Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Bürokratieabbau im Datenschutz : Verhaltensregel – Trusted Data Processor

Softwarehersteller kennen die Situation nur zu gut: Ein neuer Kunde ist fast gewonnen. Fachlich passt alles. Es fehlt nur noch die Freigabe durch den Datenschutzbeauftragten des neuen Kunden. Plötzlich heißt es „Stopp“, es gäbe da noch Datenschutzbedenken.

Dr. Niels LepperhoffAbrechnungspraxisPraxis
Lesezeit 5 Min.

Die sich entspinnende Verhandlung mit dem Datenschutzbeauftragten füllt die nächsten Wochen aus. Die Fachseite des Kunden wird ungeduldig und denkt über die Stornierung des Auftrags nach. „Alles nur wegen der Datenschutz-Grundverordnung“, mag man denken. Ein sympathischer Gedanke; doch nicht ganz zutreffend, denn die Datenschutz-Grundverordnung (DS-GVO) bringt eine Lösung mit. Diese Lösung wird „Verhaltensregel“ genannt.

Seit dem 16.11.2022 gibt es die neue Verhaltensregel Trusted Data Processor, mit deren Hilfe Auftragsverarbeiter, d. h. auch Softwarehersteller, die Beauftragung durch Kunden vereinfachen und „Datenschutzdiskussionen“ reduzieren können.

Im Folgenden wird das Instrument „Verhaltensregel“ erläutert, das durch die DS-GVO neu eingeführt wurde. Anschließend wird Trusted Data Processor vorgestellt.

Was ist eine Verhaltensregel?

Der europäische Gesetzgeber wollte mit der DS-GVO die Spielregeln im Datenschutz für alle Branchen und Formen der Verarbeitung festlegen. Deshalb sind die Vorschriften in der DS-GVO allgemein formuliert. Dem europäischen Gesetzgeber war bewusst, dass diese allgemeine Formulierung zu Unsicherheiten in Bezug darauf, wie die DS-GVO umgesetzt werden kann, führen wird. Er schuf deshalb in Art. 40 DS-GVO das Instrument Verhaltensregel“. Eine Verhaltensregel bricht die Vorgaben der DS-GVO auf konkrete Handlungen, Abläufe, Fristen usw. herunter. Die abstrakten Vorgaben werden so konkretisiert. Auch bedingt durch eine reservierte Haltung der deutschen Aufsichtsbehörden blieb dieses Instrument in Deutschland lange unbeachtet.

Genehmigungspflicht

Kann man sicher sein, dass eine Verhaltensregel die DS-GVO einhält? Ja, denn eine Verhaltensregel nach Art. 40 DS-GVO muss durch die zuständige Datenschutzaufsichtsbehörde genehmigt werden. Mit dieser Genehmigung erklärt die Aufsichtsbehörde, dass die Verhaltensregel die DS-GVO einhält und konkretisiert. Verhaltensregeln dürfen ausschließlich von Verbänden oder Vereinen eingereicht werden, die die Unternehmen vertreten, für die die Verhaltensregel gelten soll. Sofern sie nur innerhalb von Deutschland gelten soll, wird sie von der zuständigen deutschen Datenschutzaufsichtsbehörde genehmigt. Verhaltensregeln, die in mehreren EU-Mitgliedstaaten gelten sollen, genehmigt der Europäische Datenschutzausschuss.

Rechtliche Vorteile

Konkretisierung ist hier mehr als eine Handreichung oder ein Muster zum Umsetzen. Konkretisierung bedeutet auch eine Bestätigung, dass der in der Verhaltensregel beschriebene Weg die DS-GVO umsetzt. Anwender erhalten mehr Rechtssicherheit. Verhaltensregeln für Auftragsverarbeiter, wie Trusted Data Processor, können nach Art. 28 Abs. 5 DS-GVO als Nachweis dienen, dass man als Auftragsverarbeiter die Vorgaben aus Art. 28 DS-GVO einhält. Verhaltensregeln helfen auch, Bußgelder zu senken. Eine vergleichbare Belastbarkeit bieten landläufige Instrumente wie Muster, Auslegungshinweise oder anwaltliche Gutachten nicht.

Wie kann man mitmachen?

Eine Verhaltensregel ist kein Gesetz, d. h. sie gilt nicht automatisch. Sie stellt ein Angebot an Unternehmen dar, das man annehmen kann, aber nicht muss. Durch die Abgabe einer Selbstverpflichtung im Rahmen eines Vertrags nimmt ein Unternehmen teil. Erst durch die Selbstverpflichtung profitiert ein Unternehmen von den rechtlichen Vorteilen.

Überwachung

„Vertrauen ist gut, Kontrolle ist besser“, das hatte der europäische Gesetzgeber im Sinn, als er die Verhaltensregel konzipierte. Eine Verhaltensregel muss grundsätzlich durch eine Überwachungsstelle gemäß Art. 41 DS-GVO beaufsichtigt werden. Verhaltensregeln, die sich an öffentliche Stelle richten, wie z. B. d „Verhaltensregeln zu technischen und organisatorischen Maßnahmen der Notarinnen und Notare im Hinblick auf elektronische Aufzeichnungen und Hilfsmittel“ für Notare, haben keine Überwachungsstelle.

Die Aufgaben der Überwachungsstelle legt Art. 41 DS-GVO fest. Im Wesentlichen prüft sie die Anträge auf Selbstverpflichtung, führt die vorgeschriebenen anlasslosen Kontrollen durch und bearbeitet eingehende Beschwerden. Sofern selbstverpflichtete Unternehmen gegen ihre Selbstverpflichtung verstoßen, kann die Überwachungsstelle Sanktionen verhängen.

Die Überwachungsstelle wird von einem Unternehmen oder dem Verein/ Verband betrieben, der die Verhaltensregel eingereicht hat. Damit agiert die Überwachungsstelle unabhängig von staatlichen Datenschutzaufsichtsbehörden. Gleichwohl akkreditiert die zuständige Datenschutzaufsichtsbehörde die Überwachungsstelle. Damit wird u. a. sichergestellt, dass die Überwachungsstelle sachkundig und unabhängig agiert.

Verhaltensregel – Trusted Data Processor
Verhaltensregel – Trusted Data Processor

Was ist das Besondere an Trusted Data Processor?

Trusted Data Processor standardisiert das Zusammenspiel zwischen Auftraggeber und Auftragsverarbeiter. Trusted Data Processor betrifft deshalb jedes Unternehmen in Deutschland. Diese Verhaltensregel wurde von dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg genehmigt.1

Als Verhaltensregel konkretisiert Trusted Data Processor die Vorgaben der DS-GVO, d. h. sie enthält keine Anforderung, die über das gesetzliche Minimum hinausgeht. Trusted Data Processor lässt sich schnell und unkompliziert anwenden: Das Angebot und die Vereinbarung zur Auftragsverarbeitung (AVV) müssen an die vorgegebenen Regelungen angepasst werden. Vier gesetzlich vorgeschriebene Prozessbeschreibungen sind auf Anpassungsbedarf zu prüfen und ggf. anzugleichen. Da Trusted Data Processor eine Formulierung für die „Verpflichtung auf Vertraulichkeit“ enthält, sind die Mitarbeiter auf diese neue Formulierung zu verpflichten, sofern  der Wortlaut nicht bereits genutzt wird. Die Kontrollrechte der Überwachungsstelle müssen auf eingesetzte Unterauftragsverarbeiter übergeleitet werden. Die Eigenkontrolle und die Kontrolle eingesetzter Unterauftragsverarbeiter sind zu konzipieren und durchzuführen, um die bestehenden gesetzlichen Kontrollpflichten einzuhalten.

1 URL: https://www.baden-wuerttemberg.datenschutz.de/verhaltensregeln-fuer-auftragsverarbeiter/

Transparenzhinweis

Der Autor ist Geschäftsführer der DSZ Datenschutz Zertifizierungsgesellschaft mbH, die die gesetzlich vorgeschriebene Überwachungsstelle von Trusted Data Processor ist. Er hat an der Erstellung von Trusted Data Processor mitgewirkt und das Genehmigungsverfahren eng begleitet.

Verhaltensregel – Trusted Data Processor 2
Verhaltensregel – Trusted Data Processor 2

Mitmachen kann jeder Auftragsverarbeiter, der

  • seine Leistung auf dem deutschen Markt anbietet,
  • seinen Sitz in Deutschland hat und
  • selbst personenbezogene Daten in Deutschland verarbeitet.

Eine Selbstverpflichtung auf Trusted Data Processor bietet Softwareherstellern und anderen Auftragsverarbeitern Vorteile hinsichtlich

  • unkomplizierter Gespräche und Verhandlungen mit potenziellen Kunden,
  • standardisierter (Eigen-)Kontrollen, um Kontrollen durch Auftraggeber zu reduzieren, und
  • mehr Rechtssicherheit durch standardisierte Datenschutzprozesse und Klauseln für den Auftragsverarbeitungsvertrag.

In 22 Anforderungen konkretisiert Trusted Data Processor die Vorgaben der DS-GVO in Bezug auf:

  • Angebot und Vertrag,
  • Unterbeauftragung,
  • Kontrolle von Unterauftragsverarbeitern,
  • Rechte betroffener Personen (Betroffenenrechte),
  • Meldung potenzieller Verletzungen des Schutzes personenbezogener Daten,
  • Inhalt der Verpflichtung auf Vertraulichkeit,
  • Eigenkontrolle.

Fazit

Softwareherstellern und anderen Auftragsverarbeitern, die weniger Datenschutzdiskussionen mit (potenziellen) Kunden wünschen oder einfach mehr Rechtssicherheit suchen, steht mit Trusted Data Processor eine Lösung zur Verfügung. Die Verhaltensregel und der Antrag stehen kostenfrei auf verhaltensregel.eu zum Download bereit.

Jedes Unternehmen kann Trusted Data Processor als Inspirationsquelle nutzen. In den Genuss der rechtlichen Vorteile kommen nur auf Trusted Data Processor verpflichtete Auftragsverarbeiter.

Beauftragt man als Auftraggeber ein auf Trusted Data Processor verpflichtetes Unternehmen, so winken ebenfalls Vorteile:

  • einfachere Vertragsprüfung,
  • höhere Verlässlichkeit, dass der Auftragsverarbeiter sich an die DS-GVO hält, und
  • geringerer Kontrollbedarf.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.