Skip to main content
Über uns

Data Processing Agreement (DPA) / Datenverarbeitungsvereinbarung

TL;DR

Das Data Processing Agreement oder kurz DPA (Data Processing Agreement) ist ein rechtsverbindlicher Vertrag zwischen einem Unternehmen und einem externen Datenverarbeiter, der den Datenschutz im Hinblick auf die Einhaltung der DSGVO regeln soll.

Was ist der Datenverarbeitungsvertrag (DPA)?

Jedes Unternehmen, das eine Online-Präsenz hat, ist auf die ordnungsgemäße Funktion von Dritten angewiesen. Bei diesen Dritten kann es sich um alles Mögliche handeln, von einem E-Mail-Anbieter bis hin zu einem Webseitenanalyse-Tool oder einem Chat-Tool usw. Im Grunde genommen jedes Werkzeug, das die persönlichen Daten des Benutzers verarbeitet. Zwischen diesem Unternehmen (für die Verarbeitung Verantwortlicher) und jedem Dritten (Verarbeiter) muss eine Vereinbarung über die Datenverarbeitung unterzeichnet werden, die sicherstellt, dass die Daten ordnungsgemäß gespeichert werden und nicht missbraucht, verkauft oder für Angriffe anfällig sind. Dies ist einer der grundlegendsten Schritte, um DSGVO-konform zu sein.

Die meisten dieser Drittanbieter-Tools stellen DPAs auf ihren Webseiten zum Herunterladen und Unterzeichnen zur Verfügung. Hier geht es zum Beispiel das Visitor Analytics DPA: https://www.visitor-analytics.io/de/support/rechtliches-datenschutz-zertifikate/standardintegration/datenverarbeitungsvertrag-cookie-informationen/. Das signierte DPA kann normalerweise auch per E-Mail angefordert werden.

Für den Fall, dass Sie Ihre eigene Datenverarbeitungsvereinbarung erstellen müssen, kann die offizielle Vorlage unter https://gdpr.eu/data-processing-agreement/ heruntergeladen werden. Alle Organisationen können dieses Dokument verwenden, um DSGVO-konform zu sein und um teure Geldstrafen zu vermeiden.

Die Datenverarbeitungsvereinbarung gilt für Unternehmen, die Daten aus der Europäischen Union speichern und/oder verarbeiten, und behandelt die folgenden Fragen in Bezug auf den Verarbeiter:

  • Es muss eine angemessene Informationssicherheit vorhanden sein
  • Kein Unterverarbeiter darf die Daten ohne Zustimmung des für die Verarbeitung Verantwortlichen verwenden
  • Die Zusammenarbeit mit den Datenschutzbehörden muss bei Bedarf gewährleistet sein
  • Datenschutzverletzungen müssen dem für die Verarbeitung Verantwortlichen unverzüglich gemeldet werden
  • Aufzeichnungen über alle Verarbeitungsaktivitäten müssen aufbewahrt werden
  • Einhaltung der EU-Vorschriften für die Datenübermittlung
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Handhabung möglicher Datenschutzverletzungen

Ausführlichere Informationen hierzu finden Sie hier: https://gdpr.eu/article-28-processor/.