nd3000 - stock.adobe.com
Datenschutz: Neuer Code of Conduct für Auftragsverarbeiter
Wer Cloud-Dienste und andere Formen der Auftragsverarbeitung nutzen will, muss sich vom Datenschutz bei dem Dienstleister überzeugen. Ein neuer Code of Conduct kann helfen.
Auftragsverarbeitung nach Datenschutz-Grundverordnung (DSGVO) klingt nach einem sperrigen Rechtsbegriff, doch in der Praxis nutzen dies sehr viele Unternehmen. Beispiele sind Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten durch Dienstleister, Speicherung von personenbezogenen Daten in der Cloud oder Werbeadressenverarbeitung in einem Letter-Shop, um nur einige zu nennen.
Entsprechend sollten Unternehmen aus eigenem Interesse verfolgen, dass die Aufsichtsbehörden für den Datenschutz im Bereich Auftragsverarbeitung Prüfungen vornehmen.
So kontrolliert zum Beispiel die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen die datenschutzrechtlichen Musterverträge, sogenannte Auftragsverarbeitungsverträge (AVV), zwischen Webhostern aus Niedersachsen und deren Kundinnen und Kunden. Auch die Datenschutzaufsichtsbehörden aus Berlin, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) beteiligen sich an dieser koordinierten Prüfung.
Auftragsverarbeitung: Datenschutznachweise sind notwendig
Regelmäßig erreichen die Datenschutzaufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. Die Prüfung der Aufsichtsbehörden bestätigt diesen Eindruck immer wieder. So sehen beispielsweise viele AVV keine ausreichenden Nachweise des Webhosters darüber vor, dass er die vereinbarten Datenschutzmaßnahmen umsetzt.
„Korrekte Verträge zur Auftragsverarbeitung sind ein wichtiges Instrument zur Einhaltung der datenschutzrechtlichen Vorgaben“, sagte Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen.
Dabei verlangt die DSGVO: Der Verantwortliche muss insbesondere einen Auftragsverarbeiter auswählen, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Als möglicher Nachweis für angemessene Datenschutzmaßnahmen des Auftragsverarbeiters (Dienstleisters) kann die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter herangezogen werden.
Nun hat sich im Bereich der Verhaltensregeln etwas getan, nachdem lange auf entsprechende Instrumente für den Datenschutz gewartet wurde.
Gute Nachrichten: Code of Conduct für Auftragsverarbeiter
Die DSGVO kennt das Instrument der Verhaltensregeln (Code of Conduct), welche der Konkretisierung von datenschutzrechtlichen Anforderungen dienen soll. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), Dr. Stefan Brink, erklärte dazu: „Selbstregulierung ist eine hervorragende Möglichkeit, Datenverarbeitung maßgenau auf die Bedürfnisse von Branchen abzustimmen, die DSGVO gibt diese Möglichkeit, die wir jetzt umsetzen.“
Um mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI nun die neue nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ genehmigt. Unternehmen können sich fortan diese Verhaltensregeln zu eigen machen und nutzen damit die Möglichkeit, für sich mehr Rechtssicherheit zu schaffen.
Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ machen Auftragsverarbeiter nach außen sichtbar, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sich deren Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen.
Die Überwachungsstelle ist Anlaufstelle für Beschwerden und kontrolliert regelmäßig die Einhaltung der Verhaltensregel. An der Entwicklung der „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ mit.
Mit der Anerkennung der Verhaltensregel wurde auch die DSZ Datenschutz Zertifizierungsgesellschaft mbH als neue Überwachungsstelle akkreditiert. Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle und Bearbeitung von Beschwerden. Die Verhaltensregel Trusted Data Processor findet man hier (PDF).
Diese Verhaltensregeln zeigen beispielhaft, wie sich bei der so wichtigen Auftragsverarbeitung mehr Transparenz und Rechtssicherheit schaffen lässt, etwas, was viele Unternehmen in Umfragen zur Umsetzung der DSGVO immer wieder wünschen.
Entsprechend ist es sinnvoll und wichtig, auch in anderen Bereichen entsprechende Verhaltensregeln zu entwickeln und diese durch die zuständige Aufsichtsbehörde prüfen und genehmigen zu lassen.