Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) trat am 25. Mai 2018 in Kraft. Sie verpflichtet sowohl Organisationen als auch ihre Lieferanten dazu, personenbezogene Daten zu schützen. Um Verantwortlichkeit zu schaffen und allen Beteiligten klare Zuständigkeiten zuzuweisen, müssen entsprechende Verträge zur Datenweitergabe abgeschlossen werden.

In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, der die Einhaltung der DSGVO erleichtern soll.

Im 15. Schritt geht es um den Abschluss von Verträgen zur Datenweitergabe. Wenn Sie mehr über die ersten 14 Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.

Laden Sie Abschluss von Verträgen zur Weitergabe von Daten [DSGVO-Schritt 15] jetzt herunter.
Weitere Informationen

Verträge zur Weitergabe von Daten unter der DSGVO

Die DSGVO gilt sowohl für den Verantwortlichen (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten entscheidet) als auch für den Auftragsverarbeiter (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet). Beim Verantwortlichen handelt es sich in der Regel um das Unternehmen, das personenbezogene Daten erfasst und die Nutzung der Daten zur Erreichung seiner Geschäftszwecke überwacht. Der Begriff Auftragsverarbeiter bezieht sich auf den Lieferanten, an den der Verantwortliche einen Teil der Aufgaben outgesourct hat. Im Rahmen dieses Outsourcing-Prozesses erhält der Auftragsverarbeiter auch Zugriff auf personenbezogene Daten.

Eine solche Partnerschaft wirft unter anderem folgende Frage auf: „Wer trägt bei einer Datenschutzverletzung die Verantwortung?“

Um diese und andere relevante Fragen zu klären, legt die DSGVO den Abschluss von Verträgen zur Datenweitergabe nahe.

Gemäß Artikel 28.3 der DSGVO müssen alle Verarbeitungstätigkeiten durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags mit dem Verantwortlichen erfolgen. In diesem Vertrag sollte die Nutzung personenbezogener Daten genau geregelt sein. Wichtige Faktoren sind etwa:

  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen

Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen der verantwortlichen Stelle auszuführen, so gelten laut Artikel 28.4 dieselben Datenschutzpflichten. Bei einer Datenschutzverletzung gilt: „Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.“

Um diese rechtlichen Verpflichtungen festzuhalten, muss der Verantwortliche laut DSGVO einen Auftrag zur Datenweitergabe mit seinen Auftragsverarbeitern abschließen.

Vier zentrale Aspekte für Verträge zur Weitergabe von Daten

Data-Governance-Teams spielen eine wichtige Rolle bei der Ausarbeitung von Aufträgen zur Datenweitergabe. Sie müssen dafür sorgen, dass die Rechts- und Compliance-Abteilung die Verträge genehmigt, bevor personenbezogene Daten von EU-Bürgern von einem Land in ein anderes, von einer Organisation an einen Lieferanten und von einem Lieferanten an einen weiteren Auftragsverarbeiter übertragen werden.

Im Folgenden befassen wir uns mit einigen Aspekten, die in einem solchen Vertrag berücksichtigt werden müssen.

1. Einhaltung von Datenschutzstandards

Datenweitergabeverträge müssen Auftragsverarbeiter dazu verpflichten, die richtigen Infrastrukturen und Systeme zum Schutz personenbezogener Daten einzurichten. Dazu gehört die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Außerdem muss das System in der Lage sein, alle Daten „zu vergessen“, wenn der Vertrag beendet ist – oder wenn die betroffene Person von ihrem Recht auf Vergessenwerden Gebrauch macht.

2. Einholung einer Genehmigung vor der Weitergabe

Lieferanten können personenbezogene Daten nicht ohne Einwilligung des Verantwortlichen weitergeben. Bei Bedarf müssen Verträge neu geprüft und angepasst werden, um weitere Auftragsverarbeiter miteinzubeziehen.

3. Datenschutzverletzungen

Verträge müssen Datenschutzverletzungen abdecken und Rollen, Verantwortlichkeiten und Pflichten in solchen Fällen klar definieren. Wenn es bei einem Auftragsverarbeiter zu einer Datenschutzverletzung kommt, muss er die verantwortliche Stelle umgehend darüber informieren und angemessen unterstützen, um die Folgen der Verletzung einzudämmen.

4. Risikobewertung

Die verantwortliche Stelle muss eine Risikobewertung ihrer Lieferanten durchführen, um sicherzustellen, dass diese dazu bereit sind, die Datenschutzstandards einzuhalten, und auch die nötigen Mittel dafür haben. Die Ergebnisse der Bewertung müssen vor dem Beginn der Zusammenarbeit und bevor es zu einer Weitergabe personenbezogener Daten kommt, dokumentiert werden.

Die verantwortliche Stelle muss zudem regelmäßige Audits durchführen, um die Einhaltung aller Standards durch den Lieferanten sicherzustellen. Auch diese Ergebnisse müssen gemeinsam mit den Risikobewertungsberichten dokumentiert werden, um zu bestätigen, dass die verantwortliche Stelle eine Due-Diligence-Prüfung zum Schutz personenbezogener Daten vorgenommen hat.

Laden Sie A 16 Step Data Governance Plan for GDPR Compliance jetzt herunter.
Weitere Informationen

Die nächsten Schritte für den Abschluss von Verträgen zur Datenweitergabe

Bei Datenweitergabeverträgen handelt es sich um komplexe rechtliche Dokumente. Damit lassen sich allerdings nicht nur chaotische Situationen im Fall von Datenschutzverletzungen verhindern, sondern auch die Voraussetzungen zum Schutz personenbezogener Daten schaffen – was schließlich der Hauptzweck der DSGVO ist. Mit Talend Metadata Manager können Unternehmen diese Datenweitergabeverträge semantisch erfassen und den physikalischen Datenstandort sowie die Bewegungen der Informationen innerhalb der Datenlandschaft zurückverfolgen.

Der nächste Schritt in unserem umfassenden 16-stufigen Plan ist die Einrichtung von DSGVO-Kontrollen zur Einhaltung der Vorgaben.

Um mehr darüber zu erfahren und alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Im Video geht es u. a. um Themen wie die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen, die Durchführung von Risikobewertungen und die Verbesserung der Datenqualität – um nur einige zu nennen.