Warum Sie keine DPA benötigen, wenn Sie mit einem Vertrauensdiensteanbieter zusammenarbeiten
Der Anstieg digitaler Transaktionen hat die Bedeutung von Vertrauensdiensten, insbesondere im Zusammenhang mit elektronischen Signaturen, hervorgehoben. In der EU werden Vertrauensdienste durch die eIDAS-Verordnung geregelt, die Standards für elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen festlegt. Dennoch besteht unter Juristen ein weit verbreitetes Missverständnis in Bezug auf die Kontrolle und Verarbeitung personenbezogener Daten bei der Nutzung dieser Dienste, insbesondere bei qualifizierten Vertrauensdiensteanbietern (TSPs) wie ZealiD AB.
Missverständnisse über die Datenverantwortung
Viele Rechtsabteilungen gehen davon aus, dass die Zusammenarbeit mit einem Vertrauensdiensteanbieter (TSP) den Abschluss einer Datenverarbeitungsvereinbarung (DPA) zur Erfüllung der DSGVO-Anforderungen erfordert. Dieses Missverständnis resultiert häufig aus einer mangelnden Vertrautheit mit den grundlegenden Prinzipien von Vertrauensdiensten und ihrem regulatorischen Rahmen. Vertrauensdienste, einschließlich elektronischer Signaturen, sind darauf ausgelegt, Sicherheit und Vertrauen in elektronische Transaktionen zu stärken, ohne dieselben Datenverarbeitungsimplikationen wie traditionelle Datenverarbeiter mit sich zu bringen.
Die Rolle von Vertrauensdiensteanbietern
Vertrauensdiensteanbieter wie ZealiD AB bieten qualifizierte elektronische Signaturen an, die den strengen EU-Standards entsprechen. Gemäß der eIDAS-Verordnung und den ETSI-Standards (wie ETSI EN 319 401 und ETSI EN 319 411-1/2) sind TSPs verpflichtet, sicherzustellen, dass ihre Dienste hohe Sicherheits- und Zuverlässigkeitsstandards einhalten. Wichtig ist, dass die Beziehung zwischen TSPs und ihren Kunden sich von der eines traditionellen Datenverantwortlichen und Datenverarbeiters unterscheidet.
Wenn Unternehmen Vertrauensdienste in Anspruch nehmen, gehen sie häufig fälschlicherweise davon aus, dass sie die Verantwortung des Datenverantwortlichen an den TSP delegieren und diesen als Sub-Prozessor behandeln. Dieses Missverständnis ignoriert jedoch, dass das rechtliche Modell, das Vertrauensdienste regelt, anders funktioniert.
Warum eine DPA bei TSPs oft nicht erforderlich ist
Hash-Signatur-Mechanismus:
Die meisten modernen Integrationen von Vertrauensdiensten verwenden einen Hash-Signatur-Mechanismus. Dabei wird der Inhalt des zu signierenden Dokuments in einen Hash-Wert umgewandelt, der anschließend vom TSP verarbeitet wird. Das ursprüngliche Dokument bleibt verschlüsselt und ist für den TSP nicht einsehbar. In einigen Rechtsordnungen könnte dies zwar dennoch als Verarbeitung personenbezogener Daten gelten, jedoch ist die Notwendigkeit einer DPA (Datenverarbeitungsvereinbarung) fraglich. Eine DPA setzt voraus, dass der TSP Anweisungen zur Verarbeitung von Daten erhält. Da die Daten jedoch verschlüsselt sind und der TSP keinen Zugriff auf deren Inhalt hat, sind solche Anweisungen irrelevant. Somit agiert der TSP nicht als Datenverarbeiter im traditionellen Sinne.
Direkte Beziehung zu Endnutzern:
Für qualifizierte elektronische Signaturen bauen TSPs eine direkte Beziehung zu den Endnutzern auf, um digitale Zertifikate auszustellen und Remote-Signaturen zu ermöglichen. Diese Beziehung ist hochgradig reguliert und standardisiert, wodurch sichergestellt wird, dass die Benutzerdaten im Einklang mit den geltenden Gesetzen verwaltet werden. Da der TSP direkt mit den Nutzern für die Ausstellung von Zertifikaten interagiert, agiert er nicht lediglich als Verarbeiter gemäß der DSGVO. Er arbeitet innerhalb eines Rahmens, der ihn aus dem traditionellen Paradigma des Datenverantwortlichen-Verarbeiters heraushebt.
Praxisbeispiel: ZealiD AB
ZealiD AB ist ein führender schwedischer qualifizierter Vertrauensdiensteanbieter, der diese komplexen Anforderungen erfolgreich meistert. Durch die Bereitstellung sicherer und konformer elektronischer Signaturen ermöglicht ZealiD Unternehmen, ihre digitalen Transaktionsprozesse zu optimieren, ohne sich unbeabsichtigt Datenschutzrisiken auszusetzen.
Rechtsabteilungen, die mit ZealiD zusammenarbeiten, können sich darauf konzentrieren, ihre eigene DSGVO-Compliance sicherzustellen, indem sie entsprechende Datenverarbeitungsvereinbarungen (DPAs) mit anderen Dienstanbietern abschließen – wie beispielsweise E-Signatur-Plattformen –, bei denen sensible und personenbezogene Daten verarbeitet werden könnten.
Fazit
Die sich wandelnde Landschaft digitaler Transaktionen erfordert ein klares Verständnis der Rollen und Verantwortlichkeiten von Vertrauensdiensteanbietern. Juristen müssen erkennen, dass die Zusammenarbeit mit einem TSP nicht automatisch eine DPA (Datenverarbeitungsvereinbarung) erfordert, da die Natur von Vertrauensdiensten, insbesondere im Hinblick auf personenbezogene Daten, grundlegend anders ist als bei traditionellen Datenverarbeitungsbeziehungen.
Durch ein Verständnis des regulatorischen Rahmens, der durch die eIDAS-Verordnung und ETSI-Standards festgelegt wird, können Rechtsabteilungen fundiertere Entscheidungen treffen, wenn sie Vertrauensdienste in ihre Prozesse integrieren. Am Beispiel von ZealiD AB können Unternehmen qualifizierte Vertrauensdienste nutzen und gleichzeitig Compliance und Sicherheit gewährleisten, ohne den häufigen Missverständnissen über die Datenverantwortung zu erliegen.
En savoir plus
Souhaitez-vous en savoir plus sur l’obtention d’une Signature Électronique Qualifiée (SEQ) ?
ZealiD collabore avec les entreprises les plus innovantes pour améliorer leurs workflows de signature de documents et leur gestion des accords grâce aux SEQ.