Kurzanleitung: Datenverarbeitungsvereinbarung

Hintergrund

Das Inkrafttreten der Verordnung (EU) 2016/679 („DSGVO“) brachte viele Änderungen in der Datenschutzlandschaft und bei den gesetzlichen Compliance-Anforderungen mit sich. Zwei davon sind (1) das Erfordernis einer schriftlichen und spezifischen Datenverarbeitungsvereinbarung und (2) direkte Verantwortlichkeiten und Verbindlichkeiten des Datenverarbeiters.

Somit haben sowohl der Auftragsverarbeiter (Coupa) als auch der Verantwortliche (Sie) ein gemeinsames Interesse daran, eine Datenverarbeitungsvereinbarung („DPA“) abzuschließen, die die Anforderungen von Artikel 28 DSGVO vollständig erfüllt. Und bei Coupa sind wir bereit, die Aufgabe konform und nahtlos zu erledigen.

Diese Kurzanleitung soll Ihnen einen Überblick über die Coupa DPA und unsere Gründe geben, unsere Vorlage voranzutreiben. Bitte beachten Sie, dass die spezifischen Details eines solchen DPA vom Umfang und der Konfiguration eines kundenindividuellen Abonnements abhängen. Diese Kurzanleitung kann sich ändern.

Unsere DPA wurde aktualisiert, um die neuen Standardvertragsklauseln der Europäischen Union widerzuspiegeln.

Das Coupa DPA

Der Coupa DPA ist nicht nur vollständig DSGVO-konform, sondern bereits auf das Coupa-Angebot zugeschnitten. Wir haben die Coupa DPA-Vorlage mit Unterstützung unserer externen Rechtsberater erstellt und halten sie mit Änderungen auf der Coupa-Plattform auf dem neuesten Stand. Grundsätzlich überprüfen wir regelmäßig unsere Vertragsvorlagen und berücksichtigen Best Practices und Kundenfeedback bei der Aktualisierung der Bedingungen.

• Einerseits ist jede Kundenvorlage notwendigerweise generisch und es fehlen daher die lösungsspezifischen Details, die für eine vollständige und einsatzbereite DPA erforderlich sind. Jede DPA-Vorlage des Kunden ist unvollständig und kann nicht ohne wesentliche Änderungen unterzeichnet werden.

• Auf der anderen Seite betreibt Coupa eine einheitliche IT-Sicherheitsrichtlinie auf Plattformebene, nicht spezifisch für eine Kundeninstanz. Die Einrichtung einer kundenspezifischen IT-Sicherheitsrichtlinie – wie von den meisten DPA-Vorlagen des Kunden vorgeschlagen - ist nur für einen solchen Fall nicht in einer mandantenfähigen Cloud-Umgebung möglich.

• Nicht zuletzt profitieren unsere Kunden von einem All-for-One/ One-for-All-Betriebsansatz, was auch bedeutet, dass jede Verbesserung unserer IT-Richtlinie allen unseren Kunden zur Verfügung steht.

Wir freuen uns, eine DSGVO-konforme Datenschutzvereinbarung abzuschließen. Und wenn Sie schnell und effizient zu einem DSGVO-konformen Vertrag gelangen möchten, müssen wir von der Coupa DPA-Vorlage ausgehen.

Ähnlich wie die DPA in Europa hat Coupa einen US-Datenschutz-Nachtrag, um die relevanten US-Datenschutzanforderungen zu erfüllen, und einen LGPD-Nachtrag für Brasilien.