Rechtssichere Auftragsverarbeitung durch genehmigte Verhaltensregeln

Viele Unternehmen setzen im Rahmen ihrer geschäftlichen Tätigkeit Dienstleister ein, die in ihrem Auftrag personenbezogene Daten nach Weisung verarbeiten. Dabei gelten im Rahmen der Auftragsverarbeitung sehr strenge Vorgaben der Datenschutz-Grundverordnung (DSGVO), die zu beachten sind.

Insbesondere müssen die Verantwortlichen, um das Auftragsverarbeitungsverhältnis rechtssicher zu gestalten, mit ihren Auftragsverarbeitern einen in Art. 28 DSGVO zwar abstrakt aber dennoch recht detailliert definierten Vertrag („Auftragsverarbeitungsvertrag“, AVV) abschließen. Darüber hinaus muss im Rahmen der Umsetzung der gesetzlich gemäß Art. 32 DSGVO vorgeschriebenen technischen und organisatorischen Maßnahmen (TOM) sichergestellt sein, dass die im Auftrag verarbeiteten Daten gut geschützt sind. Zudem soll auch sichergestellt werden, dass Daten, die in ein Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) übermittelt werden (Datenübermittlung in ein Drittland), sicher transferiert werden und im Drittland genauso gut, wie in der EU / dem EWR geschützt werden. Die Umsetzung dieser Vorgabe stellt für viele Auftragnehmer aktuell eine kaum zu lösende Aufgabe dar (siehe unsere zahlreichen Artikel hierzu, zum Beispiel hier).

Damit bei der Auftragsverarbeitung alles rechtskonform und ohne ein Sanktions- oder Schadenersatzrisiko für die Vertragsparteien zugeht, kennt die DSGVO das Instrument der sogenannten genehmigten Verhaltensregeln. Dieses Rechtsinstrument wird in Art. 40 DSGVO geregelt und ist auch unter der englischsprachigen Bezeichnung „Code of Conduct“ (CoC) bekannt. Dabei sollen die genehmigten Verhaltensregeln der Konkretisierung von datenschutzrechtlichen Anforderungen dienen und Rechtssicherheit für die Beteiligten (Anwender der Verhaltensregel und deren Vertragspartner) schaffen.

Vorteile einer durch den LfDI BW genehmigten Verhaltensregel

Im November 2022 wurde durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) eine nationale Verhaltensregel unter der Bezeichnung „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO – Trusted Data Processor“ genehmigt (hierzu vgl. die Pressemitteilung des LfDI BW vom 18.11.2022). Die Verhaltensregel kann hier abgerufen werden.

An der Entwicklung der Verhaltensregel „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands e.V.“ (BvD) und „Gesellschaft für Datenschutz und Datensicherheit e.V.“ (GDD) mit. In beiden Verbänden sind wir übrigens Mitglied.

Die Arbeit an dem Projekt der Einführung der Verhaltensregel zum Trusted Data Processor hat mehrere Jahre gedauert, bevor die baden-württembergische Aufsichtsbehörde das Verfahren offiziell genehmigt hat. Dies zeigt die komplexen Anforderungen, die an eine solche Verhaltensregel gestellt werden.

Die Verhaltensregel, die durch den LfDI BW genehmigt wurde, hat vor allem den Vorteil, dass sie insbesondere die Bedürfnisse von Kleinstunternehmen sowie der kleinen und mittelständischen Unternehmen berücksichtigt. Sie bringt nicht nur Dokumentationserleichterungen mit sich, sondern lässt Normen der DSGVO, in denen auf die Einhaltung der Verhaltensregeln verwiesen wird (insb. Artt. 24, 28, 32, 35, 83 DSGVO) zum Zuge kommen.

Auch die Einhaltung der gesetzlichen Vorgaben bezüglich der Datenübermittlung in ein Drittland wird im Rahmen der Selbstverpflichtung auf die Einhaltung der Verhaltensregel überprüft (vgl. Formblatt 1 zur Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DSGVO“ Trusted Data Prozessor, S. 7).

Zu beachten ist auch, dass, wenn es im Rahmen der Auftragsverarbeitung zu einer „Datenpanne“ (Verletzung des Schutzes personenbezogener Daten) beispielsweise durch einen Hackerangriff kommt, die Selbstverpflichtung zur Einhaltung der Verhaltensregel einen positiven Einfluss auf die Bemessung des Bußgelds haben kann.

Auch der Veraltungsaufwand für die Verantwortlichen, die einen Auftragsverarbeiter einsetzen, der sich auf die Einhaltung der Verhaltensregel verpflichtet hat, wird reduziert, denn die Einhaltung der Vorgaben der Verhaltensregel wird durch eine Überwachungsstelle sichergestellt. Der Verantwortliche muss sich um regelmäßige Kontrollen des Auftragnehmers nicht mehr im vollen Umfang kümmern. Dabei ist zu beachten, dass die Nichtausübung der vorgeschriebenen Kontrollen der Auftragsverarbeiter durch den Auftraggeber bußgeldbewehrt ist.

Wie genau die Vorteile aussehen werden, wird sich noch zeigen müssen. Noch hat sich keine Aufsichtsbehörde zu der Frage positioniert, ob die Auftragsverarbeiter, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, die Vor-Ort-Kontrollen sich wirklich „sparen“ können oder ob die Auftraggeber ihr (vertraglich vereinbartes) Kontrollrecht ausüben und weiterhin selbst Audits (z.B. eines Rechenzentrums) durchführen müssen.

Auch wird sich zeigen müssen, wie die zuständigen Aufsichtsbehörden die Einhaltung der Verhaltensregel beurteilen werden: Sehen sie dies als eine „große Maßnahme“ gemäß Art. 24, 32 an oder eher als eine „Mini-Maßnahme“, die nicht viel ändert?

Wer agiert als Überwachungsstelle und nach welchen Regeln?

Mit der Anerkennung der Verhaltensregel wurde auch die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) als Überwachungsstelle akkreditiert. Die DSZ ist ein Unternehmen, welches gemeinsam von BvD und GDD gegründet wurde. Die Verhaltensregel wird dabei durch den Verein zur Förderung der Verhaltensregeln (VfV) verantwortet.

Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle der Einhaltung der Verhaltensregel durch die verpflichteten Auftragsverarbeiter. Sie übernimmt auch die Bearbeitung von Beschwerden.

Die Überwachungsstelle DSZ erteilt den Auftragsverarbeitern, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, ein Siegel, das nach außen (werbewirksam) dokumentieren und signalisieren soll, dass der jeweilige Dienstleister nach den Vorgaben der Verhaltensregel für Trusted Data Processor arbeitet (TDP-Siegel, hierzu vgl. Informationen der DSZ unter: https://www.verhaltensregel.eu/vorteile/). Dabei ist zu beachten, dass dieses Siegel durch die Überwachungsstelle wieder entzogen werden kann, wenn der Auftragsverarbeiter gegen die Vorgaben, auf deren Einhaltung er sich verpflichtet hat, verstößt. Auch missbräuchliche Nutzung des TDP-Siegels wird kontrolliert und durch die Überwachungsstelle unterbunden.

Welche Rolle haben die Datenschutzbeauftragten der Auftragsverarbeiter?

Im Rahmen seiner Verpflichtung, die Einhaltung der DSGVO zu überwachen (vgl. Art. 39 Abs. 1 lit. b DSGVO), kommt den Datenschutzbeauftragten im Rahmen der Umsetzung der Vorgaben der Verhaltensregel bei den Auftragsverarbeitern insbesondere die Aufgabe zu, die relevanten Regelungen unternehmensweit den Verantwortlichen bekannt zu machen und die Vorteile der Verhaltensregel sowohl an die Auftragnehmer selbst als auch an die Auftraggeber zu kommunizieren, um dadurch insbesondere die Vertragsverhandlungen positiv zu beeinflussen. Durch die strengen Vorgaben der Verhaltensregel werden sich übrigens im Rahmen der Vertragsverhandlungen die häufig „überschießenden“ Wünsche der Auftraggeber (z.B. die  Regulierung von Schadenersatzansprüchen „auf erstes Anfordern“ s. u.) leichter abwehren lassen.

Obwohl die im Auftragsverarbeitungsvertrag zu regelnden Inhalte durch die DSGVO in Art. 28 Abs. 3 vorgegeben sind, so ist in der Praxis festzustellen, dass die praktische Umsetzung dieser gesetzlichen Vorgabe viele Verantwortliche vor große Herausforderungen stellt. Die in vielen Auftragsverarbeitungsverträgen getroffenen Regelungen (insbesondere im Hinblick auf die vereinbarten TOM) sind entweder mangelhaft und genügen nicht den gesetzlichen Standards oder sie fehlen sogar ganz. Zudem finden sich in vielen Auftragsverarbeitungsverträgen Regelungen, die man durchaus als abenteuerlich bezeichnen kann. Dies ist beispielsweise der Fall, wenn versucht wird, eine Haftungsregelung zu treffen, die an das Institut der Bürgschaft angelehnt ist und im Schadensfall „auf erstes Anfordern“ (also ohne jegliche vorherige Prüfung der Haftung des jeweiligen Vertragspartners) auslösen soll. Im Ergebnis sind viele Auftragsverarbeitungsverhältnisse nicht gut geregelt, da zwar ein Auftragsverarbeitungsvertrag vereinbart wurde, dieser jedoch nicht rechtskonform ist. Das kann im Rahmen einer aufsichtsbehördlichen Prüfung dazu führen, dass die Aufsicht aus diesem Grund nicht nur eine Verwarnung ausspricht, sondern auch ein Bußgeld verhängt. Ein schlecht oder gar ungeregeltes Auftragsverhältnis führt regelmäßig auch zu Verletzungen der Rechte betroffener Personen. Das kann wiederum zu einer Schadenersatzpflicht des Verantwortlichen und/oder des Auftragsverarbeiters führen.

Fazit

Kurz zusammengefasst lässt sich sagen, dass durch die Einhaltung der Verhaltensregel gemäß Art. 40 DSGVO die Auftragsverarbeiter in der Lage ist, die Vorgaben der DSGVO nachweisbar umzusetzen und die Verantwortlichen hierdurch rechtssicher agieren können. Dabei können vor allem die Verantwortlichen auch Kosten senken, denn die Auftragsverarbeitung ist, wenn sie richtig umgesetzt wird, ein teures „Vergnügen“. Häufig müssen die Verträge nachverhandelt und deren Einhaltung muss regelmäßig überprüft werden. Durch Beauftragung von Auftragsverarbeitern, die sich auf die Einhaltung der Verhaltensregel verpflichtet haben, können die Kosten der Auftragsverarbeitung durch vorgegebene Prozesse erheblich gesenkt werden. Dabei darf nicht übersehen werden, dass eine Verhaltensregel einen Verantwortlichen nicht von seinen Pflichten entbindet. Ein Teil dieser Pflichten bzw. Kontrollen können allerdings gegebenenfalls ersetzt werden, was eine erhebliche Erleichterung bedeuten dürfte.

Wir hoffen, dass die neue Verhaltensregel vom Markt angenommen wird und sich viele Auftragsverarbeiter auf die Einhaltung verpflichten. Wir gehen davon aus, dass dies einen deutlich positiven Effekt auf das Datenschutzniveau in Europa und insbesondere in Deutschland hätte.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir immer wieder zu aktuellen und interessanten Themen eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.