Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


18.11.2022

Verhaltensregel (Code of Conduct) für Auftragsverarbeiter

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B-W) hat eine nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ genehmigt. Das hat der LfDI in einer Pressemitteilung bekanntgegeben. An der Entwicklung der vom Verein zur Förderung von Verhaltensregeln herausgegebenen Verhaltensregel für Auftragsverarbeiter wirkten der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. und die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. mit.

Als Überwachungsstelle für diese Verhaltensregel wurde vom LfDI B-W die DSZ Datenschutz Zertifizierungsgesellschaft mbH akkreditiert, zu deren Geschäftsleitung u.a. wiederum auch der Geschäftsführer der GDD gehört. Die DSZ GmbH bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle und Bearbeitung von Beschwerden.

Die Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ kann auf der Website der DSZ GmbH oder direkt hier abgerufen werden. In diesem Dokument werden neben dem Ziel und dem Anwendungsbereich der Verhaltensregel sowie deren Überwachung durch die Kontrollstelle vor allem die Anforderungen definiert, die an einen Auftragsverarbeiter gestellt werden. Diese Anforderungen sind wie folgt gegliedert

  • Angebot und Vertrag
  • Unterbeauftragung
  • Kontrolle von Unterauftragsverarbeitern
  • Rechte der betroffenen Personen
  • Meldung potenzieller Datenschutzverletzungen
  • Verpflichtung auf Vertraulichkeit
  • Eigenkontrolle

Die Verhaltensregel umfasst die allgemeinen Anforderungen an die Auftragsverarbeitung im Rahmen des Art. 28 DSGVO. Kein Teil der Verhaltensregel sind weitergehende Anforderungen, die sich aus der spezifischen Verarbeitungssituation ergeben können:

„Diese Verhaltensregel umfasst ausschließlich allgemein und generell geltende Mindestanforderungen im Verhältnis zwischen Auftraggeber und Auftragsverarbeiter, ohne gesonderte eventuell besonders bestehende Schutzbedarfe abzudecken.“

Der Anwendungsbereich der Verhaltensregel ist weiterhin dadurch gekennzeichnet und zugleich begrenzt, dass es sich um eine nationale Verhaltensregel für Deutschland handelt. Sie richtet sich an Auftragsverarbeiter, die ihre Leistung in Deutschland für den deutschen Markt anbieten, ihren Sitz in Deutschland haben und personenbezogene Daten in Deutschland verarbeiten. Für den Ort der Verarbeitung soll der Ort der Verarbeitung durch den Auftragsverarbeiter maßgeblich sein, ohne dass es auf die Verarbeitungsorte durch Unterauftragsverarbeiter ankommt. Unterauftragsverarbeiter sollen bei der Frage des Anwendungsbereichs der Verhaltensregel nicht zu berücksichtigen sein.

Außerdem werden nach der Verhaltensregel auch solche Unternehmen als Auftragsverarbeiter eingestuft und behandelt, die im Rahmen von Wartung und Betrieb von IT-Anlagen oder Programmen auf personenbezogene Daten des Auftraggebers zugreifen können.

Schließlich findet die Verhaltensregel keine Anwendung auf Auftragsverarbeiter, die öffentliche Stellen sind, und auf Auftragsverarbeiter aus dem Bereich der „internationalen Organisationen“ i.S.d. Art. 4 Nr. 26 DSGVO.

Unternehmen können sich zur Einhaltung der Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ verpflichten, indem sie bei der DSZ den kostenpflichtigen Antrag stellen und die erforderlichen Nachweise erbringen.

Hintergrund

Die „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ ist eine Verhaltensregel i.S.d. Art. 40 DSGVO, d.h. eine von der DSGVO ermöglichte und den DSGVO-Vorgaben entsprechend genehmigte Verhaltensregel. Genehmigte Verhaltensregeln gem. Art. 40 DSGVO führen ebenso wie genehmigte Zertifizierungsverfahren gem. Art. 42 DSGVO bislang ein Schattendasein, da die entsprechenden Instrumente zwar mit der DSGVO gesetzlich eingeführt, aber in der Praxis noch nicht geschaffen worden sind. Art. 40 DSGVO regelt insbesondere den zulässigen Inhalt und die Kontrolle der Einhaltung von solchen Verhaltensregeln sowie deren Widerruf.

Die Einhaltung genehmigter Verhaltensregeln i.S.d. Art. 40 DSGVO kann als ein Faktor herangezogen werden, um die Einhaltung bestimmter DSGVO-Vorgaben nachzuweisen, z.B. gem. Art. 28 Abs. 5 DSGVO (Auftragsverarbeiter) und Art. 32 Abs. 3 DSGVO (Sicherheit der Verarbeitung). Außerdem ist die Einhaltung genehmigter Verhaltensregeln in bestimmten Konstellationen von Gesetzes wegen zu berücksichtigen, z.B. bei der Entscheidung über die Verhängung einer Geldbuße und deren Höhe (Art. 83 Abs. 2 lit. j DSGVO).

Bewertung

Die Anforderungen der Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ entsprechen im Grundsatz den gesetzlichen Vorgaben in Art. 28 DSGVO, enthalten aber Konkretisierungen im Detail, z.B. Mindestangaben bzgl. Zeit und Umfang der Eigenkontrolle des Auftragsverarbeiters und der Kontrolle von Unterauftragsverarbeitern, aber auch die Nutzung konkreter Formblätter wie beispielsweise zur internen Bearbeitung von Meldungen potenzieller Datenschutzverletzungen.

Die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO kann von Verantwortlichen und Auftragsverarbeitern als ein Faktor herangezogen werden, um die Erfüllung der Pflichten nach Art. 28 Abs. 1 bzw. Abs. 4 DSGVO nachzuweisen. Dabei ist zu beachten, dass Verhaltensregeln nur im Rahmen ihres Regelungsbereiches herangezogen und berücksichtigt werden können. Ein Nachweis setzt selbstverständlich voraus, dass die Verhaltensregeln tatsächlich eingehalten werden.  Zudem müssen die Umstände belegt werden können. Daher kann dieser Nachweis nur mit einer hinreichenden Dokumentation der in Frage stehenden Verarbeitungen geführt werden. Allerdings führt die auch eine dokumentierte Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO nicht zwingend automatisch zu dem Nachweis, dass die Vorgaben der DSGVO eingehalten werden. Vielmehr handelt es sich bei der Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO lediglich um einen „Faktor“ bzw. “Gesichtspunkt”, der zum Nachweis herangezogen werden kann.

Der Einsatz von genehmigten Verhaltensregeln nach Art. 40 kann insoweit ein wesentlicher Baustein des Datenschutzmanagements sein. Verantwortlichen und Auftragsverarbeitern bleibt es indes unbenommen, den Nachweis zur Erfüllung der ihnen obliegenden DSGVO-Pflichten auf andere Weise zu führen. Schließlich sollten bei der Gesamtentscheidung über eine Selbstverpflichtung die (auch laufenden) Kosten berücksichtigt werden, die gegenüber der DSZ anfallen.

Unabhängig davon, ob eine Selbstverpflichtung erfolgt, kann die Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ grundsätzlich eine Orientierungshilfe bieten, wenn ein Unternehmen seine Umsetzung der DSGVO-Vorgaben in Bezug auf eine Auftragsverarbeitung unter die Lupe nimmt oder insofern Einzelfragen aufkommen.


Sollten Sie Fragen zur Auftragsverarbeitung oder sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht