Auftragsverarbeitungsvertrag (DPA)
Was ist Auftragsverarbeitungsvertrag (DPA)?
Auftragsverarbeitungsvertrag (DPA)Nach Art. 28 DSGVO erforderlicher Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden.
Ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) ist der nach Art. 28 der Datenschutz-Grundverordnung (Verordnung 2016/679) erforderliche schriftliche Vertrag, sobald ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt. Er muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenkategorien und Kategorien betroffener Personen sowie die Weisungen des Verantwortlichen festlegen. Der DPA verpflichtet den Auftragsverarbeiter zur Verarbeitung ausschliesslich auf dokumentierte Weisung, zur Vertraulichkeit, zur Umsetzung angemessener Sicherheitsmassnahmen (Art. 32), zur Unterstuetzung bei Betroffenenrechten und Meldepflichten, zur Duldung von Audits, zur Regelung der Unter-Auftragsverarbeitung sowie zur Rueckgabe oder Loeschung der Daten am Ende der Leistung. Aehnliche Pflichten enthalten die UK GDPR und viele aussereuropaeische Gesetze (LGPD, CPRA, PIPEDA).
● Beispiele
- 01
Ein Verantwortlicher schliesst einen DPA mit einem Cloud-Anbieter ab, bevor er Kundendaten auf dessen Infrastruktur speichert.
- 02
Ein SaaS-Anbieter veroeffentlicht eine Standard-DPA-Vorlage mit Verweis auf die EU-Standardvertragsklauseln 2021 fuer internationale Transfers.
● Häufige Fragen
Was ist Auftragsverarbeitungsvertrag (DPA)?
Nach Art. 28 DSGVO erforderlicher Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Auftragsverarbeitungsvertrag (DPA)?
Nach Art. 28 DSGVO erforderlicher Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden.
Wie funktioniert Auftragsverarbeitungsvertrag (DPA)?
Ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) ist der nach Art. 28 der Datenschutz-Grundverordnung (Verordnung 2016/679) erforderliche schriftliche Vertrag, sobald ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt. Er muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenkategorien und Kategorien betroffener Personen sowie die Weisungen des Verantwortlichen festlegen. Der DPA verpflichtet den Auftragsverarbeiter zur Verarbeitung ausschliesslich auf dokumentierte Weisung, zur Vertraulichkeit, zur Umsetzung angemessener Sicherheitsmassnahmen (Art. 32), zur Unterstuetzung bei Betroffenenrechten und Meldepflichten, zur Duldung von Audits, zur Regelung der Unter-Auftragsverarbeitung sowie zur Rueckgabe oder Loeschung der Daten am Ende der Leistung. Aehnliche Pflichten enthalten die UK GDPR und viele aussereuropaeische Gesetze (LGPD, CPRA, PIPEDA).
Wie schützt man sich gegen Auftragsverarbeitungsvertrag (DPA)?
Schutzmaßnahmen gegen Auftragsverarbeitungsvertrag (DPA) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Auftragsverarbeitungsvertrag (DPA)?
Übliche alternative Bezeichnungen: Data Processing Addendum, Artikel-28-Vertrag, Auftragsdatenverarbeitungsvertrag.
● Verwandte Begriffe
- compliance№ 440
DSGVO
Datenschutz-Grundverordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten von Personen in der EU und im EWR regelt.
- compliance№ 974
SCC
Standardvertragsklauseln sind von der EU-Kommission genehmigte Mustervertraege, die DSGVO-konforme Garantien fuer Drittlandstransfers personenbezogener Daten bieten.
- compliance№ 357
DPF
EU-US-Datenschutzrahmen, der im Juli 2023 als Angemessenheitsmechanismus den Privacy Shield fuer transatlantische Datentransfers ablost.
- privacy№ 856
Privacy by Design
Engineering- und Governance-Ansatz, der Datenschutz von Anfang an in Systeme, Prozesse und Standardeinstellungen integriert, statt ihn nachträglich hinzuzufügen.
● Siehe auch
- № 228CPRA