Vereinbarungen zur Datenverarbeitung (DPAs): Ihr Leitfaden für 2023
Der 25. Mai 2018 war der Tag, an dem die DSGVO kam, sah und die Art und Weise, wie wir Daten von Menschen betrachten, sammeln und verwenden, für immer änderte. Die Datenschutz-Grundverordnung der Europäischen Union (die DSGVO) wurde als strengster Datenschutzstandard aller Zeiten gepriesen und hat seit ihrem Inkrafttreten Millionen von EU-Bürgern mehr Kontrolle über die von ihnen geteilten Daten an die Hand gegeben. Sie ist zu einem Impulsgeber für eine weltweite Welle von Datenschutzgesetzen geworden, insbesondere dem California Consumer Privacy Act in den USA.
In den letzten vier Jahren hat die Verordnung außerdem dafür gesorgt, dass Unternehmen, die sich nicht an die Regeln halten, Geldstrafen in Höhe von mehr als 2,1 Milliarden Euro zahlen mussten.
Beispielsweise musste Volkswagen 2022 eine Rechnung von 1,1 Millionen Euro Bußgeld begleichen, die der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen im Zusammenhang mit Datenschutzverstößen beim Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem verhängt hatte. Die Datenschutzregulierungsbehörde deckte zahlreiche DSGVO-Verstöße auf, einschließlich einer fehlenden Vereinbarung zur Datenverarbeitung mit dem Unternehmen, das die Testfahrten ausführte – ein Verstoß gegen Artikel 28 der DSGVO.
Das Treffen von Vorkehrungen in Bezug auf Vereinbarungen zur Datenverarbeitung (Data Processing Agreements, DPAs) ist nicht nur eine Pflichtübung. Aber was genau sind DPAs und wer muss solche wann unterschreiben? In diesem Artikel führen wir Sie durch das Wie und Warum von Vereinbarungen zur Datenverarbeitung (DPAs) – von den Anforderungen der DSGVO bis hin zur Anbahnung eines DPA-Signaturverfahrens mit Tresorit.
Verarbeitung personenbezogener Daten: Definition und Beispiele
Gemäß der DSGVO ist Datenverarbeitung ein recht weit gefasster Begriff, der sich sowohl auf manuelle als auch auf automatisierte Mittel und eine ganze Reihe von mit Daten ausgeführten Aktivitäten bezieht – von der Datensammlung bis hin zur Datenübertragung. Zu diesen Aktivitäten gehören unter anderem das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Datenverarbeitung erfolgt beispielsweise dann, wenn eine Person auf der Überwachungskamera eines Kaufhauses aufgenommen wird, ein Elektrizitätsanbieter personenbezogene Daten von Kunden zur Serviceverbesserung speichert, der Herausgeber einer Zeitschrift ein Werbeangebot an Abonnementen per E-Mail sendet oder die HR-Abteilung eines Unternehmens die Personalakte eines Mitarbeiters nach Beendigung des Arbeitsverhältnisses schreddert.
Was ist eine Vereinbarung zur Datenverarbeitung (DPA)? Bedeutung und Auswirkungen gemäß der DSGVO
Jede Organisation ist auf Drittanbieter angewiesen, um personenbezogene Daten in dem einen oder anderen Format zu verarbeiten – von E-Mail-Services über Cloudspeicher bis hin zu Anbietern für Zahlungsmethoden. Gemäß der DSGVO müssen Unternehmen über eine Vereinbarung zur Datenverarbeitung (manchmal auch als Datenschutzvereinbarung oder Auftragsverarbeitungsvertrag bezeichnet) mit all diesen Anbietern verfügen. Die Anbieter sind in diesem Fall die Datenverarbeiter (mehr dazu später).
DPAs sind rechtsverbindliche Dokumente zwischen Verantwortlichen und Verarbeitern, welche die Bedingungen der Datenverarbeitung festlegen, wie z. B. die Dauer, den Umfang und den Zweck. Darüber hinaus beschreiben sie die Beziehung zwischen den beiden Parteien sowie deren Rechte und Verpflichtungen in Bezug auf den Schutz personenbezogener Daten.
Warum sind DPAs wichtig?
Die DSGVO verlangt, dass Datenverantwortliche Maßnahmen ergreifen, um den Schutz der von ihnen gehandhabten personenbezogenen Daten zu gewährleisten. Wenn Datenverantwortliche sich dazu entscheiden, bestimmte Datenverarbeitungsaktivitäten auszulagern, müssen sie demonstrieren können, dass ihre Zulieferer und Sub-Verarbeiter ebenfalls ausreichend Garantien bieten, um die Daten zu schützen und auf DSGVO-konforme Weise zu handhaben.
Vereinbarungen zur Datenverarbeitung sind für DSGVO-Compliance unerlässlich, da sie definieren, was Datenverarbeiter mit personenbezogenen Daten in Bezug auf deren Speicherung, Zugriff, Nutzung und Sicherung tun sollten, können und nicht können. Anders ausgedrückt: DPAs demonstrieren, dass Datenverarbeiter dazu in der Lage und bereit sind, angemessene Schutzlevel für die ihnen anvertrauten Daten zu garantieren.
Wann benötigen Sie eine Vereinbarung zur Datenverarbeitung?
Jedes Mal, wenn Sie sich als Datenverantwortlicher dazu entscheiden, bestimmte Verarbeitungsaktivitäten für personenbezogene Daten an einen Drittanbieter als Datenverarbeiter auszulagern, muss gemäß der DSGVO eine Vereinbarung zur Datenverarbeitung zwischen Ihnen und dem Verarbeiter abgeschlossen werden. Wir haben bereits darauf hingewiesen, dass es heutzutage kaum ein Unternehmen geben wird, das keinen Bedarf an einer solchen Vereinbarung – wenn nicht sogar mehreren – haben wird, um an Web-Hosting, Cloudspeicher, Kundenbeziehungsmanagement und eine Vielzahl anderer Serviceanbieter ausgelagerte Datenverarbeitungsaktivitäten abzudecken.
Wer ist wer im Sinne der DSGVO? Datenverantwortliche und Datenverarbeiter
Um es einfach auszudrücken: Ein Datenverantwortlicher ist derjenige, der den Zweck und die Mittel der Datenverarbeitung bestimmt, während der Datenverarbeiter die Verarbeitung im Namen des Verantwortlichen und gemäß dessen Anweisungen ausführt. Die DSGVO formuliert dies spezifischer: Ein Datenverantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Indem sie dies tun, verfolgen die Datenverarbeiter die Interessen des Datenverantwortlichen, anstelle ihrer eigenen. Sie fällen möglicherweise ihre eigenen Entscheidungen bezüglich einiger Implementierungsaspekte, wie technische Belange, aber sie können personenbezogene Daten ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeiten, sofern keine andere Weisung durch die Gesetze der EU oder eines Mitgliedstaats vorliegt, erklärt der Europäische Datenschutzausschuss (EDSA). Daher sollten Sie Folgendes bedenken: Wenn ein Verarbeiter Entscheidungen bezüglich der Zwecke und Mittel für die Datenverarbeitung ohne Anweisungen des Verantwortlichen trifft, wird er in Bezug auf die entsprechende Datenverarbeitungsaktivität als Verantwortlicher angesehen – und übernimmt somit die Haftung eines Verantwortlichen.
Checkliste für Vereinbarungen zur Datenverarbeitung: Was sollten DPAs beinhalten?
Stellen Sie sicher, dass Ihre Vereinbarung zur Datenverarbeitung mindestens die folgenden Aspekte abdeckt: den Zweck und die Dauer der Datenverarbeitung, die Art der zu verarbeitenden Daten sowie die Kategorien der betroffenen Personen, die Rechte und Verpflichtungen des Datenverantwortlichen, die vom Datenverarbeiter zu befolgenden Vertraulichkeits- und Sicherheitsprotokolle zum Schutz der personenbezogenen Daten sowie Regelungen für Sub-Verarbeiter, falls vorhanden.
Gemäß Artikel 28, Abschnitt 3 der DSGVO sollte die Vereinbarung zur Datenverarbeitung festlegen, dass der Auftragsverarbeiter u. a.:
● die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet
● gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben
● geeignete technische und organisatorische Maßnahmen ergreift, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
● die in der DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält, wie z. B. eine schriftliche Ermächtigung durch den Verantwortlichen
● den Verantwortlichen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person gemäß der DSGVO nachzukommen
● nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt
● dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt, einschließlich im Zuge von Überprüfungen und Inspektionen
Wonach Sie beim Unterschreiben von DPAs Ausschau halten sollten: wichtige Erwägungen
Die wichtigste Frage, die Sie sich vorm Eingehen einer Vereinbarung zur Datenverarbeitung stellen sollten, ist, ob der Verarbeiter ausreichende Garantien für den Schutz der Daten bieten kann, die Sie ihm übergeben werden. Dies ist unerlässlich, denn gemäß der DSGVO kann die Verantwortung im Falle einer Datenschutzverletzung – selbst wenn diese seitens des Datenverarbeiters erfolgt – bei Ihnen, dem Datenverantwortlichen, liegen. Halten Sie daher Ausschau nach Verarbeitern, die über angemessene Schutzvorkehrungen verfügen, um die Risiken und Folgen von potenziellen Datenschutzverletzungen zu minimieren und die Sicherheit personenbezogener Daten zu gewährleisten.
Ebenso wichtig ist, dass eine Vereinbarung zur Datenverarbeitung zweifelsfrei klarstellt, dass der Datenverarbeiter Ihre Daten ausschließlich für die von Ihnen in der Vereinbarung dargelegten Zwecke des Outsourcings verarbeiten darf. Überprüfen Sie regelmäßig, ob Datenverarbeiter die Bedingungen der Vereinbarung befolgen, wenn sie die von Ihnen mit ihnen geteilten Daten verarbeiten, oder ob sie die Daten für ihre eigenen Zwecke nutzen. Darüber hinaus sollten Sie sicherstellen, dass der Umfang der Vereinbarung nicht über die rechtliche Grundlage, die Sie für die Verarbeitung der Informationen der betroffenen Personen haben, hinausgeht.
Müssen Auftragsverarbeiter DPAs mit ihren Sub-Verarbeitern eingehen?
Ja. Wie wir bereits oben erklärt haben, müssen Sie immer dann eine Vereinbarung zur Datenverarbeitung eingehen, wenn Sie einen Teil Ihrer Datenverarbeitungsbedürfnisse auslagern – selbst wenn Sie ein Datenverarbeiter und kein Datenverantwortlicher sind. Dies dient dazu, sicherzustellen, dass Ihr Sub-Verarbeiter die Vorschriften der DSGVO einhält. Außerdem müssen Sie Ihren Sub-Verarbeiten die gleichen Verpflichtungen auferlegen, die der Verantwortliche Ihnen auferlegt hat. Sollte ein Sub-Verarbeiter gegen die Datenschutzverpflichtungen gemäß der DSGVO verstoßen, wird der ursprüngliche Datenverarbeiter für den Compliance-Verstoß des Sub-Verarbeiters und die aus diesem resultierenden Folgen dem Datenverantwortlichen gegenüber haftbar sein.
DSGVO-Bußgelder: die sehr realen Kosten von Compliance-Verstößen
Im guten wie im schlechten Sinne: Die DSGVO macht keine genauen Angaben zu den Bußgeldern, die für nicht angemessene DPAs verhängt werden. Nichtsdestotrotz können die Kosten von Verstößen von einer Warnung und einem vorübergehenden oder endgültigen Verbot der Verarbeitung bis hin zu einem Bußgeld in Höhe von bis zu 20 Millionen Euro bzw. 4% des weltweiten jährlichen Gesamtumsatzes Ihres Unternehmens reichen. Datenschutzbehörden werden die Art, Schwere und Dauer der DSGVO-Verletzung erwägen, einschließlich der Tatsache, ob sie das Ergebnis von absichtlichem oder fahrlässigem Verhalten ist und welche Maßnahmen ergriffen wurden, um den Schaden, der den betroffenen Personen entstanden ist, zu mindern.
Welche Art personenbezogener Daten verarbeitet Tresorit in Ihrem Namen?
Da wir clientseitige Verschlüsselung verwenden, ist es für uns unmöglich, auf die verschlüsselten Inhalte unserer Nutzer zuzugreifen und diese verschlüsselten Informationen zu nutzen, um Personen zu identifizieren. Das bedeutet, dass diese Inhalte gemäß der DSGVO auf unserer Seite nicht als personenbezogene Daten gelten.
Im Zuge der Bereitstellung unseres Service verarbeiten wir jedoch bestimmte unverschlüsselte Daten, einschließlich personenbezogener Daten in Bezug auf die von Admins oder Co-Admins in einer Lizenz verwalteten Nutzer (wie z. B. vollständiger Name des Nutzers, E-Mail-Adresse, Protokolle zu Dateiaktivitäten und Anmeldeversuche). Hinsichtlich dieser Daten agiert Tresorit als Datenverarbeiter.
Wir bieten eine Vereinbarung zur Datenverarbeitung, um die Verarbeitungsaktivitäten abzudecken, die wir in Bezug auf die begrenzten uns zur Verfügung stehenden personenbezogenen Daten zu unseren Kunden ausführen. Bitte beachten Sie, dass keine der Daten, die in den Dateien unserer Kunden gespeichert sind, in den Anwendungsbereich dieser Vereinbarung fallen.
Wer sollte DPAs mit Tresorit eingehen?
Jeder Tresorit-Kunde, der eine Business-Lizenz (Tresorit Solo, Small Business, Business oder Enterprise) mit uns hat und der DSGVO unterliegt. Falls Sie mehr Informationen und klare, umfassende Tipps in Bezug darauf benötigen, ob sie unter die DSGVO fallen, empfehlen wir Ihnen, sich rechtlich beraten zu lassen.
So gehen Sie DPAs mit Tresorit ein
Sie müssen der Lizenzeigentümer sein, um Zugriff auf Rechnungsinformationen zu haben und den DPA-Signaturprozess einzuleiten. Konsultieren Sie unseren Schritt-für-Schritt-Leitfaden, um den Vorgang durchzuführen.
Falls Sie auf der Suche nach einer Lösung sind, mit der Sie Dokumente mit dem höchsten Sicherheitslevel in der Cloud speichern, teilen und signieren und das Unterschreiben einer Vereinbarung zur Datenverarbeitung zum Kinderspiel machen können, testen Sie Tresorit noch heute.