NordGprivacy bietet sachliche Informationen zur Vorbereitung von Data Processing Agreements (DPA) für digitale Geschäftsmodelle. Ein DPA regelt die Pflichten und Verantwortlichkeiten zwischen Verantwortlichem und Auftragsverarbeiter bezogen auf Verarbeitungstätigkeiten personenbezogener Daten. Ziel ist es, Transparenz über Zweck, Umfang und Sicherheitsmaßnahmen der Datenverarbeitung zu schaffen.

Die Erstellung eines DPA umfasst die Analyse von Verarbeitungstätigkeiten, die Bestimmung von technischen und organisatorischen Maßnahmen, Regelungen zu Subunternehmern sowie Lösch- und Rückgabeprozessen. Für Unternehmen in der Schweiz sind sowohl nationale als auch internationale Datenschutzanforderungen zu berücksichtigen, insbesondere wenn Daten grenzüberschreitend transferiert werden.

Ein strukturiertes DPA erleichtert die Einhaltung datenschutzrechtlicher Pflichten und hilft, die Beziehung zwischen Auftraggeber und Auftragsverarbeiter klar zu dokumentieren. Wichtige Bestandteile sind Definitionen, Zweck der Verarbeitung, Fristen, Sicherheitsmaßnahmen und Kontrollrechte.

• Präzise Beschreibung der verarbeiteten Datenkategorien und Verarbeitungstätigkeiten
• Regelungen zu Subauftragsverarbeitern und deren Genehmigungsverfahren
• Spezifikation technischer und organisatorischer Maßnahmen (TOMs) und Meldepflichten bei Sicherheitsvorfällen

Neben den Kernklauseln sollte ein DPA klare Vorgaben zu Auditmöglichkeiten, Dokumentationspflichten und Regelungen bei Beendigung des Vertrags enthalten. Solche Vorgaben unterstützen die Nachvollziehbarkeit von Verarbeitungsvorgängen und die Zusammenarbeit zwischen den Parteien.

Ein risikobasierter Ansatz priorisiert Schutzmaßnahmen basierend auf dem tatsächlichen Risiko für betroffene Personen. Für digitale Unternehmen bedeutet das, Verarbeitungsketten zu identifizieren, besonders schützenswerte Datentypen herauszufiltern und angemessene Kontrollen festzulegen.

Die Dokumentation der Risikobewertung und die Abstimmung der Schutzmaßnahmen mit der unternehmerischen Realität sind zentrale Schritte. NordGprivacy unterstützt dabei, Risiken methodisch zu bewerten und daraus konkrete DPA-Klauseln sowie operative Maßnahmen abzuleiten.

Die Umsetzung eines DPA-Projekts folgt typischerweise mehreren Phasen: Bestandsaufnahme der Datenverarbeitungen, rechtliche Prüfung, Ausarbeitung der Vertragsklauseln und Implementierung technischer Maßnahmen.

In der Bestandsaufnahme werden Schnittstellen, Drittparteien und Datenflüsse kartiert. Die rechtliche Prüfung überprüft bestehende Verträge und identifiziert Lücken in Bezug auf aktuelle Datenschutzanforderungen.

Präzisierung operativer Schritte

Nach Freigabe der Vertragsentwürfe folgt die Integration der DPA-Klauseln in Kunden- und Lieferantenverträge sowie die Umsetzung der beschriebenen technischen und organisatorischen Maßnahmen. Abschliessend sind Monitoringmechanismen einzurichten, um Compliance dauerhaft nachvollziehbar zu halten.

Cloud- und SaaS-Anbieter müssen in DPAs besonders Regelungen zu Datenlokation, Subprozessoren, Zugriffskontrollen und Verschlüsselung berücksichtigen. Transparenz gegenüber Kundinnen und Kunden zu Datenflüssen ist wichtig für nachvollziehbare Vertrauensbeziehungen.

Zusätzlich sollten Prozesse für Incident-Reporting, Backups und Datenwiederherstellung beschrieben werden. Solche technischen Details helfen Auftragsgebern, die eigenen Datenschutzpflichten im Zusammenhang mit genutzten Diensten einzuschätzen.

TOMs sind ein zentraler Bestandteil jedes DPA. Sie umfassen Zugangskontrollen, Protokollierung, Verschlüsselung, Backup-Strategien, physische Sicherheitsvorkehrungen sowie Schulungen für Mitarbeitende, die mit personenbezogenen Daten arbeiten.

• Zugangs- und Zugriffsmanagement (rollenbasierte Berechtigungen, MFA)
• Datenverschlüsselung in Transit und at Rest sowie Schlüssellifecycle-Management
• Regelmässige Sicherheitsaudits, Protokollierung und Revisionsnachweise

Die Auswahl und Beschreibung von TOMs sollte sich an den identifizierten Risiken orientieren. Dokumentierte Prozesse und regelmässige Kontrollen unterstützen die Nachvollziehbarkeit gegenüber Partnern und Aufsichtsbehörden.

Datenschutzanforderungen und technologische Rahmenbedingungen ändern sich laufend. Ein DPA sollte daher regelmäßige Überprüfungsintervalle und Verfahren für notwendige Anpassungen vorsehen, etwa bei Änderungen der Verarbeitungstätigkeiten oder der Rechtslage.

NordGprivacy empfiehlt definierte Review-Zyklen und Verantwortlichkeiten für Aktualisierungen, damit vertraglich vereinbarte Schutzmaßnahmen praktisch umgesetzt und nachgeführt werden können.