Sofern ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter einsetzt, der in seinem Auftrag personenbezogene Daten verarbeitet, muss dieser besondere Anforderungen für die Auswahl des Dienstleisters und die vertragliche Vereinbarung beachten. Die Datenschutz-Grundverordnung (DS-GVO) regelt die sogenannte Auftragsverarbeitung in Artikel 28 und gibt bestimmte Pflichtinhalte vor. Viele Auftragsverarbeiter bieten eigene Vereinbarungen zur Auftragsverarbeitung (AVV) an, die alles beinhalten, was vertraglich für die Auftragsverarbeitung zu regeln ist. Üblicherweise überprüfen Datenschutzbeauftragte diese AVV und stellen häufig fest, dass bestimmte Pflichtinhalte fehlen oder unzureichend berücksichtigt sind. Dabei fordern Auftraggeber hin und wieder zusätzliche Inhalte, die über die gesetzlichen Vorgaben hinausgehen und gegen die sich der Auftragsverarbeiter zu wehren versucht. Der Abschluss einer AVV kann somit für Auftragsverarbeiter und Verantwortlichen sehr aufwändig sein. Wie schön wäre es für alle Beteiligten, wenn es eine unabhängige Bestätigung dafür gäbe, dass der Auftragsverarbeiter sämtliche Vorgaben der DS-GVO einhält? Dieses Problem sollen die neuen Verhaltensregeln „Trusted Data Processor“ (TDP) lösen.
Wer hat die Verhaltensregeln Trusted Data Processor entwickelt?
Eigentlich verwunderlich, dass es solche Verhaltensregeln nach Art. 40 DS-GVO nicht schon längst gab, da sie gesetzlich explizit vorgesehen sind, um damit angemessene Datenschutzmaßnahmen nachzuweisen. Dass die Entwicklung solcher Verhaltensregeln etwas dauerte, liegt möglicherweise daran, dass nicht jede Organisation einen solchen Code of Conduct erstellen darf. Zudem muss eine Aufsichtsbehörde die Verhaltensregeln zunächst genehmigen und sich eine Stelle für die Überwachung dafür akkreditieren lassen.
Für die Trusted Data Processor Verhaltensregeln gründeten die beiden Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ die Datenschutz Zertifizierungsgesellschaft mbH (DSZ). Durch die intensive Zusammenarbeit und enge Abstimmung mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI BW) entstand die Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO„, die offiziell seit dem 16.11.2022 die erste genehmigte Verhaltensregel ist.
Wofür gibt es die neuen Verhaltensregel?
Der LfDI BW Stefan Brink in einer Pressemitteilung vom 18.11.2022:
„Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ machen Auftragsverarbeiter nach außen sichtbar, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sich deren Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen.“
https://www.baden-wuerttemberg.datenschutz.de/verhaltensregeln-fuer-auftragsverarbeiter/
Durch die Genehmigung der Verhaltensregel durch den LfDI BW gilt diese national, branchenübergreifend und für alle Auftragsverarbeiter, die ihre Leistung in Deutschland für den deutschen Markt anbieten, ihren Sitz in Deutschland haben und personenbezogene Daten in Deutschland verarbeiten. Zusätzlich können Verhaltensregeln, die genehmigt wurden und allgemeine Gültigkeit besitzen, auch von Verantwortlichen oder Auftragsverarbeitern eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer zu bieten.
Mögliche Vorteile der Trusted Data Processor für Auftraggeber und Auftragsverarbeiter
Grundsätzlich können die Verhaltensregel Transparenz und Rechtssicherheit für die Auftragsverarbeitung schaffen. Mit den Trusted Data Processor schufen die DSZ jedoch keine neue AVV, wie es diese schon mit den Standardvertragsklauseln zu Art. 28 DS-GVO gibt. Ansatz der TDP ist es, speziell das zu regeln, worüber Auftraggeber und Auftragsverarbeiter regelmäßig unterschiedlicher Auffassung sind. Daher überprüft die DSZ innerhalb der Selbstverpflichtung insbesondere die folgenden Inhalte:
- Angebot und Vertrag
- Unterbeauftragung
- Kontrolle von Unterauftragsverarbeitern
- Betroffenenrechte
- Meldung potentieller Verletzungen des Schutzes personenbezogener Daten (Sicherheitsvorfälle)
- Inhalt der Verpflichtung der Vertraulichkeit
- Eigenkontrolle
Weitere Vorteile durch eine Listung als Trusted Data Processor sind:
- Geringerer Aufwand zur Vertragsprüfung und Verhandlung, da häufige Streitpunkte bereits geregelt sind,
- Geringerer Aufwand als Auftragsverarbeiter, da diese die Kontrollen durch die Auftraggeber mit einem Prüfbericht für alle Auftraggeber standardisieren,
- Standardisierung bei Kontrollrechten für Auftraggeber.
Lösen die Verhaltensregeln der Trusted Data Processor alle Probleme?
Vermutlich nicht, da für Auftraggeber einige Fragen offenbleiben und ihm damit nicht hinreichende Informationen bieten, um vollständig auf die Selbstverpflichtung zu vertrauen. So ist zu beachten, dass die DSZ nur die Inhalte der Selbstverpflichtung bestätigt und überwacht. Weitere Regelungsinhalte einer AV-Vereinbarung, wie zum Beispiel, ob eine Datenweitergabe an einen Unterauftragnehmer in einem Drittland legitim und angemessen ist, prüft diese nicht. Das muss der Auftraggeber wie bisher gesondert prüfen, inwieweit das datenschutzkonform möglich ist. Insofern schaffen die TDP zusätzliches Vertrauen zwischen Auftraggeber und Auftragsverarbeiter, aber alleine darauf zu vertrauen, dass damit alle gesetzlichen Anforderungen erfüllt sind, gelingt damit nicht.
Sie überlegen, ob Sie die Voraussetzungen der Selbstverpflichtung als „Trusted Data Processor“ erfüllen oder sich listen zu lassen und Sie benötigen dazu professionelle Beratung oder Begleitung? Kontaktieren Sie uns gerne, damit wir Sie dabei unterstützen können.
von Thorsten Jordan, 13.12.2022
Hilfreiche Links:
https://www.baden-wuerttemberg.datenschutz.de/verhaltensregeln-fuer-auftragsverarbeiter/
https://www.bvdnet.de/verhaltensregel-trusted-data-processor-ist-genehmigt/
Bildquelle: Bild von geralt auf pixabay
Sie interessieren sich für weitere unserer Blogbeiträge? Abonnieren Sie unseren Newsletter, dann informieren wir Sie automatisch über neue Beiträge.
*Pflichtangabe