TL;DR
Die Datenverarbeitungsvereinbarung, kurz DPA, ist ein rechtsverbindlicher Vertrag zwischen einem Unternehmen und einem externen Datenverarbeiter, der den Datenschutz im Hinblick auf die Einhaltung der DSGVO regeln soll.
Was ist die Datenverarbeitungsvereinbarung (DPA)?
Jedes Unternehmen, das eine Online-Präsenz hat, ist auf Dritte angewiesen, um ordnungsgemäß zu funktionieren. Bei diesen Dritten kann es sich um einen E-Mail-Anbieter, ein Website-Analyse-Tool oder ein Chat-Tool usw. handeln; im Grunde um jedes Tool, das personenbezogene Daten des Nutzers verarbeitet.
Zwischen dem Unternehmen (für die Verarbeitung Verantwortlicher) und jedem Dritten (Auftragsverarbeiter) muss eine Datenverarbeitungsvereinbarung unterzeichnet werden, die sicherstellt, dass die Daten ordnungsgemäß gespeichert werden und nicht missbraucht, verkauft oder für Angriffe anfällig sind. Dies ist einer der grundlegendsten Schritte auf dem Weg zur GDPR-Konformität.
Die meisten dieser Drittanbieter-Tools stellen DPAs auf ihren Websites zum Herunterladen und Unterzeichnen bereit. Die unterzeichnete DPA kann normalerweise auch per E-Mail angefordert werden.
Falls Sie Ihre eigene Datenverarbeitungsvereinbarung erstellen müssen, können Sie die offizielle Vorlage von https://gdpr.eu/data-processing-agreement/ herunterladen . Alle Unternehmen können dieses Dokument verwenden, um die DSGVO einzuhalten und teure Geldstrafen zu vermeiden.
Die Datenverarbeitungsvereinbarung gilt für Unternehmen, die Daten aus der Europäischen Union speichern und/oder verarbeiten, und regelt die folgenden Punkte in Bezug auf den Auftragsverarbeiter:
- Es muss eine angemessene Informationssicherheit vorhanden sein;
- Keine Unterauftragsverarbeiter dürfen die Daten ohne die Zustimmung des für die Verarbeitung Verantwortlichen verwenden;
- die Zusammenarbeit mit den Datenschutzbehörden muss im Bedarfsfall gewährleistet sein;
- Datenverstöße müssen dem für die Verarbeitung Verantwortlichen unverzüglich gemeldet werden;
- Aufzeichnungen über alle Verarbeitungstätigkeiten müssen geführt werden;
- die Einhaltung der EU-Vorschriften für die Datenübermittlung;
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Bewältigung möglicher Datenverstöße.
Ausführlichere Informationen hierzu finden Sie hier: https://gdpr.eu/article-28-processor/.