Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“

Für den Datenschutz verantwortliche Stellen nutzen regelmäßig Dienstleister, die in ihrem Auftrag personenbezogene Daten verarbeiten – die Auftragsverarbeiter. Um hier mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI BaWü eine nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO“ genehmigt: der „Trusted Data Processor“.

Die Auftragsverarbeitung

Dass eine Verhaltensregel zur „Auftragsverarbeitung“ entwickelt wurden, ist auf Grund der Praxisrelevanz des Themas in der Tat nicht verwunderlich. Einen Überblick über die wichtigsten Aspekte zur Auftragsverarbeitung finden Sie daher auch in unserem Beitrag „Auftragsverarbeitung nach DSGVO – Definition und Beispiele“.

Was sind Verhaltensregeln?

Nach Art. 40 DSGVO besteht grundsätzlich die Möglichkeit, sog. „Verhaltensregeln“ auszuarbeiten, die

„nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche (von personenbezogenen Daten) und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“

Die Regeln können durch Verbände oder andere Vereinigungen entwickelt werden und folgende Aspekte bspw. präzisieren:

• Die faire und transparente Verarbeitung
• die berechtigten Interessen des Verantwortlichen
• die Erhebung personenbezogener Daten
• die Ausübung der Rechte betroffener Personen
• die Maßnahmen und Verfahren gemäß Art. 24 DSGVO und Art. 25 DSGVO oder
• die Maßnahmen für die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

Einführung des „Trusted Data Processor“

Unter anderem in Zusammenarbeit mit dem ehemaligen Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, entwickelten die Datenschutzfachverbände GDD e.V. und BvD e.V. eine inhaltliche Konzeption von Verhaltensregeln für das Thema der Auftragsverarbeitung. Daraus entstanden ist die Verhaltensregel „Trusted Data Processor“, die vom LfDI BaWü Ende 2022 offiziell genehmigt wurde.

Die Anforderungen an den Auftragsverarbeiter

Die Verhaltensregel zur Auftragsverarbeitung („Trusted Data Processor“) konkretisiert und standardisiert das Zusammenwirken von Auftraggeber und Auftragsverarbeiter. Dies geschieht durch die Festlegung bestimmter Anforderungen z.B. an die Ausgestaltung eines AVV, die Kontrolle von Subdienstleistern oder dem Umgang mit Datenschutzvorfällen.

Nach einer Einleitung (Ziffer 1-3) listen die Verhaltensregeln verschiedene Anforderungen an Auftragsverarbeiter auf. Die Anforderungen (Ziffer 4) beziehen sich auf die Punkte:

• Angebot & Vertrag
• Unterbeauftragung
• Kontrolle von Unterauftragsverarbeitern
• Rechte betroffener Personen
• Meldung potenzieller Verletzungen des Schutzes personenbezogener Daten
• Inhalt der Verpflichtung auf Vertraulichkeit
• Eigenkontrolle

Zwei weitere Kapitel (Ziffer 5 & 6) beschäftigen sich mit dem Ablauf der Überwachung durch die Kontrollstelle. Zu den Aufgaben einer Überwachungsstelle zählt die Prüfung der Selbstverpflichtungen sowie die Prüfung von Beschwerden.

Was wird bescheinigt?

Die verschiedenen Anforderungen an die Rolle des Auftragsverarbeiters als auch zu den Inhalten eines Auftragsverarbeitungsvertrags (AVV), vgl. Ziffer 1-4, ermöglichen es, dass ein selbstverpflichtetes Unternehmen die erforderlichen Garantien und Nachweise leichter nachweisen kann. So wird dem „Trusted Data Processor“ die Einhaltung der datenschutzrechtlichen Verpflichtungen nach Art. 28 Abs. 3 DSGVO bescheinigt, die Gegenstand jedes AVV sind. Er verpflichtet sich z.B.

• zur Ergreifung erforderlicher Maßnahmen und hinreichender Garantien nach Art. 32 DSGVO
• zur Einführung eines Prozesses zu Prüfung weiterer Subdienstleister, einschließlich deren Kontrolle, (vgl. S. 9 ff.) oder
• zur Einführung eines Prozesses zur Meldung von Datenschutzvorfällen beim Auftraggeber (vgl. S. 12 ff)

Mit der Selbstverpflichtung unter die Verhaltensregel erlauben diese den Unternehmen, ihre Datenschutz-Compliance gegenüber Kunden und Partnern zu demonstrieren.

Überwachung durch Kontrollstelle

Um die Selbstverpflichtung der Unternehmen nicht als zahnlosen Tiger dastehen zu lassen, sind gemäß Art. 40 Abs. 4 DSGVO Verfahren vorzusehen, die es einer Kontrollstelle ermöglichen, zu überwachen, dass Auftragsverarbeiter die Bestimmungen dieser Verhaltensregel einhalten, vgl. Ziffer 5-6. Diese Aufgabe übernimmt die „Datenschutz Zertifizierungsgesellschaft mbH“ (DSZ). Sie ist daneben Anlaufstelle für Beschwerden. Die Unternehmen unterwerfen sich mit der Selbstverpflichtung zugleich also auch einer Überwachung bzgl. der Einhaltung der Verhaltensregel durch eine unabhängige Kontrollstelle. Dies geht einher mit einer Verpflichtung zur uneingeschränkten Mitwirkung bei festgelegten Aufgaben und Abläufen der Kontrollstelle (vgl. S. 19 ff.).

Welche Mitwirkungspflichten bestehen?

Um eine Prüfung zu ermöglichen, sind vom Auftragsverarbeiter umfangreiche Mitwirkungspflichten zu erbringen. Neben der Bereitstellung der erforderlichen Informationen ist den Mitarbeitern und/ oder Beauftragten der Kontrollstelle ein uneingeschränktes Zutrittsrecht zu allen relevanten Bereichen zu gewährleisten. Das Zutrittsrecht erstreckt sich dabei auch auf eingesetzte Unterauftragsverarbeiter.

Der in der Verhaltensregel festgelegte Prozess zur Kontrolle der Selbstverpflichtung durch die Kontrollstelle sieht dabei folgenden Ablauf vor:

• Eine zufällige Kontrolle kann alle 2 Jahre stattfinden.
• Kontrolle erfolgt durch Anforderung geeigneter Nachweisdokumente und deren Prüfung
• Bei einer Verletzung besteht die Möglichkeit zur Nachbesserung durch das Unternehmen oder
• als ultimo ratio: Ein Ausschluss von der Selbstverpflichtung

Die Möglichkeit, dass durch die Kontrollstelle ein Bußgeld iSd Art. 83 DSGVO verhängt wird, besteht dahingehend nicht.

Ist das nun was für mich und mein Unternehmen?

Die Selbstverpflichtung als „Trusted Data Processor“ ist grundsätzlich eine freiwillige Entscheidung. Insbesondere für Unternehmen, die hauptsächlich als Auftragsverarbeiter tätig werden, können sich durch die Selbstverpflichtung einige Vorteile ergeben. Ob sich die kostenpflichtige Zertifizierung lohnt und wie sich die Regeln innerhalb eines Unternehmens umsetzen lassen, muss auf der anderen Seite aber natürlich ebenfalls mit in die Entscheidungsfindung einbezogen werden. Hier ist zu empfehlen, auch die weitere Entwicklung der stattfindenden Zertifizierungen mit im Blick zu behalten.

Webinar zum Thema „Auftragsverarbeitung“

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Dienstag, den 14. November 2023
von 9:30 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.