Datenverarbeitungsvereinbarung (DPA)
Eine Datenverarbeitungsvereinbarung (DPA, engl. Data Processing Agreement) ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen einem datenverarbeitenden Unternehmen (Verantwortlicher) und einem externen Dienstleister (Auftragsverarbeiter), der die Verarbeitung personenbezogener Daten im Auftrag regelt.
Ausführliche Erklärung
Die Datenverarbeitungsvereinbarung bildet die rechtliche Grundlage, wenn ein Unternehmen externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt. Die DSGVO schreibt vor, dass dieser Vertrag schriftlich oder in einem anderen dauerhaften Format abgeschlossen werden muss und spezifische Mindestinhalte enthalten muss: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten sowie die Pflichten und Rechte beider Parteien.
Für österreichische und deutsche KMU wird eine DPA relevant, sobald sie Cloud-Dienste, Newsletter-Software, Hosting-Provider, Lohnbuchhaltungssoftware, CRM-Systeme oder Marketing-Tools nutzen, bei denen der Anbieter Zugriff auf personenbezogene Daten hat. Der Auftragsverarbeiter darf dabei nur nach dokumentierten Weisungen des Verantwortlichen handeln und trägt die Pflicht, geeignete technische und organisatorische Maßnahmen zum Datenschutz umzusetzen. Wichtig: Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung verbleibt beim Auftraggeber, auch wenn dieser einen Dienstleister einbindet.
Die DPA muss konkrete Regelungen zu Datensicherheitsmaßnahmen, Löschpflichten nach Vertragsende, Unterstützung bei Betroffenenrechten sowie zur Einbindung von Sub-Auftragsverarbeitern enthalten. Bei Datentransfers in Drittstaaten außerhalb der EU sind zusätzliche Garantien wie Standardvertragsklauseln erforderlich. Das Fehlen einer ordnungsgemäßen DPA kann zu erheblichen Bußgeldern führen – die DSGVO sieht Strafen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.
In der Praxis stellen seriöse Dienstleister standardisierte DPA-Vorlagen bereit, die Kunden unterzeichnen oder digital akzeptieren können. KMU sollten darauf achten, dass die DPA die Schweiz bzw. Österreich explizit einschließt, wenn der Anbieter europäische Standardverträge verwendet. Die WKO und österreichische Datenschutzbehörde bieten Musterverträge an, die als Orientierung dienen können.
Praxisbeispiel
Ein Steuerberatungsbüro mit 12 Mitarbeiter:innen in Linz nutzt eine cloudbasierte Buchhaltungssoftware eines deutschen Anbieters. Da die Software personenbezogene Daten von Mandant:innen verarbeitet, muss das Büro vor dem Produktivstart eine DPA mit dem Software-Anbieter abschließen. In der Vereinbarung wird festgelegt, dass der Anbieter die Daten ausschließlich zur Bereitstellung der Buchhaltungsfunktionen nutzt, nach Vertragsende alle Daten löscht und dem Büro bei Auskunftsersuchen von Mandant:innen unterstützt.