Vertrag über Datenverarbeitung


Auch bekannt als: Sign an Agreement to Solve Lack of Trust on the Use of Private Data Context, Contractual Consent

Kurzinfo

Die Nutzer eines Dienstes können vom für die Datenverarbeitung Verantwortlichen verlangen, Verträge zu unterzeichnen, in denen ihre Verpflichtungen und Verarbeitungszwecke festgelegt sind, für die Nutzende ihre Zustimmung zur Nutzung des Dienstes geben müssen.

STRATEGIEN: Kontrolle überlassen, Nachweisen

Kontext

Nutzende haben von Natur aus kein Vertrauen in Verantwortlichen, die Dienste (oder Produkte) anbieten, da sie keine Gewissheit darüber haben, was die wahren Absichten dieser oder ihrer Auftragsverarbeitenden sind. Verantwortliche und Auftragsverarbeitende streben in der Regel nach Gewinn, doch könnte dies auf Kosten Nutzender gehen, wenn diese Nutzenden ihre Bedürfnisse hinsichtlich des Datenschutzes nicht berücksichtigen. Verantwortliche könnten vernünftige Vorgaben oder Kontrollen haben, aber Nutzende müssen dennoch die Gewissheit haben, dass ihre Entscheidungen respektiert werden. Dies gilt insbesondere für rechtmäßig erteilte oder verweigerte Zustimmungen.

Problem

Verantwortliche haben nicht notwendigerweise das Vertrauen ihrer Nutzenden, benötigen allerdings dieses Vertrauen, um die Daten ihrer Nutzenden verarbeiten zu können.

Einflüsse und Bedenken

  • Verantwortliche möchten Nutzenden Dienste anbieten, benötigt dazu jedoch ihr Vertrauen und ihre Zustimmung.
  • Verantwortliche möchte Daten verarbeiten, ohne sich darum kümmern zu müssen, ob die Daten Informationen beinhalten, die nicht verarbeitet werden dürfen.
  • Nutzende wollen Dienste nutzen, aber nicht auf die Gefahr hin, dass ihre persönlichen Anforderungen an die Privatsphäre untergraben werden.
  • Nutzende wollen wissen, was sie Verantwortlichen sicher zur Verfügung stellen können und welche Informationen über sie preisgegeben werden könnten, wenn sie den Dienst nutzen.
  • Nutzende müssen das Gefühl haben, dass Verantwortliche jede Entscheidung, die sie bezüglich ihrer persönlichen Daten traffen, respektieren.

Lösung

Der Dienst sollte Nutzenden eine vertragliche Vereinbarung (mit Datenschutzrichtlinien) bieten, die Verantwortliche an ihr Wort bindet, vorausgesetzt, Nutzende stimmen der Verarbeitung von Daten zu, die für bestimmte Zwecke benötigt werden. Die Vereinbarung sollte auch jegliche Vertretungen der Verantwortlichen binden. Sie sollte einfach und klar genug sein, damit alle Nutzenden sie verstehen können.

Implementierung

Der Dienst sollte vor der Sammlung einen Mechanismus (z. B. Landing Page oder unvermeidliche Einführung) anzeigen, der die Notwendigkeit der Zustimmung von Nutzenden voraussetzt. Es sollte ein angemessener Aufwand betrieben werden, um zu verhindern, dass Nutzende diesen Mechanismus umgehen.

Die spezifischen Zwecke, für die die Daten von Nutzenden verarbeitet werden, sollten klargestellt werden. Gleichzeitig sollte der Dienst die vertraglichen Verpflichtungen darlegen, denen er im Falle der Zustimmung unterliegen wird. Nutzende sollte in der Lage sein, weitere Einzelheiten über diese Verpflichtungen zu erfragen, ohne dass vorher eine Einwilligung erforderlich ist.

Wenn sich Nutzende für eine Zustimmung entscheiden, können sie dies deutlich machen, indem sie mit einem Mechanismus (z. B. einem Knopf) interagiert, der ihre Zustimmung zum Vertrag klar zum Ausdruck bringt.

Eine weitere Implementierung könnte Nutzenden zusätzlich den Zugang zu einer Teilmenge des Dienstes ermöglichen, die keine Daten erfordert, um ihre Zustimmung zu begründen. Dies könnte potentielle Bedenken seitens Nutzender reduzieren, während sie sich näher informieren und ihre Entscheidung treffen.

Auswirkungen

Vorteile

Verantwortliche, ihre Vertretungen und Nutzende sind an die Vertragsbedingungen und die rechtlichen Auswirkungen des Vertrags gebunden. Alle Streitigkeiten betreffen sowohl das Vertragsrecht als auch das Datenschutzrecht.

Verwandte Patterns

Dieses Pattern ist eine der Komponenten des zusammengesetzten Patterns rechtsgültige Einwilligungen einholen. Als solche stehen sie in einer „kann genutzt werden“-Beziehung zueinander.

Dieses Pattern ähnelt Ausdrücklich nach Einwilligung fragen. Es zielt darauf ab, das Vertrauen von Nutzenden zu gewinnen, während das zweite Pattern darauf abzielt, die Einwilligung auf eine Art und Weise einzuholen, die nicht im Nachhinein angezweifelt werden kann. Obwohl sie auf den ersten Blick komplementär erscheinen mögen, sind die Lösungen in Wirklichkeit recht ähnlich. Beide Pattern zeigen Vorteile für Nutzende und Verantwortliche aus ihren jeweiligen Perspektiven auf.

Lizenz:

Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.

Quellen:

Asnar, Y., Bryl, V., Bonato, R., Campagna, L., Donnan, D., Khoury, P. El, Giorgini, P., Holtmanns, S., Martinez-Juste, M., Massacci, F., Porekar, J., Riccucci, C., Saidane, A., Seguran, M., Thomas, R., & Yautsiukhin, A. (2007). Initial Set of Security and Privacy Patterns at Organizational Level, (December 2006). Retrieved from http://www.serenity-forum.org/IMG/pdf/A1.D3.1_patterns_at_organizational_level_v1.3_final.pdf