Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (auch Data Processing Agreement oder DPA genannt) ist ein Vertrag, der nach der DSGVO erforderlich ist, wenn eine Organisation personenbezogene Daten von einer anderen Partei verarbeiten lasst. Dieser Vertrag regelt die Verantwortlichkeiten und Pflichten beider Parteien.
Wann benotigen Sie einen Auftragsverarbeitungsvertrag?
Sie benotigen einen Auftragsverarbeitungsvertrag, wenn Sie personenbezogene Daten mit einem externen Dienstleister teilen, der diese Daten in Ihrem Auftrag verarbeitet. Beispiele:
- Ihr Steuerberater, der Zugang zu Mitarbeiterdaten hat
- Ein E-Mail-Marketing-Tool wie Mailchimp oder ActiveCampaign
- Ihr Cloud-Speicherdienst (Google Workspace, Microsoft 365)
- Ein externer Lohnbuchhaltungsdienstleister
Was muss er enthalten?
Die DSGVO (Artikel 28) schreibt vor, dass ein Auftragsverarbeitungsvertrag mindestens folgende Themen abdecken muss:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Sicherheitsmassnahmen
- Einsatz von Unterauftragsverarbeitern
- Unterstutzung bei Anfragen betroffener Personen
- Meldepflichten bei Datenschutzverletzungen
- Loschung oder Ruckgabe der Daten nach Vertragsende
Was passiert ohne Auftragsverarbeitungsvertrag?
Ohne Auftragsverarbeitungsvertrag verstossen Sie gegen die DSGVO. Die Aufsichtsbehorde kann Bussgelder von bis zu 10 Millionen Euro oder 2 % Ihres Jahresumsatzes verhangen, je nachdem welcher Betrag hoher ist.