Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
checkliste avv genehmigte verhaltensregeln datenschutz-folgenabschätzung dsfa art. 35 dsgvo berechtigtes interesse prüfung kontrolle auftragsverarbeiter

Rechtssichere Auftragsverarbeitung durch genehmigte Verhaltensregeln

4. Januar 2023/von Datenschutzbeauftragter/oba

Viele Unternehmen setzen im Rahmen ihrer geschäftlichen Tätigkeit Dienstleister ein, die in ihrem Auftrag personenbezogene Daten nach Weisung verarbeiten. Dabei gelten im Rahmen der Auftragsverarbeitung sehr strenge Vorgaben der Datenschutz-Grundverordnung (DSGVO), die zu beachten sind.

Insbesondere müssen die Verantwortlichen, um das Auftragsverarbeitungsverhältnis rechtssicher zu gestalten, mit ihren Auftragsverarbeitern einen in Art. 28 DSGVO zwar abstrakt aber dennoch recht detailliert definierten Vertrag („Auftragsverarbeitungsvertrag“, AVV) abschließen. Darüber hinaus muss im Rahmen der Umsetzung der gesetzlich gemäß Art. 32 DSGVO vorgeschriebenen technischen und organisatorischen Maßnahmen (TOM) sichergestellt sein, dass die im Auftrag verarbeiteten Daten gut geschützt sind. Zudem soll auch sichergestellt werden, dass Daten, die in ein Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) übermittelt werden (Datenübermittlung in ein Drittland), sicher transferiert werden und im Drittland genauso gut, wie in der EU / dem EWR geschützt werden. Die Umsetzung dieser Vorgabe stellt für viele Auftragnehmer aktuell eine kaum zu lösende Aufgabe dar (siehe unsere zahlreichen Artikel hierzu, zum Beispiel hier).

Damit bei der Auftragsverarbeitung alles rechtskonform und ohne ein Sanktions- oder Schadenersatzrisiko für die Vertragsparteien zugeht, kennt die DSGVO das Instrument der sogenannten genehmigten Verhaltensregeln. Dieses Rechtsinstrument wird in Art. 40 DSGVO geregelt und ist auch unter der englischsprachigen Bezeichnung „Code of Conduct“ (CoC) bekannt. Dabei sollen die genehmigten Verhaltensregeln der Konkretisierung von datenschutzrechtlichen Anforderungen dienen und Rechtssicherheit für die Beteiligten (Anwender der Verhaltensregel und deren Vertragspartner) schaffen.

Vorteile einer durch den LfDI BW genehmigten Verhaltensregel

Im November 2022 wurde durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) eine nationale Verhaltensregel unter der Bezeichnung „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ genehmigt (hierzu vgl. die Pressemitteilung des LfDI BW vom 18.11.2022). Die Verhaltensregel kann hier abgerufen werden.

An der Entwicklung der Verhaltensregel „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands e.V.“ (BvD) und „Gesellschaft für Datenschutz und Datensicherheit e.V.“ (GDD) mit. In beiden Verbänden sind wir übrigens Mitglied.

Die Arbeit an dem Projekt der Einführung der Verhaltensregel zum Trusted Data Processor hat mehrere Jahre gedauert, bevor die baden-württembergische Aufsichtsbehörde das Verfahren offiziell genehmigt hat. Dies zeigt die komplexen Anforderungen, die an eine solche Verhaltensregel gestellt werden.

Die Verhaltensregel, die durch den LfDI BW genehmigt wurde, hat vor allem den Vorteil, dass sie insbesondere die Bedürfnisse von Kleinstunternehmen sowie der kleinen und mittelständischen Unternehmen berücksichtigt. Sie bringt nicht nur Dokumentationserleichterungen mit sich, sondern lässt Normen der DSGVO, in denen auf die Einhaltung der Verhaltensregeln verwiesen wird (insb. Artt. 24, 28, 32, 35, 83 DSGVO) zum Zuge kommen.

Auch die Einhaltung der gesetzlichen Vorgaben bezüglich der Datenübermittlung in ein Drittland wird im Rahmen der Selbstverpflichtung auf die Einhaltung der Verhaltensregel überprüft (vgl. Formblatt 1 zur Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO“ Trusted Data Prozessor, S. 7).

Zu beachten ist auch, dass, wenn es im Rahmen der Auftragsverarbeitung zu einer „Datenpanne“ (Verletzung des Schutzes personenbezogener Daten) beispielsweise durch einen Hackerangriff kommt, die Selbstverpflichtung zur Einhaltung der Verhaltensregel einen positiven Einfluss auf die Bemessung des Bußgelds haben kann.

Auch der Veraltungsaufwand für die Verantwortlichen, die einen Auftragsverarbeiter einsetzen, der sich auf die Einhaltung der Verhaltensregel verpflichtet hat, wird reduziert, denn die Einhaltung der Vorgaben der Verhaltensregel wird durch eine Überwachungsstelle sichergestellt. Der Verantwortliche muss sich um regelmäßige Kontrollen des Auftragnehmers nicht mehr im vollen Umfang kümmern. Dabei ist zu beachten, dass die Nichtausübung der vorgeschriebenen Kontrollen der Auftragsverarbeiter durch den Auftraggeber bußgeldbewehrt ist.

Wie genau die Vorteile aussehen werden, wird sich noch zeigen müssen. Noch hat sich keine Aufsichtsbehörde zu der Frage positioniert, ob die Auftragsverarbeiter, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, die Vor-Ort-Kontrollen sich wirklich „sparen“ können oder ob die Auftraggeber ihr (vertraglich vereinbartes) Kontrollrecht ausüben und weiterhin selbst Audits (z.B. eines Rechenzentrums) durchführen müssen.

Auch wird sich zeigen müssen, wie die zuständigen Aufsichtsbehörden die Einhaltung der Verhaltensregel beurteilen werden: Sehen sie dies als eine „große Maßnahme“ gemäß Art. 24, 32 an oder eher als eine „Mini-Maßnahme“, die nicht viel ändert?

Wer agiert als Überwachungsstelle und nach welchen Regeln?

Mit der Anerkennung der Verhaltensregel wurde auch die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) als Überwachungsstelle akkreditiert. Die DSZ ist ein Unternehmen, welches gemeinsam von BvD und GDD gegründet wurde. Die Verhaltensregel wird dabei durch den Verein zur Förderung der Verhaltensregeln (VfV) verantwortet.

Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle der Einhaltung der Verhaltensregel durch die verpflichteten Auftragsverarbeiter. Sie übernimmt auch die Bearbeitung von Beschwerden.

Die Überwachungsstelle DSZ erteilt den Auftragsverarbeitern, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, ein Siegel, das nach außen (werbewirksam) dokumentieren und signalisieren soll, dass der jeweilige Dienstleister nach den Vorgaben der Verhaltensregel für Trusted Data Processor arbeitet (TDP-Siegel, hierzu vgl. Informationen der DSZ unter: https://www.verhaltensregel.eu/vorteile/). Dabei ist zu beachten, dass dieses Siegel durch die Überwachungsstelle wieder entzogen werden kann, wenn der Auftragsverarbeiter gegen die Vorgaben, auf deren Einhaltung er sich verpflichtet hat, verstößt. Auch missbräuchliche Nutzung des TDP-Siegels wird kontrolliert und durch die Überwachungsstelle unterbunden.

Welche Rolle haben die Datenschutzbeauftragten der Auftragsverarbeiter?

Im Rahmen seiner Verpflichtung, die Einhaltung der DSGVO zu überwachen (vgl. Art. 39 Abs. 1 lit. b DSGVO), kommt den Datenschutzbeauftragten im Rahmen der Umsetzung der Vorgaben der Verhaltensregel bei den Auftragsverarbeitern insbesondere die Aufgabe zu, die relevanten Regelungen unternehmensweit den Verantwortlichen bekannt zu machen und die Vorteile der Verhaltensregel sowohl an die Auftragnehmer selbst als auch an die Auftraggeber zu kommunizieren, um dadurch insbesondere die Vertragsverhandlungen positiv zu beeinflussen. Durch die strengen Vorgaben der Verhaltensregel werden sich übrigens im Rahmen der Vertragsverhandlungen die häufig „überschießenden“ Wünsche der Auftraggeber (z.B. die  Regulierung von Schadenersatzansprüchen „auf erstes Anfordern“ s. u.) leichter abwehren lassen.

Obwohl die im Auftragsverarbeitungsvertrag zu regelnden Inhalte durch die DSGVO in Art. 28 Abs. 3 vorgegeben sind, so ist in der Praxis festzustellen, dass die praktische Umsetzung dieser gesetzlichen Vorgabe viele Verantwortliche vor große Herausforderungen stellt. Die in vielen Auftragsverarbeitungsverträgen getroffenen Regelungen (insbesondere im Hinblick auf die vereinbarten TOM) sind entweder mangelhaft und genügen nicht den gesetzlichen Standards oder sie fehlen sogar ganz. Zudem finden sich in vielen Auftragsverarbeitungsverträgen Regelungen, die man durchaus als abenteuerlich bezeichnen kann. Dies ist beispielsweise der Fall, wenn versucht wird, eine Haftungsregelung zu treffen, die an das Institut der Bürgschaft angelehnt ist und im Schadensfall „auf erstes Anfordern“ (also ohne jegliche vorherige Prüfung der Haftung des jeweiligen Vertragspartners) auslösen soll. Im Ergebnis sind viele Auftragsverarbeitungsverhältnisse nicht gut geregelt, da zwar ein Auftragsverarbeitungsvertrag vereinbart wurde, dieser jedoch nicht rechtskonform ist. Das kann im Rahmen einer aufsichtsbehördlichen Prüfung dazu führen, dass die Aufsicht aus diesem Grund nicht nur eine Verwarnung ausspricht, sondern auch ein Bußgeld verhängt. Ein schlecht oder gar ungeregeltes Auftragsverhältnis führt regelmäßig auch zu Verletzungen der Rechte betroffener Personen. Das kann wiederum zu einer Schadenersatzpflicht des Verantwortlichen und/oder des Auftragsverarbeiters führen.

Fazit

Kurz zusammengefasst lässt sich sagen, dass durch die Einhaltung der Verhaltensregel gemäß Art. 40 DSGVO die Auftragsverarbeiter in der Lage ist, die Vorgaben der DSGVO nachweisbar umzusetzen und die Verantwortlichen hierdurch rechtssicher agieren können. Dabei können vor allem die Verantwortlichen auch Kosten senken, denn die Auftragsverarbeitung ist, wenn sie richtig umgesetzt wird, ein teures „Vergnügen“. Häufig müssen die Verträge nachverhandelt und deren Einhaltung muss regelmäßig überprüft werden. Durch Beauftragung von Auftragsverarbeitern, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, können die Kosten der Auftragsverarbeitung durch vorgegebene Prozesse erheblich gesenkt werden. Dabei darf nicht übersehen werden, dass eine Verhaltensregel einen Verantwortlichen nicht von seinen Pflichten entbindet. Ein Teil dieser Pflichten bzw. Kontrollen können allerdings gegebenenfalls ersetzt werden, was eine erhebliche Erleichterung bedeuten dürfte.

Wir hoffen, dass die neue Verhaltensregel vom Markt angenommen wird und sich viele Auftragsverarbeiter auf die Einhaltung verpflichten. Wir gehen davon aus, dass dies einen deutlich positiven Effekt auf das Datenschutzniveau in Europa und insbesondere in Deutschland hätte.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2022/05/evaluation-1516644-scaled.jpg 1707 2560 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2023-01-04 14:34:592023-09-14 08:39:18Rechtssichere Auftragsverarbeitung durch genehmigte Verhaltensregeln

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Können Mitglieder oder Kund*innen per Mail angeschrieben werden? Link to: Können Mitglieder oder Kund*innen per Mail angeschrieben werden? Können Mitglieder oder Kund*innen per Mail angeschrieben werden?e-mail verschlüsselung s/mime pgp nutzung kontaktdaten Link to: Umsetzung der Whistleblower-Richtlinie: Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz Link to: Umsetzung der Whistleblower-Richtlinie: Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz whistleblowersystem hinweisgebersystem hinweisgeberschutzgesetz hinschg whistleblower-richtlinie datenschutz-folgenabschätzung dsfaUmsetzung der Whistleblower-Richtlinie: Gesetzgebungsverfahren zum Hinweisg...
Nach oben scrollen Nach oben scrollen Nach oben scrollen