Die meisten Organisationen, seien es Unternehmen, Verbände, Körperschaften oder Institutionen, können nicht ihre gesamte Verarbeitung personenbezogener Daten vollständig intern abwickeln. Selbst scheinbar triviale Aufgaben wie die einfache Speicherung ihrer Daten oder das Hosting ihrer Website werden an spezialisierte Dritte ausgelagert und finden heutzutage häufig in der Cloud statt. Diese Dritten verarbeiten also personenbezogene Daten im Auftrag einer anderen Organisation. Sie sind "Auftragsverarbeiter" in der DSGVO-Terminologie, während die auslagernde Partei als "für die Verarbeitung Verantwortlicher" bezeichnet wird, da sie zumindest theoretisch kontrolliert, was der Auftragsverarbeiter tut.
Um eine solche Kontrolle ausüben zu können, müssen beide Parteien durch einen Auftragsverarbeitungsvertrag (Data Processing Agreement, kurz: DPA) gebunden sein, in der die Einzelheiten der Verarbeitung sowie die jeweiligen Rechte und Pflichten festgelegt sind. Die Einzelheiten eines solchen DPA und sein Mindestinhalt sind in Art. 23 Abs. 3 DSGVO geregelt.
Die wesentlichen Inhalte einer Datenverarbeitungsvereinbarung sind:
- Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen verarbeiten oder wenn dies nach geltendem Recht erforderlich ist;
- alle Personen, die auf Seiten des Auftragsverarbeiters zur Verarbeitung personenbezogener Daten befugt sind, müssen zur Vertraulichkeit verpflichtet sein oder einer entsprechenden gesetzlichen Verpflichtung unterliegen;
- jede Weitergabe der Datenverarbeitung an Unterauftragnehmer muss von der verantwortlichen Stelle genehmigt werden;
- es müssen geeignete technische und organisatorische Maßnahmen (kurz: TOMs) zum Schutz der Daten getroffen werden;
- Verpflichtung des Auftragsverarbeiters, den Verantwortlichen bei der Erfüllung seiner Pflichten nach der DSGVO zu unterstützen, insbesondere im Hinblick auf die Rechte der betroffenen Personen;
- Recht auf Überprüfung der Datenverarbeitung.
Ein wichtiger Punkt ist, dass der Datenschutz nicht nur auf dem Papier, sondern in der Realität stattfinden muss. Daher ist es wichtig, eine Datenschutzvereinbarung nicht nur zu unterzeichnen, sondern sie wie jede andere wichtige Geschäftsvereinbarung auszuführen und zu leben.
