen digitalen Welt sind fast alle Organisationen auf die eine oder andere Weise auf Dritte angewiesen, um personenbezogene Daten zu verarbeiten, wodurch ein unmittelbarer Bedarf an Datenverarbeitungsverträgen entsteht.
Und die Ressourcen, von denen bekannt ist, dass sie für Unternehmen unerlässlich sind, wie z. B. E-Mail-Clients, CMS-Systeme, Datenspeicherserver oder Website-Analysen, verarbeiten alle im Auftrag von Unternehmen personenbezogene Daten.
Bei der Umsetzung der DSGVO gibt es spezifische Spezifikationen und Leitlinien dafür, wie dies durch unterzeichnete Datenschutzvereinbarungen zwischen dem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und jeder Gruppe, die in seinem Namen als Datenverarbeiter tätig ist, auf konforme Weise erreicht werden kann.
Aber was sind Datenverarbeitungsverträge, die Sie brauchen, wie sehen sie aus, und wer muss in Ihrem Unternehmen beteiligt sein?
Was ist ein Abkommen zur Datenverarbeitung (AVV)?
Eine Datenverarbeitungsvereinbarung (Data Processor Agreement, AVV) ist eine schriftliche Vereinbarung zwischen einem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und einer dritten Organisation (Datenverarbeiter), um sicherzustellen, dass alle Verarbeitungstätigkeiten in Übereinstimmung mit den Anweisungen der DSGVO und des für die Datenverarbeitung Verantwortlichen durchgeführt werden.
Genauer gesagt, beschreibt die DSGVO die DSGVO als eine rechtsverbindliche Vereinbarung, die entweder schriftlich oder elektronisch zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter geschlossen wird. Die DSGVO dient als Vereinbarung, in der die Aufgaben, Pflichten und Bedingungen für das Handeln aller Beteiligten geklärt werden.
Wer unterzeichnet ein AVV?
Natürlich sind die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter die wichtigsten Parteien bei der Unterzeichnung einer Datenschutzvereinbarung. Dennoch sollten auch alle anderen Parteien, die an der Verarbeitung der Daten Ihrer Organisation beteiligt sind, einbezogen werden.
Was muss eine DSGVO laut DSGVO enthalten?
Die folgenden acht Hauptpunkte sollten gemäß Artikel 28 Absatz 3 DSGVO unbedingt in die DSGVO aufgenommen werden:
Erste Schritte zur Vorbereitung auf die Ausarbeitung einer AVV
Definitionen verstehen
Die meisten AVVs enthalten unweigerlich eine Menge juristischen Fachjargon, aber die Vereinbarung sollte am Ende für beide Parteien leicht verständlich sein.
Die Rollen kennen
Ihr Unternehmen sollte jede beteiligte Gruppe erkennen, bevor es mit der Erstellung einer AVV beginnt, und deren Hauptaufgaben für diese separate Vereinbarung festlegen. Untersuchen Sie, ob es mehr als einen oder mehrere Unterauftragsverarbeiter gibt, die an der Datenverarbeitung beteiligt sind.
Auswerten
Schließlich wird auch dringend empfohlen, vor der Ausarbeitung einer AVV eine Risikobewertung des Anbieters vorzunehmen. Es wäre von großem Vorteil, festzustellen, inwieweit jede Partei an der Vereinbarung interessiert ist und auf welcher Ebene sie zu gegebener Zeit auf DSARs reagieren kann.
Die wichtigsten Punkte, die bei der Unterzeichnung einer AVV zu beachten sind
Bei der Unterzeichnung einer AVV, die nicht von Ihnen verfasst wurde, sollten Sie einige wichtige Punkte beachten:
Garantien von Verarbeitern
In jeder DSGVO ist es zwingend erforderlich, sicherzustellen, dass Ihr Datenverarbeiter ausreichende Sicherheitsvorkehrungen für die von Ihnen an ihn übermittelten personenbezogenen Daten trifft.
Die Datenschutz-Grundverordnung stellt klar, dass sowohl der Datenverarbeiter als auch der für die Verarbeitung Verantwortliche im Falle einer Datenverletzung zur Verantwortung gezogen werden können, unabhängig davon, welche Partei das Opfer der Verletzung war. Daher sollten für die Verarbeitung Verantwortliche Datenverarbeiter auswählen, die angemessene Sicherheitsvorkehrungen treffen.
Insbesondere wird in der Datenschutz-Grundverordnung darauf hingewiesen, dass die für die Verarbeitung Verantwortlichen Auftragsverarbeiter mit Fachwissen, Zuverlässigkeit und Maßnahmen festlegen sollten, die den Kriterien der Verordnung entsprechen. Wie in Artikel 28 Absatz 1 der Datenschutz-Grundverordnung dargelegt, erfordert dies einen angemessenen Datenschutz.
Konsistenz ist der Schlüssel
Die DSGVO sollte betonen, dass Datenverarbeiter aus anderen Gründen als den in der DSGVO und von dem/den für die Verarbeitung Verantwortlichen mitgeteilten nicht in der Lage sind, die personenbezogenen Daten Ihrer Organisation zu verarbeiten.
Um sicherzustellen, dass der Auftragsverarbeiter die übermittelten Daten in einer Weise verwendet, die im Rahmen der DSGVO entwickelt und beschlossen wurde, kann es wichtig sein, dass Ihr Unternehmen Audits durchführt.
Es wäre auch sinnvoll, sicherzustellen, dass die Reichweite der Datenschutzbestimmungen eines Auftragsverarbeiters nicht größer ist als die ursprüngliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Ihre Organisation.
Bei der Einhaltung der DSGVO spielen die Datenverarbeitungsregelungen eine entscheidende Rolle, um sicherzustellen, dass alle Aufgaben angemessen mit der Verordnung koordiniert werden.
Zusammenfassung
Mit Hilfe von Datenschutzvereinbarungen können Unternehmen ihre Datenverarbeitungsprozesse und Sicherheitsmaßnahmen weiter stärken, das Risiko von Datenschutzverletzungen oder -vorfällen verringern und die Transparenz und Wirksamkeit verbessern. Insgesamt fungiert die AVV als Rückgrat, das alle Parteien auf dem Weg zur Gewährleistung einer konsistenten und langfristigen Datensicherheit in Ihrem Unternehmen leitet.