Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

 

Auch im datenschutzrechtlichen Bereich zeigt sich die immense wirtschaftliche Bedeutung des Outsourcings. Auftragsverarbeitungen nach Art. 28 DSGVO sind für viele Unternehmen bei einer Vielzahl von Dienstleistungen der Standard. Nur in seltenen Fällen übernehmen Unternehmen die gesamten Prozesse rund um die Verarbeitung personenbezogener Daten, die im Rahmen der Unternehmungsführung anfallen, vollständig alleine. Die DSGVO enthält viele komplexe Regelungen und Verpflichtungen für die Verarbeitung personenbezogener Daten durch externe Dienstleister, sodass es den Beteiligten in der Praxis oftmals schwerfällt, die Vorgaben ordnungsgemäß zu erfüllen. Erfreulicherweise hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg noch im letzten Jahr, kurz vor Ende seiner Amtszeit, die nationale Verhaltensregel „Trusted Data Processor“ genehmigt. Diese bietet Unternehmen fortan Unterstützung bei der Anwendung der Datenschutz-Grundverordnung im Rahmen der Auftragsverarbeitung und sorgt für mehr Transparenz.

 

Das Wichtigste in Kürze

  • Der LfDI BW genehmigte die Verhaltensregel „Trusted Data Processor“.
  • Die Verhaltensregel schafft Rechtssicherheit und vereinfacht die Umsetzung der Anforderungen der DSGVO in der Praxis.
  • Unternehmen haben die Möglichkeit, sich durch eine Selbstverpflichtung auf die Verhaltensregel zertifizieren zu lassen.

 

Auftragsverarbeitung für viele Unternehmen unverzichtbar

Unternehmen greifen regelmäßig auf Dienstleister zurück, die in ihrem Auftrag weisungsgebunden personenbezogene Daten verarbeiten – sogenannte Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Findet eine solche Auftragsverarbeitung statt, sieht die DSGVO in Art. 28 sowohl für den Auftraggeber als auch für den Auftragnehmer einige Anforderungen vor, die zwingend eingehalten werden müssen (Mehr dazu finden Sie hier.). Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch unter Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt. Grundlage einer Auftragsverarbeitung ist grundsätzlich der Abschluss eines Auftragsverarbeitungsvertrages, der den Anforderungen der DSGVO entspricht.

Jedoch ist es für Auftraggeber trotz Abschluss eines entsprechenden Vertrages oftmals nicht immer nachvollziehbar, ob und inwiefern die Auftragsverarbeiter der vertraglichen Vereinbarung Folge leisten und ihren Pflichten aus der DSGVO nachkommen.

 

Neue Verhaltensregel „Trusted Data Professor“

Nun soll die vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) genehmigte Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ für mehr Transparenz und Rechtssicherheit sorgen. Dabei liegt der Schwerpunkt insbesondere auf der Ausgestaltung von Geschäftsprozessen. Die eigentlichen Leistungsprozesse der Auftragsverarbeiter bleiben dabei unberührt. Ausgehend von praktischen Erfahrungen beschreibt diese Verhaltensregel, wie die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer konkret organisiert und vor allem vereinfacht werden soll. Die Tatsache, dass die Verhaltensregel auf einer langjährigen fachlichen Vorarbeit des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) basiert, spiegelt die Komplexität der Anforderungen, die an eine solche Verhaltensregel gestellt werden, wider.

 

Genehmigte Regel bringt viele Vorteile für alle Beteiligten

Bei der neuen Verhaltensregel handelt es sich im Grunde um eine Konkretisierung der Anforderungen aus der DSGVO, die es den Beteiligten leichter machen sollen, die Vorgaben der DSGVO umzusetzen und diese Umsetzung zu überwachen. Durch Standardisierung von Prozessen ermöglicht sie zudem, die Zusammenarbeit zwischen Auftraggeber und Auftragnehmer kosteneffizienter zu gestalten. Darüber hinaus schafft die aufsichtsbehördliche Genehmigung in der Regel mehr Rechtssicherheit.

 

Zertifizierungsmöglichkeit für Auftragsverarbeiter

Auftragsverarbeiter haben fortan die Möglichkeit, einen Antrag auf Selbstverpflichtung zu stellen und sich entsprechend zertifizieren zu lassen. Dies ist über die Internetseite der Datenschutz Zertifizierungsgesellschaft mbH (kurz: DSZ) möglich. Diese wurde im Zuge der Anerkennung der Verhaltensregel als offizielle Überwachungsstelle akkreditiert. Die DSZ übernimmt die Kontrolle der Einhaltung der Verhaltensregel durch die verpflichteten Auftragsverarbeiter sowie die Bearbeitung von Beschwerden. Der Auftragsverarbeiter erhält im Rahmen der Zertifizierung ein entsprechendes Zeichen, mit dem er nach außen hin kommunizieren kann, dass er nach den Vorgaben der Verhaltensregel „Trusted Data Processor“ arbeitet (sog. TDA-Zeichen).

Der vollständige Wortlaut der Verhaltensregel findet sich auf der Webseite des DSZ unter: https://www.verhaltensregel.eu/wp-content/uploads/2022/11/Verhaltensregel_Trusted_Data_Processor_V1.pdf.

 

Mehr Transparenz für Auftraggeber

Vor allem die Bedürfnisse von kleinen und mittleren Unternehmen werden berücksichtigt, indem durch die Verhaltensregel Prozesse und Vertragsinhalte vorgegeben werden. Dies schafft zugleich mehr Transparenz, da für Auftraggeber bereits im Vorfeld auf einen Blick ersichtlich ist, was sie erwartet.

 

Reduzierung des Verwaltungsaufwands

Ein weiterer wesentlicher Vorteil aus Sicht eines Auftraggebers ist die Reduzierung des Verwaltungsaufwandes, der mit dem Einsatz eines Auftragsverarbeiters verbunden ist. Denn grundsätzlich ist der Auftraggeber als Verantwortlicher i.S.d. DSGVO verpflichtet zu überprüfen, dass der Auftragsverarbeiter den Pflichten aus der DSGVO vollumfänglich nachkommt. Dies hat er gegebenenfalls durch regelmäßige Kontrollen sicherzustellen. Kommt der Auftraggeber seinen Kontrollpflichten nicht nach, können ihm sowohl behördliche Bußgelder als auch Schadensersatzansprüche seiner eigenen Kunden oder Geschäftspartner drohen, da er den Schutz ihrer personenbezogenen Daten vernachlässigt hat.

 

Entlastungsmöglichkeit im Falle aufsichtsbehördlicher Kontrollen und Überwachung der Auftragsverarbeiter durch unabhängige Überwachungsstelle

Durch die Selbstverpflichtung des Auftragsverarbeiters können Auftraggeber nun zukünftig sicherstellen, dass ihre Auftragnehmer den datenschutzrechtlichen Pflichten vollumfänglich nachkommen und sich im Falle einer aufsichtsbehördlichen Kontrolle entlasten. Die Einhaltung der Selbstverpflichtung wird durch die DSZ als unabhängige Überwachungsstelle sichergestellt. Zwar entbindet eine solche Verhaltensregel den Auftraggeber nicht von seinen Pflichten als Verantwortlicher, jedoch kann er bis zu einem gewissen Grad darauf vertrauen, dass der Auftragsverarbeiter sich auch tatsächlich den Verhaltensregeln unterwirft, auf die er sich verpflichtet hat.

Besonders hervorzuheben ist ferner, dass durch die Selbstverpflichtung des Auftragsverarbeiters auch die Einhaltung der gesetzlichen Vorgaben beim Drittlanddatentransfer durch die Überwachungsstelle überprüft wird.

Kommt es im Rahmen der Auftragsverarbeitung zu einer Datenpanne (bspw. durch einen Hackerangriff), wirkt sich die Selbstverpflichtung zudem positiv auf potenzielle aufsichtsbehördliche Sanktionsmaßnahmen aus.

 

Kostensenkung und Zeitersparnis durch standardisierte Prozesse

Letztlich hat die Selbstverpflichtung ein Kostensenkungspotenzial, da die Beauftragung eines Dienstleisters zum Zwecke der Datenverarbeitung stets den Abschluss eines Auftragsverarbeitungsvertrages erfordert, der im Laufe der Geschäftsbeziehung oft angepasst werden muss und dessen Einhaltung einer regelmäßigen Prüfung bedarf. Werden von einem Unternehmen zeitlich mehrere Auftragsverarbeiter beauftragt, müssen jeweils gesonderte Auftragsverarbeitungsverträge abgeschlossen werden. Dies ist nicht nur zeit-, sondern auch kostenintensiv. Durch den Rückgriff auf Auftragsverarbeiter, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, kann eine erhebliche Kostensenkung und Zeitersparnis erreicht werden, da sämtliche Prozesse standardisiert vorgegeben sind und eine eigene Überwachungsstelle vorhanden ist.

 

 

Fazit

Nicht wenigen Unternehmen haben Schwierigkeiten mit der praktischen Umsetzung der Vielzahl an Regeln und Verpflichtungen, die die DSGVO an den Umgang mit personenbezogenen Daten stellt. Insoweit bildet die Verhaltensregel „Trusted Data Processor“ eine willkommene Hilfestellung für die Umsetzung der gesetzlichen Vorgaben im Bereich der Auftragsverarbeitung, da mit ihrer Hilfe die teilweise sehr abstrakten Regelungen der DSGVO bereichsspezifisch präzisiert und konkretisiert werden können. Dies erleichtert nicht nur die Anwendbarkeit der DSGVO in der Praxis, sondern sorgt auch für mehr Rechtssicherheit für alle Beteiligten. Zwar ist auch die Umsetzung der neuen Regel komplex und mit einem nicht unerheblichen Zeitaufwand verbunden. Langfristig gesehen können jedoch alle an der Auftragsverarbeitung Beteiligten von einer Selbstverpflichtung des Auftragsverarbeiters profitieren, da sie nicht nur viel Zeit, sondern auch Kosten einsparen. Auftragsverarbeiter ihrerseits können sich durch eine entsprechende Selbstverpflichtung von Wettbewerbern abheben und bei wachsender Sensibilisierung für den Datenschutz neue Kunden gewinnen.

 

„>

Call Now ButtonKontakt aufnehmen