Zum Inhalt springen Zur Navigation springen
Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“

Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“

Für den Datenschutz verantwortliche Stellen nutzen regelmäßig Dienstleister, die in ihrem Auftrag personenbezogene Daten verarbeiten – die Auftragsverarbeiter. Um hier mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI BaWü eine nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO“ genehmigt: der „Trusted Data Processor“.

Die Auftragsverarbeitung

Dass eine Verhaltensregel zur „Auftragsverarbeitung“ entwickelt wurden, ist auf Grund der Praxisrelevanz des Themas in der Tat nicht verwunderlich. Einen Überblick über die wichtigsten Aspekte zur Auftragsverarbeitung finden Sie daher auch in unserem Beitrag „Auftragsverarbeitung nach DSGVO – Definition und Beispiele“.

Was sind Verhaltensregeln?

Nach Art. 40 DSGVO besteht grundsätzlich die Möglichkeit, sog. „Verhaltensregeln“ auszuarbeiten, die

„nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche (von personenbezogenen Daten) und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“

Die Regeln können durch Verbände oder andere Vereinigungen entwickelt werden und folgende Aspekte bspw. präzisieren:

Einführung des „Trusted Data Processor“

Unter anderem in Zusammenarbeit mit dem ehemaligen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, entwickelten die Datenschutzfachverbände GDD e.V. und BvD e.V. eine inhaltliche Konzeption von Verhaltensregeln für das Thema der Auftragsverarbeitung. Daraus entstanden ist die Verhaltensregel „Trusted Data Processor“, die vom LfDI BaWü Ende 2022 offiziell genehmigt wurde.

Die Anforderungen an den Auftragsverarbeiter

Die Verhaltensregel zur Auftragsverarbeitung („Trusted Data Processor“) konkretisiert und standardisiert das Zusammenwirken von Auftraggeber und Auftragsverarbeiter. Dies geschieht durch die Festlegung bestimmter Anforderungen z.B. an die Ausgestaltung eines AVV, die Kontrolle von Subdienstleistern oder dem Umgang mit Datenschutzvorfällen.

Nach einer Einleitung (Ziffer 1-3) listen die Verhaltensregeln verschiedene Anforderungen an Auftragsverarbeiter auf. Die Anforderungen (Ziffer 4) beziehen sich auf die Punkte:

Zwei weitere Kapitel (Ziffer 5 & 6) beschäftigen sich mit dem Ablauf der Überwachung durch die Kontrollstelle. Zu den Aufgaben einer Überwachungsstelle zählt die Prüfung der Selbstverpflichtungen sowie die Prüfung von Beschwerden.

Was wird bescheinigt?

Die verschiedenen Anforderungen an die Rolle des Auftragsverarbeiters als auch zu den Inhalten eines Auftragsverarbeitungsvertrags (AVV), vgl. Ziffer 1-4, ermöglichen es, dass ein selbstverpflichtetes Unternehmen die erforderlichen Garantien und Nachweise leichter nachweisen kann. So wird dem „Trusted Data Processor“ die Einhaltung der datenschutzrechtlichen Verpflichtungen nach Art. 28 Abs. 3 DSGVO bescheinigt, die Gegenstand jedes AVV sind. Er verpflichtet sich z.B.

  • zur Ergreifung erforderlicher Maßnahmen und hinreichender Garantien nach Art. 32 DSGVO
  • zur Einführung eines Prozesses zu Prüfung weiterer Subdienstleister, einschließlich deren Kontrolle, (vgl. S. 9 ff.) oder
  • zur Einführung eines Prozesses zur Meldung von Datenschutzvorfällen beim Auftraggeber (vgl. S. 12 ff)

Mit der Selbstverpflichtung unter die Verhaltensregel erlauben diese den Unternehmen, ihre Datenschutz-Compliance gegenüber Kunden und Partnern zu demonstrieren.

Überwachung durch Kontrollstelle

Um die Selbstverpflichtung der Unternehmen nicht als zahnlosen Tiger dastehen zu lassen, sind gemäß Art. 40 Abs. 4 DSGVO Verfahren vorzusehen, die es einer Kontrollstelle ermöglichen, zu überwachen, dass Auftragsverarbeiter die Bestimmungen dieser Verhaltensregel einhalten, vgl. Ziffer 5-6. Diese Aufgabe übernimmt die „Datenschutz Zertifizierungsgesellschaft mbH“ (DSZ). Sie ist daneben Anlaufstelle für Beschwerden. Die Unternehmen unterwerfen sich mit der Selbstverpflichtung zugleich also auch einer Überwachung bzgl. der Einhaltung der Verhaltensregel durch eine unabhängige Kontrollstelle. Dies geht einher mit einer Verpflichtung zur uneingeschränkten Mitwirkung bei festgelegten Aufgaben und Abläufen der Kontrollstelle (vgl. S. 19 ff.).

Welche Mitwirkungspflichten bestehen?

Um eine Prüfung zu ermöglichen, sind vom Auftragsverarbeiter umfangreiche Mitwirkungspflichten zu erbringen. Neben der Bereitstellung der erforderlichen Informationen ist den Mitarbeitern und/ oder Beauftragten der Kontrollstelle ein uneingeschränktes Zutrittsrecht zu allen relevanten Bereichen zu gewährleisten. Das Zutrittsrecht erstreckt sich dabei auch auf eingesetzte Unterauftragsverarbeiter.

Der in der Verhaltensregel festgelegte Prozess zur Kontrolle der Selbstverpflichtung durch die Kontrollstelle sieht dabei folgenden Ablauf vor:

  • Eine zufällige Kontrolle kann alle 2 Jahre stattfinden.
  • Kontrolle erfolgt durch Anforderung geeigneter Nachweisdokumente und deren Prüfung
  • Bei einer Verletzung besteht die Möglichkeit zur Nachbesserung durch das Unternehmen oder
  • als ultimo ratio: Ein Ausschluss von der Selbstverpflichtung

Die Möglichkeit, dass durch die Kontrollstelle ein Bußgeld iSd Art. 83 DSGVO verhängt wird, besteht dahingehend nicht.

Ist das nun was für mich und mein Unternehmen?

Die Selbstverpflichtung als „Trusted Data Processor“ ist grundsätzlich eine freiwillige Entscheidung. Insbesondere für Unternehmen, die hauptsächlich als Auftragsverarbeiter tätig werden, können sich durch die Selbstverpflichtung einige Vorteile ergeben. Ob sich die kostenpflichtige Zertifizierung lohnt und wie sich die Regeln innerhalb eines Unternehmens umsetzen lassen, muss auf der anderen Seite aber natürlich ebenfalls mit in die Entscheidungsfindung einbezogen werden. Hier ist zu empfehlen, auch die weitere Entwicklung der stattfindenden Zertifizierungen mit im Blick zu behalten.

Webinar zum Thema „Auftragsverarbeitung“

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Dienstag, den 14. November 2023
von 9:30 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Moin,
    das Konzept des „Trusted-data-processor“ (CoC TDP) beinhaltet ein in der Praxis schwierig umsetzbar Hürde: „Auflistung aller Unterauftragsverarbeiter und Unterunterauftragsverarbeiter bis zum Ende der Leistungskette“. In einer globalen (vernetzten) Welt ist das nur unter massiven Aufwand möglich, wenn nicht gar unmöglich.

    Es gibt sicher einen Grund, warum erst 2 Unternehmen dieses Zertifikat erhalten haben.

    Ferner sollte man sich bewusst sein, dass dieser CoC keine Aussagen trifft
    – zu den toM
    – zur Mitwirkung an der Erstellung von DS-Folgenabschätzungen,
    – zur Verhinderung einer Datenverarbeitung zu eigenen Zwecken des Auftragnehmers(!),
    – zur Löschung bei Auftragsbeendigung und zur Genehmigung neuer Auftragsverarbeiter.

  • Ich erinnere mich dunkel an den letztzen Versuch der GDD, eine Zertifizierung zu implementieren. Kenne kein Unternehmen, welches dem gefolgt ist. Der Mehrwert dieser neuen Lösung ist ebenfalls sehr, sehr dünn.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.