Was ist eine DPA-Vereinbarung in SaaS?

Ein SaaS-Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindlicher Vertrag zwischen einem Softwareanbieter und einem Kunden, der den Umgang mit personenbezogenen Daten regelt. Er dient als erforderliches Compliance-Dokument für Datenschutzgesetze wie die DSGVO und stellt sicher, dass die Datenverarbeitung den Sicherheitsprotokollen, ethischen Standards und Kundenspezifikationen entspricht.

Um dem “Privacy by Design”-Prinzip zu entsprechen, benötigen Unternehmen einen DPA als rechtlichen Rahmen für Überlegungen zum Daten-Outsourcing. Das Vorhandensein oder Fehlen einer unterzeichneten Vereinbarung bezüglich der Praktiken der Datenweitergabe eines Unternehmens mit einem Drittanbieter von Cloud-Diensten kann mit rechtlichen Anfragen, behördlichen Überprüfungen oder Datenfreigabe-Ereignissen verbunden sein.

Die Implementierung eines DPA kann mit mehreren Ergebnissen verbunden sein:

•   Gesetzeskonformität durch diesen Vertrag ist der Hauptfaktor für DSGVO Artikel 28 und andere internationale Vorschriften.
•   Risikominderung und definierte Haftung für Datenlecks werden festgelegt.
•   Sicherheitsverbesserungen resultieren daraus, dass der Anbieter zur Implementierung technischer Maßnahmen verpflichtet wird, wie z.B. Verschlüsselung und Multi-Faktor-Authentifizierung, die über die regulatorischen Anforderungen hinausgehen.
•   Transparenz bei Schutzmaßnahmen kann das Kundenvertrauen beeinflussen.

Es ist gesetzlich vorgeschrieben, einen DPA aufzusetzen, wenn ein Datenverantwortlicher (die Partei, die die Daten ursprünglich erhebt) sich entscheidet, einen Datenverarbeiter (d.h. einen SaaS-Anbieter) für die Verwaltung personenbezogener Daten zu beauftragen. Zum Beispiel, wenn Ihr digitales Tool E-Mails, IP-Adressen, Namen oder Gesundheitsdaten von Nutzern verarbeitet, die in geschützten Gerichtsbarkeiten ansässig sind, bildet ein Datenverarbeitungsvertrag eine wichtige Rechtsgrundlage für Ihre Vertragsbeziehung.

Sie benötigen keinen DPA, wenn:

•   Sie vollständig anonymisierte Daten verarbeiten, die nicht auf eine einzelne Person zurückführbar sind.
•   Es sich um reine Geschäftsdaten ohne Personenbezug handelt.
•   Beide Parteien als unabhängige Verantwortliche agieren und nicht in einem Verantwortlicher-Auftragsverarbeiter-Verhältnis stehen.

Der DPA ist eine Beschreibung des vertraglichen Kräfteverhältnisses zwischen zwei voneinander unabhängigen Parteien zur genauen Festlegung von Verantwortlichkeiten.

•   Datenverantwortlicher (Kunde): Nimmt die Position des Dateneigentümers ein. Er initiiert den Prozess und spielt eine wichtige Rolle in der „Verantwortungskette“ der Einholung der Nutzerzustimmung.
•   Auftragsverarbeiter (SaaS-Anbieter): Hat nur eingeschränkte Rechte an den Daten, ausschließlich im Auftrag des Verantwortlichen. Seine Aufgaben umfassen die Implementierung geeigneter Sicherheitsmaßnahmen und die fristgerechte Datenpannenmeldungenund die Unterstützung der Nutzer beim „Recht auf Vergessenwerden“.

Gemäß modernen Datenschutzbestimmungen muss ein DPA (Datenverarbeitungsvertrag), um rechtlich gültig zu sein, einen festgelegten Satz von Klauseln enthalten. Diese Klauseln stellen die „Spielregeln“ für die gesamte Dauer des Software-Abonnements dar.

Ja, eine DPA ist eine direkte Anforderung für SaaS, da das Cloud-Modell bedeutet im Wesentlichen, dass der Anbieter die vom Kunden hochgeladenen Daten „verarbeitet“. Ein häufiges Missverständnis ist, dass eine DPA dasselbe wie Cookie-Management ist, aber sie behandeln separate Themen.

Während ein Cookie-Consent-Banner dazu dient, die Erlaubnis eines Website-Besuchers zum Tracking einzuholen, greift eine DPA, nachdem diese Erlaubnis erteilt wurde; sie regelt die Sicherheit der Daten die über Cookies gesammelt werden, sobald die Daten auf den Servern eines SaaS-Anbieters gespeichert sind.