Ein DPA (Data Processing Agreement) ist eine vertragliche Vereinbarung zwischen Auftraggeber und Auftragsverarbeiter, die regelt, wie personenbezogene Daten verarbeitet werden. Es legt Verantwortlichkeiten, Zwecke, Sicherheitsmaßnahmen und Pflichten bei Datenverletzungen sowie Regeln für Subprozessoren fest.

Relevante Punkte sind die genaue Beschreibung der Verarbeitungstätigkeiten, Kategorien der verarbeiteten Daten, technische und organisatorische Maßnahmen, Regelungen zu Subprozessoren, Fristen für Löschung oder Rückgabe und Audit- bzw. Nachweispflichten.

Cloud-Anbieter sollten im DPA speziell Angaben zu Datenlokation, Zugriffsberechtigungen, Verschlüsselung, Backup-Strategien und Prozessen für Incident-Response machen. Transparenz über Subprozessoren und Datenflüsse ist zusätzlich wichtig.

Ein DPA sollte regelmässig überprüft werden, insbesondere bei Änderungen der Verarbeitungstätigkeiten, bei der Einführung neuer Technologien oder bei Änderungen der rechtlichen Rahmenbedingungen. Häufigkeit und Verantwortlichkeiten sollten im Vertrag geregelt sein.

TOMs definieren konkrete Sicherheitsvorkehrungen zur Minimierung von Risiken für betroffene Personen. Sie umfassen Zugangskontrollen, Protokollierung, Verschlüsselung, physische Sicherheit und Schulungen. Ihre Dokumentation ist zentral für die Nachvollziehbarkeit im DPA.

NordGprivacy bietet Unterstützung bei der Vorbereitung von Auditunterlagen, der Dokumentation von Prozessen und der Formulierung von Nachweisregelungen im DPA. Die Leistungen werden auf Basis der vorliegenden Anforderungen und der Unternehmensstruktur abgestimmt.