Jarel is an AI-powered research and productivity tool. It does not provide legal advice. Always review outputs with a qualified legal professional where appropriate.
Rechtsglossar
Datenverarbeitungsvereinbarungen verstehen
Eine Datenverarbeitungsvereinbarung (DPA) ist ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, der dokumentiert, wie personenbezogene Daten unter GDPR Artikel 28 verarbeitet werden.
Eine Datenverarbeitungsvereinbarung (DPA) ist ein rechtlich bindender Vertrag, der regelt, wie ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Diese Vereinbarung ist ein Eckpfeiler des Datenschutzrechts, insbesondere der GDPR. Sie stellt sicher, dass der Auftragsverarbeiter nur gemäß dokumentierter Anweisungen des Verantwortlichen handelt und hohe Datenschutzstandards einhält.
Eine DPA ist rechtlich erforderlich, wenn ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt. Der Verantwortliche bestimmt Zweck und Mittel der Verarbeitung. Der Auftragsverarbeiter verarbeitet Daten nur im Auftrag des Verantwortlichen. Diese Vereinbarung legt die Pflichten des Auftragsverarbeiters fest und stellt sicher, dass er nur auf explizite Anweisungen des Verantwortlichen handelt.
DPAs sind wesentlich bei der Nutzung von Drittanbieter-Services wie SaaS-Plattformen, HR-Software oder Cloud-E-Mail-Diensten. Ohne gültige DPA drohen dem Verantwortlichen und Auftragsverarbeiter Bußgelder bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist, gemäß GDPR Artikel 83(6).
FAQ
Common questions
Wer benötigt eine DPA?
Jede Organisation (Verantwortlicher), die eine andere Organisation (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt, benötigt eine DPA. Dies gilt unabhängig von Größe und Branche der beteiligten Organisationen.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?
Ein Verantwortlicher bestimmt Zweck und Mittel der Verarbeitung personenbezogener Daten. Ein Auftragsverarbeiter verarbeitet Daten nur auf Anweisung des Verantwortlichen und handelt nach dessen dokumentierten Anweisungen.
Was passiert, wenn wir keine DPA haben?
Das Fehlen einer erforderlichen DPA verstößt gegen die GDPR. Dies kann zu erheblichen Verwaltungsbußgeldern von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes führen. Sowohl der Verantwortliche als auch der Auftragsverarbeiter können haftbar gemacht werden.
Get started
Bring your next legal document into a source-linked workspace.
Start free and use Jarel for individual research, document review, and drafting support with the source material close enough to verify.
Wichtige DPA-Klauseln dienen spezifischen Zielen. Sie verpflichten den Auftragsverarbeiter zur Implementierung robuster Sicherheitsmaßnahmen zur Vermeidung von Datenpannen. Sie verpflichten auch zur Unterstützung bei Auskunftsanfragen von betroffenen Personen. Schließlich stellen sie sicher, dass Daten nach Beendigung der Dienstleistung gelöscht oder zurückgegeben werden, was unbefugte Datenspeicherung verhindert.
DPAs beziehen sich auf mehrere rechtliche Konzepte wie "Verantwortlicher" und "Auftragsverarbeiter". Sie verbinden auch "personenbezogene Daten", "betroffene Person" und "Verarbeitung". Die GDPR ist das primäre Regelwerk. Standard Contractual Clauses (SCCs) werden für internationale Datentransfers verwendet und sind oft in DPAs integriert oder damit verbunden.
In Schweden ergänzt das Datenschutzgesetz (Dataskyddslagen) die GDPR. Während die GDPR die Kernbedingungen für DPAs in der EU festlegt, können nationale Gesetze wie das Dataskyddslagen spezifische Regelungen hinzufügen, besonders für öffentliche Behörden. Für die meisten kommerziellen Einrichtungen werden die DPA-Anforderungen hauptsächlich durch GDPR Artikel 28 bestimmt.