Kurzüberblick: Vereinbarung über die Datenverarbeitung

Hintergrund

Das Inkrafttreten der Verordnung (EU) 2016/679 ("DSGVO") brachte viele Änderungen in der Datenschutzlandschaft und den gesetzlichen Compliance-Anforderungen mit sich. Zwei davon sind (1) die Anforderung einer schriftlichen und spezifischen Datenverarbeitungsvereinbarung und (2) direkte Verantwortlichkeiten und Verbindlichkeiten des Datenverarbeiters.

Somit haben sowohl der Auftragsverarbeiter (Coupa) als auch der Verantwortliche (Sie) ein gemeinsames Interesse daran, eine Datenverarbeitungsvereinbarung ("DPA") abzuschließen, die die Anforderungen des Art. 28 DSGVO vollständig erfüllt. Und wir bei Coupa sind bereit, die Aufgabe konform und nahtlos zu erledigen.

Diese Kurzanleitung soll Ihnen einen Überblick über die Coupa-DPA und unsere rationale Umsetzung unserer Vorlage geben. Bitte beachten Sie, dass die spezifischen Details eines solchen DPA von einem individuellen Abonnementumfang und einer individuellen Konfiguration des Kunden abhängen. Diese Kurzanleitung kann sich ändern.

Unser DPA wurde aktualisiert, um die neuen Standardvertragsklauseln der Europäischen Union widerzuspiegeln.

Die Coupa DPA

Die Coupa DPA ist nicht nur vollständig DSGVO-konform, sondern bereits auf das Coupa-Angebot zugeschnitten. Wir haben die Coupa DPA-Vorlage mit Unterstützung unserer externen Rechtsberater entworfen und halten sie bei Änderungen auf der Coupa-Plattform auf dem neuesten Stand. Grundsätzlich überprüfen wir regelmäßig unsere Vertragsvorlagen und übernehmen Best Practices und Kundenfeedback bei der Aktualisierung von Bedingungen.

• Einerseits ist jede Kundenvorlage notwendigerweise generisch und daher fehlen die lösungsspezifischen Details, die für eine vollständige und gebrauchsfertige DPA erforderlich sind. Jede DPA-Vorlage des Kunden ist unvollständig und kann ohne wesentliche Änderungen nicht unterzeichnet werden.

• Auf der anderen Seite betreibt Coupa eine einheitliche IT-Sicherheitsrichtlinie auf Plattformebene, die nicht für eine Kundeninstanz spezifisch ist. Die Einrichtung einer kundenspezifischen IT-Sicherheitsrichtlinie - wie von den meisten Kunden-DPA-Vorlagen vorgeschlagen - allein für diesen Fall wird in einer Multi-Tenant-Cloud-Umgebung nicht berechnet.

• Nicht zuletzt profitieren unsere Kunden von einem All-for-one/one-for-all-Betrieb, was auch bedeutet, dass jede Verbesserung unserer IT-Richtlinie allen unseren Kunden zur Verfügung steht.

Gerne schließen wir einen DSGVO-konformen DPA ab. Und wenn Sie schnell und effizient zu einem konformen DSGVO-konformen Vertrag gelangen möchten, müssen wir mit der Coupa-DPA-Vorlage beginnen.

Ähnlich wie bei der DPA in Europa verfügt Coupa über einen US-Datenschutznachtrag, um die relevanten US-Datenschutzanforderungen zu erfüllen, und einen LGPD-Nachtrag für Brasilien.