INFORMATIONEN

Vereinbarungen über die Datenverarbeitung – alles, was Sie wissen müssen

In der heutigen digitalen Welt sind fast alle Organisationen auf die eine oder andere Weise auf Dritte angewiesen, um personenbezogene Daten zu verarbeiten, wodurch ein unmittelbarer Bedarf an Datenverarbeitungsverträgen entsteht.

Und die Ressourcen, von denen bekannt ist, dass sie für Unternehmen unerlässlich sind, wie z. B. E-Mail-Clients, CMS-Systeme, Datenspeicherserver oder Website-Analysen, verarbeiten alle im Auftrag von Unternehmen personenbezogene Daten.

Bei der Umsetzung der DSGVO gibt es spezifische Spezifikationen und Leitlinien dafür, wie dies durch unterzeichnete Datenschutzvereinbarungen zwischen dem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und jeder Gruppe, die in seinem Namen als Datenverarbeiter tätig ist, auf konforme Weise erreicht werden kann.

Aber was sind Datenverarbeitungsverträge, die Sie brauchen, wie sehen sie aus, und wer muss in Ihrem Unternehmen beteiligt sein?

Was ist ein Abkommen zur Datenverarbeitung (AVV)?

Eine Datenverarbeitungsvereinbarung (Data Processor Agreement, AVV) ist eine schriftliche Vereinbarung zwischen einem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und einer dritten Organisation (Datenverarbeiter), um sicherzustellen, dass alle Verarbeitungstätigkeiten in Übereinstimmung mit den Anweisungen der DSGVO und des für die Datenverarbeitung Verantwortlichen durchgeführt werden.

Genauer gesagt, beschreibt die DSGVO die DSGVO als eine rechtsverbindliche Vereinbarung, die entweder schriftlich oder elektronisch zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter geschlossen wird. Die DSGVO dient als Vereinbarung, in der die Aufgaben, Pflichten und Bedingungen für das Handeln aller Beteiligten geklärt werden.

Wer unterzeichnet ein AVV?

Natürlich sind die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter die wichtigsten Parteien bei der Unterzeichnung einer Datenschutzvereinbarung. Dennoch sollten auch alle anderen Parteien, die an der Verarbeitung der Daten Ihrer Organisation beteiligt sind, einbezogen werden.

Was muss eine DSGVO laut DSGVO enthalten?

Die folgenden acht Hauptpunkte sollten gemäß Artikel 28 Absatz 3 DSGVO unbedingt in die DSGVO aufgenommen werden:

  • dass der für die Verarbeitung Verantwortliche der Verarbeitung personenbezogener Daten nur auf schriftliche Anweisung des für die Verarbeitung Verantwortlichen zustimmt.
  • Jede Person, die mit personenbezogenen Daten umgeht, ist zur Vertraulichkeit verpflichtet.
  • Um den Schutz der Daten zu gewährleisten, werden geeignete technische und organisatorische Maßnahmen getroffen.
  • Der Datenverarbeiter verpflichtet sich, keinen Unterauftrag an einen anderen Auftragsverarbeiter zu vergeben, es sei denn, der für die Verarbeitung Verantwortliche hat ihn eindeutig schriftlich dazu angewiesen. Dies bedeutet, dass mit dem Unterauftragsverarbeiter dieselben Verantwortlichkeiten für die Datensicherheit ausgehandelt werden sollten, wie sie zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter festgelegt wurden (gemäß Artikel 28 Absatz 2-4 der DSGVO).
  • Der Datenverarbeiter erklärt sich bereit, den für die Datenverarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO zu unterstützen, was die Rechte der betroffenen Person betrifft.
  • Der Datenverarbeiter erklärt sich bereit, den für die Datenverarbeitung Verantwortlichen bei der Einhaltung der DSGVO im Rahmen von Artikel 32 DSGVO (Sicherheit der Datenverarbeitung) und Artikel 36 DSGVO zu unterstützen.
  • Bei Beendigung des Dienstes entscheidet der Datenverarbeiter, alle personenbezogenen Daten zu löschen oder die Daten an den für die Verarbeitung Verantwortlichen zurückzugeben.
  • Der Datenverarbeiter muss dem für die Verarbeitung Verantwortlichen die Durchführung eines Audits ermöglichen und die erforderlichen Informationen bereitstellen, um die Einhaltung des Audits nachzuweisen.

    • Erste Schritte zur Vorbereitung auf die Ausarbeitung einer AVV

    Definitionen verstehen

    Die meisten AVVs enthalten unweigerlich eine Menge juristischen Fachjargon, aber die Vereinbarung sollte am Ende für beide Parteien leicht verständlich sein.

    Die Rollen kennen

    Ihr Unternehmen sollte jede beteiligte Gruppe erkennen, bevor es mit der Erstellung einer AVV beginnt, und deren Hauptaufgaben für diese separate Vereinbarung festlegen. Untersuchen Sie, ob es mehr als einen oder mehrere Unterauftragsverarbeiter gibt, die an der Datenverarbeitung beteiligt sind.

    Auswerten

    Schließlich wird auch dringend empfohlen, vor der Ausarbeitung einer AVV eine Risikobewertung des Anbieters vorzunehmen. Es wäre von großem Vorteil, festzustellen, inwieweit jede Partei an der Vereinbarung interessiert ist und auf welcher Ebene sie zu gegebener Zeit auf DSARs reagieren kann.

    Die wichtigsten Punkte, die bei der Unterzeichnung einer AVV zu beachten sind

    Bei der Unterzeichnung einer AVV, die nicht von Ihnen verfasst wurde, sollten Sie einige wichtige Punkte beachten:

    Garantien von Verarbeitern

    In jeder DSGVO ist es zwingend erforderlich, sicherzustellen, dass Ihr Datenverarbeiter ausreichende Sicherheitsvorkehrungen für die von Ihnen an ihn übermittelten personenbezogenen Daten trifft.

    Die Datenschutz-Grundverordnung stellt klar, dass sowohl der Datenverarbeiter als auch der für die Verarbeitung Verantwortliche im Falle einer Datenverletzung zur Verantwortung gezogen werden können, unabhängig davon, welche Partei das Opfer der Verletzung war. Daher sollten für die Verarbeitung Verantwortliche Datenverarbeiter auswählen, die angemessene Sicherheitsvorkehrungen treffen.

    Insbesondere wird in der Datenschutz-Grundverordnung darauf hingewiesen, dass die für die Verarbeitung Verantwortlichen Auftragsverarbeiter mit Fachwissen, Zuverlässigkeit und Maßnahmen festlegen sollten, die den Kriterien der Verordnung entsprechen. Wie in Artikel 28 Absatz 1 der Datenschutz-Grundverordnung dargelegt, erfordert dies einen angemessenen Datenschutz.

    Konsistenz ist der Schlüssel

    Die DSGVO sollte betonen, dass Datenverarbeiter aus anderen Gründen als den in der DSGVO und von dem/den für die Verarbeitung Verantwortlichen mitgeteilten nicht in der Lage sind, die personenbezogenen Daten Ihrer Organisation zu verarbeiten.

    Um sicherzustellen, dass der Auftragsverarbeiter die übermittelten Daten in einer Weise verwendet, die im Rahmen der DSGVO entwickelt und beschlossen wurde, kann es wichtig sein, dass Ihr Unternehmen Audits durchführt.

    Es wäre auch sinnvoll, sicherzustellen, dass die Reichweite der Datenschutzbestimmungen eines Auftragsverarbeiters nicht größer ist als die ursprüngliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Ihre Organisation.

    Bei der Einhaltung der DSGVO spielen die Datenverarbeitungsregelungen eine entscheidende Rolle, um sicherzustellen, dass alle Aufgaben angemessen mit der Verordnung koordiniert werden.

    Zusammenfassung

    Mit Hilfe von Datenschutzvereinbarungen können Unternehmen ihre Datenverarbeitungsprozesse und Sicherheitsmaßnahmen weiter stärken, das Risiko von Datenschutzverletzungen oder -vorfällen verringern und die Transparenz und Wirksamkeit verbessern. Insgesamt fungiert die AVV als Rückgrat, das alle Parteien auf dem Weg zur Gewährleistung einer konsistenten und langfristigen Datensicherheit in Ihrem Unternehmen leitet.

    Freiberufler und Datenschutz

    01/04/2021 Keine Kommentare

    Die Klassifizierung des Datenschutzes von Freiberuflern scheint eine schwierige Aufgabe zu sein. Wir zeigen Ihnen, wie Sie den Datenschutz für „Ihre“ Freiberufler besser einordnen können.

    mehr »