Verhaltensregel für Auftragsverarbeiter – was sollten Sie wissen?

Knapp fünf Jahre nach Einführung der DSGVO veröffentlicht die baden-württembergische Datenschutz-Aufsichtsbehörde eine Verhaltensregel für Auftragsverarbeiter nach Art. 28 DSGVO. Unternehmen, die sich entsprechend der Verhaltensregel zertifizieren, dürfen sich "Trusted Data Processor" nennen. Was Sie beachten sollten: Eine Anleitung.

Was bringt eine Zertifizierung?

Das schafft für die als Auftragsverarbeiter nach Art. 28 DSGVO tätigen Unternehmen den Vorteil höherer Transparenz und nachgewiesener Qualität im Umgang mit personenbezogenen Daten. Dies kann gerade bei Auftraggebern, die sensible personenbezogene Daten verarbeiten, einen erheblichen Wettbewerbsvorteil darstellen. Als positiver Nebeneffekt reduzieren sich die erforderlichen Kontrollen sowohl auf Seiten der Auftragsverarbeiter als auch auf Seiten der Verantwortlichen.

Wie wird für die Aktualität der Verhaltensregel gesorgt?

Die Verhaltensregel für Auftragsverarbeiter wurde durch den VfV (Verein zur Förderung von Verhaltensregeln e.V.) erstellt und wird durch diesen kontinuierlich auf Aktualität und Rechtskonformität überwacht. 

Die Kontrollstelle i.S.d. Art. 41 DSGVO ist die „DSZ Datenschutz Zertifizierungsgesellschaft mbH“, ein Tochterunternehmen von BvD e.V. und GDD e.V. (https://www.verhaltensregel.eu/)

Die zuständige Aufsichtsbehörde erhält alle drei Jahre einen schriftlichen Bericht insbesondere über Entwicklung der Verbreitung, Sanktionen, Beschwerden sowie etwaige Anpassungsbedarfe der Verhaltensregel. Demnach sind Änderungen und Erweiterungen dieser Verhaltensregel nur nach Genehmigung durch die zuständige Aufsichtsbehörde wirksam.

Was bedeutet eine Zertifizierung bei der Aufsichtsbehörde?

Der Anwendungsbereich richtet sich branchenübergreifend ausschließlich an nicht-öffentliche Auftragsverarbeiter, die ihre Leistung in Deutschland für den deutschen Markt anbieten, ihren Sitz in Deutschland haben und personenbezogene Daten in Deutschland verarbeiten.

Wenn Sie sich als Auftragsverarbeiter bei einer Aufsichtsbehörde für die Verhaltensregel zertifizieren, erkennen Sie die Pflichten und Befugnisse der Kontrollstelle an und verpflichten sich zur uneingeschränkten Mitwirkung bei den Kontrollen. 

Prüfungen erfolgen dann maximal alle zwei Jahre und frühestens zwei Jahre nach der im Rahmen der Antragstellung erfolgten Eingangsprüfung. Eine frühere Prüfung erfolgt nur dann, wenn bei dem Unternehmen innerhalb der letzten zwölf Monate Verletzungen des Schutzes personenbezogener Daten bekannt geworden sind. 

Sollte eine Beschwerde bei der Kontrollstelle eingehen, prüft diese die Beschwerde und gibt dem Unternehmen die Gelegenheit zur Stellungnahme. Die Kontrollstelle prüft daraufhin, ob die Beschwerde substantiiert ist und ob eine Verletzung der Selbstverpflichtung vorliegt.

Sollten die Verhaltensregeln verletzt werden, existiert ein Prozess zur Vorgehensweise der Kontrollstelle und des verpflichteten Unternehmens. Kommt das Unternehmen den Aufforderungen der Kontrollstelle nicht nach, droht letzten Endes der Entzug der Zertifizierung. Damit geht das Verbot, mit der Selbstverpflichtung zu werben, einher sowie die Information der Aufsichtsbehörde über den Entzug.

Die einzelnen Mitwirkungspflichten

Die Aufsichtsbehörde listet anhand einer Tabelle die einzelnen Anforderung auf, die an eine Zertifizierung gebunden sind. Darüber hinaus stellt sie für einzelne Bereiche Formblätter und Prozesse bereit.

Im Folgenden stellen wir übersichtsartig dar, welche Mitwirkungspflichten zertifizierte Auftragsverarbeiter treffen. Die vollumfängliche Auflistung aller Pflichten der Verhaltensregel finden Sie unter https://www.verhaltensregel.eu/wp-content/uploads/2022/11/Verhaltensregel_Trusted_Data_Processor_V1.pdf

Zugangs- und Zutrittsrecht

Voraussetzung für eine Zertifizierung ist, den Mitarbeiter:innen der Kontrollstelle ein umfangreiches Zugangs- und Zutrittsrecht zu gewähren; darunter fällt auch der Zugang zu Nachweisdokumenten. Der Auftragsverarbeiter verpflichtet sich, den Anordnungen der Kontrollstelle Folge zu leisten und auf jegliche Kostenerstattung gegenüber der Kontrollstelle zu verzichten.

Beauftragung von Unterverarbeitern

Im Falle der Beauftragung von Unterauftragsverarbeitern müssen diese benannt und den gleichen Anforderungen unterworfen werden, nach denen sich auch der Auftragsverarbeiter richten. Auch sie halten die EU-Standardvertragsklauseln für Auftragsverarbeitungsverhältnisse ein oder vereinbaren ein entspechendes Datenschutzniveau vertraglich. Der Auftragnehmer setzt den Auftraggeber innerhalb von 30 Tagen davon in Kenntnis, wenn Unterauftragnehmer hinzukommen oder wegfallen. Daraufhin räumt der Auftragnehmer dem Auftraggeber eine Widerspruchsmöglichkeit ein. Erst nach Ablauf der Widerspruchsfrist erhält der neue Unterverarbeiter Zugriff auf personenbezogene Daten. Es müssen jährlich stichprobenartige Kontrollen zur Einhaltung der Prozesse durchgeführt werden, wobei jeder Unterauftragsverarbeiter spätestens alle drei Jahre überprüft wird.

Betroffenenrechte

Für die Gewährleistung von Betroffenenrechten schulen Auftraggeber ihre Mitarbeiter:innen in Bezug auf das Erkennen von und den Umgang mit datenschutzrechtlichen Anfragen betroffener Personen. Die Betroffenenanfragen werden nach Identifikation der betroffenen Person und des entsprechenden Verantwortlichen an diesen weitergeleitet.

Sicherheitsvorfälle

Um Sicherheitsvorfälle zuverlässig bearbeiten zu können, ist die Einrichtung einer dauerhaft zu Geschäftszeiten geöffneten Kontaktstelle erforderlich. Hier muss ein mindestens transportverschlüsselter Meldeweg etabliert sein. Die Kontaktstelle koordiniert sodann die Bearbeitung des Vorfalls unter Heranziehung des vorgesehenen Formblattes.

Sicherung der Vertraulichkeit 

Zur Sicherung der Vertraulichkeit sorgt der Auftragsverarbeiter dafür, dass sich alle Mitarbeiter:innen schriftlich auf die Vertraulichkeit verpflichten und die Verpfichtungserklärung Teil der Personalakte wird.

Eigenkontrollen

Zertifizierte Auftragsverarbeiter führen regelmäßig Eigenkontrollen zur Einhaltung der Weisungen durch. Für Auftraggeber bedeutet das, dass sie ihre Kontrollaktivitäten auf die Bereiche beschränken können, die nicht von der Verhaltensregel umfasst sind. Die Eigenkontrolle funktioniert nach einem vorgegebenen Prozess, durch den in einem Fünfjahrestakt 10 % der von den Auftraggebern vorgegebenen Weisungen der letzten 12 Monate überprüft werden. Die Dokumentation der Prüfung darf keine Rückschlüsse auf betroffene Personen oder den Auftraggeber zulassen. Auftraggeber dürfen den Kontrollbericht jederzeit anfordern.

Vorteile einer Zertifizierung

Durch die Zertifizierung nach der Verhaltensregel können Sie als Unternehmen, das am Markt als datenschutzrechtliche Auftragnehmer auftritt, die Ressourcen einsparen, die Sie sonst für Kontrollen durch Auftraggeber aufwenden müssten. 

Die Zertifizierung als Trusted Data Processor verschafft Ihnen außerdem einen Wettbewerbsvorteil; insbesondere wenn die auftraggebenden Unternehmen sensible Daten verarbeiten lassen. 

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren und brauchen Hilfe? Informieren Sie sich über unsere Rechtsberatung im Datenschutzrecht oder über die Benennung externer Datenschutzbeauftragter.


Ihre Ansprechperson


Themen:

Ähnliche Artikel: