Durch den Status „Trusted Data Processor“ verpflichten sich Auftragsverarbeiter zu regelmäßigen Mitwirkungspflichten gegenüber Kontrollstellen und können im Gegenzug im Rechtsverkehr ein Qualitätssiegel verwenden, um ihre Nachweis- und Rechenschaftspflichten leichter zu erfüllen, rechtssicherer zu agieren und Aufwände zu reduzieren (vgl. hier). Da es sich jedoch, um eine gebührenpflichtige Verpflichtung handelt, stellt sich die Frage, ob sich diese Selbstverpflichtung für Unternehmen wirklich lohnt.
Zweck
Oftmals werden Dienstleister eingesetzt, um im Auftrag eines Unternehmens personenbezogene Daten zu verarbeiten. Soweit die Verarbeitung durch die Dienstleister dann nur auf Grundlage einer Weisung des Unternehmens erfolgen soll, handelt es sich um eine Auftragsverarbeitung und die Parteien schließen in der Regel einen Auftragsverarbeitungsvertrag, um sich gegenseitig zur Einhaltung der gesetzlichen Anforderungen des Art. 28 DSGVO zu verpflichten. Allerdings ist durch den Abschluss eines solchen Vertrags nicht zwangsläufig sichergestellt, dass die Dienstleister ihren Verpflichtungen Folge leisten und die Einhaltung eines DSGVO-konformen Datenschutzniveaus gewährleistet werden, weshalb stets Inspektionen durch die Auftraggeber erfolgen.
Hierfür kann aber die Verpflichtung des Dienstleisters auf die Einhaltung einer Verhaltensregel nach Art. 40 DSGVO herangezogen werden: Mit dem Siegel „Trusted Data Processor“ sollen Auftragsverarbeiter nun die Erfüllung datenschutzrechtlicher Vorgaben gegenüber ihren Auftraggebern vorweisen können, damit eine Kontrolle während der Betriebszeit durch den Auftraggeber nicht mehr notwendig ist
Genehmigung durch den Landesbeauftragten für Datenschutz- und Informationssicherheit Baden-Württemberg
Die neue Verhaltensregeln wurden durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg genehmigt, so dass der Nachweis von einer öffentlichen Aufsichtsbehörde anerkannt wurde. An der Entwicklung haben u. a. der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. und die Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. mitgewirkt. Genehmigte Verhaltensregeln drücken dabei ein gemeinsames Verständnis des Antragstellers und der genehmigenden Aufsichtsbehörde aus, wie in bestimmten Konstellationen mit personenbezogenen Daten in zulässiger Weise umgegangen werden kann. Zugleich unterwerfen sich die Auftragsverarbeiter nun auch der Überwachung durch die Überwachungsstellen, da die Einhaltung der Regeln regelmäßig überprüft wird (siehe hier). Überwachungsstelle für „Trusted Data Processor“ ist die DSZ Datenschutz Zertifizierungsgesellschaft mbH (ein Tochterunternehmen der GDD), welche neben der Kontrolle der Einhaltung der Verhaltensregeln, die Anträge auf Selbstverpflichtung bearbeitet und Anlaufstelle für Beschwerden ist (vgl. hier). Bei einem Verstoß gegen die Verhaltensregeln, kann dem Auftragsverarbeiter der Status „Trusted Data Processor“ wieder entzogen werden. Bußgelder können aber nur durch die staatlichen Aufsichtsbehörden verhängt werden, deren Befugnisse von den Verhaltensregeln unberührt bleiben.
Vorteil: Nachweise und Garantien
Der Auftragsverarbeiter kann durch seine Selbstverpflichtung nun rechtssicherer agieren, indem er u. a. folgende Nachweise und Garantien gegenüber dem Auftraggeber und den Aufsichtsbehörden leichter vorweisen kann:
- Einhaltung datenschutzrechtlicher Verpflichtungen des Auftragsverarbeiters gegenüber dem Auftraggeber, Art. 28 Abs. 3 lit. h DSGVO
- Verpflichtung der zur Verarbeitung von personenbezogenen Daten befugten Personen zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO
- Angebot hinreichender Garantien zur DSGVO-konformen Verarbeitung im Hinblick auf technische und organisatorische Maßnahmen beim Auftragsverarbeiter selbst, Art. 28 Abs.5 Abs. 1 DSGVO
- Angebot hinreichender Garantien zur DSGVO-konformen Verarbeitung im Hinblick auf technische und organisatorische Maßnahmen beim Unterauftragsverarbeiter, Art. 28 Abs. 5, Abs. 1 DSGVO
- Gewährleistung eines dem Risiko angemessenen Schutzniveaus durch geeignete technische und organisatorische Maßnahmen
Nachteil: Gebühren und Mitwirkungspflichten
Für die Genehmigung des Selbstverpflichtungsantrags und der Akkreditierung zum „Trusted Data Processor“ werden Gebühren erhoben.
Im ersten Jahr betragen die Gebühren 4.990,00 € für folgende Leistungen:
- Prüfung der eingereichten Anträge
- Aufnahme in die Liste der verpflichteten Unternehmen
In den Folgejahren betragen die Gebühren 2.440,00 € jährlich für folgende Leistungen:
- Aufrechterhaltung der Selbstverpflichtung
- Stichprobenartige Überprüfung der Konformität mit der Verhaltensregel
Zudem verpflichten sich die Auftragsverarbeiter u. a. zu folgenden Mitwirkungspflichten:
- Der Auftragsverarbeiter verwendet als Vereinbarung zur Auftragsverarbeitung die EU-Standardvertragsklauseln gemäß des Durchführungsbeschlusses der EU-Kommission C(2021) 3701, Standardvertragsklauseln festgelegt durch Datenschutzaufsichtsbehörden gemäß Art. 28 Abs. 8 DSGVO oder vereinbart vertraglich mit dem Auftraggeber ein bereits ausformuliertes Mindestniveau. [Mindestniveau ist in den Verhaltensregeln enthalten]
- Der Auftragsverarbeiter kontrolliert mindestens jährlich risikoorientiert seine Unterauftragsverarbeiter mittels einer Stichprobe unter Auswahl einer gängigen Prüfmethode. [Prüfungsmethoden werden in den Verhaltensregeln genau beschrieben]
- Der Auftragsverarbeiter richtet eine Kontaktstelle ein, an die Meldungen von Mitarbeitern des Auftragsverarbeiters oder von Unterauftragsverarbeitern über potenzielle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DS-GVO) erfolgen können.
- Ein interner oder externer Prüfer des Auftragsverarbeiters kontrolliert jährlich die Einhaltung der Weisungen mittels einer Stichprobe. Dabei stellt der Auftragsverarbeiter sicher, dass die Weisungen eines jeden Auftraggebers mindestens alle 5 Jahre kontrolliert werden. Der Kontrollzeitraum, aus dem die Weisungen ausgewertet werden, beträgt mindestens 12 Monate. Dabei sind mind. 10 % der Weisungen zu prüfen. Sind weniger als 10 Weisungen vorhanden, sind alle zu prüfen.
- Der Auftragsverarbeiter erkennt die in der Verhaltensregel festgelegten Pflichten und Befugnisse der Kontrollstelle „DSZ Datenschutz Zertifizierungsgesellschaft mbH“
- Gegenüber der Kontrollstelle hat der Auftragsverarbeiter u. a. folgende Mitwirkungspflichten:
- Gewährleistung eines uneingeschränkten Zutrittsrechts für Mitarbeiter und Beauftragte der Kontrollstelle zu den Räumlichkeiten des Auftragsverarbeiters und allen weiteren Unterauftragsverarbeitern, sowie allen sonstigen Orten, an denen Daten von Auftraggebern verarbeitet werden oder von denen auf Daten von Auftraggebern zugegriffen wird.
- Vorlage von Nachweisdokumenten insbesondere in Form von vorzulegenden Musterverträgen, Prozessbeschreibungen u. a. über die Einhaltung der Verhaltensregel anzufordern.
- Der Auftragsverarbeiter stellt durch vertragliche Einzelvereinbarung sicher, dass Unterauftragsverarbeiter denselben Verpflichtungen zur Mitwirkung bei und Duldung von Kontrollhandlungen der Überwachungsstelle unterliegen wie er selbst.
Kritik
Da die Kontrollen tatsächlich nur bei 5% der zufällig gewählten zertifizierten Auftragsverarbeiter zwei Mal im Jahr erfolgen, eine erneute Kontrolle bei demselben Unternehmen erst nach 2 darauffolgenden Jahren stattfinden kann und spätestens erst nach 7 Jahren eine Wiederholung der Überprüfung zwingend ist, handelt es sich nicht um eine kontinuierliche Kontrolle. Zudem gibt es keine Vorgaben zu den technischen und organisatorischen Maßnahmen (TOM), so dass kritisiert wird, dass sich die Verhaltensregel im Grunde auf einfach umzusetzende Umstände bezieht und die Auftraggeber so gezwungen sind an der komplexesten Stelle selbst den Auftragnehmer zu kontrollieren (vgl. hier).
Fazit
Ob eine gebührenpflichtige Selbstverpflichtung zum „Trusted Data Processor“ für ein Unternehmen sinnvoll ist, hängt auch davon ab, inwieweit die Prozesse für die Durchführung einer Auftragsverarbeitung bereits unternehmensintern standardisiert wurden. Für junge Unternehmen kann dies aufgrund vorformulierter Formblätter und vorgegebener Prozesse eine wertvolle Anleitung sein, um rechtssicher zu agieren und Zeitaufwand zu ersparen. Gleichzeitig könnte mit diesem Nachweisdas Vertrauen potentieller Auftraggeber gewonnen werden. Letztendlich werden aber alle Unternehmen die Gebühren und den Aufwand der Mitwirkungspflichten demgegenüber abwägen müssen.
Darüber hinaus ist zu berücksichtigen, dass sich derzeit nur zwei Unternehmen auf die Verhaltensregel „Trusted Data Processor“ verpflichtet haben (vgl. hier).
Aufgrund dieser geringen Reichweite besteht auf dem Markt derzeit (noch) kein Druck für Auftragsverarbeiter sich auf diese Verhaltensregel zu verpflichten, um wesentlichen Nachteilen gegenüber zertifizierten Auftragsverarbeitern vorzubeugen.
Eine vollständige Liste der Verhaltensregel „Trusted Data Processor“ finden Sie hier.
Anonymous
26. April 2023 @ 11:53
Für große Unternehmen deren Geschäftszweck Dienstleistungen sind die sie in der Rolle des Auftragsverarbeiters erbringen, kann dieses private Prüfsiegel sicherlich Sinn machen. Für die Vielzahl kleiner Dienstleister ist es viel zu teuer und zu umständlich. Darauf sollte der Autor klar hinweisen. In der Realität gibt es Auftraggeberkontrollen in der Form von Vor-Ort-Kontrollen doch sowieso so gut wie gar nicht. Die sieht die DSGVO auch nicht ausdrücklich vor. Durch die schiere Textmenge dieser Verordnung, die darin angeordneten nebulösen Kontroll- und Dokumentationszwänge und die interessierte Beraterindustrie entstehen dann halt solche Prüfsiegel. Gerne flankiert von Behörden, die in ihrer Prüfpraxis dazu neigen, die in der DSGVO ja auch vorhandenen risikoorientierten Ansatz falsch und zu Lasten der Verarbeiter zu interpretieren. Nochmal: für große Auftragsverarbeiter ggf. sinnvoll. Für kleine Unternehmen zu teuer und zu aufwändig. Wir müssen auch aufpassen, das solche Prüfsiegel am Ende nicht dazu beitragen, kleine Firmen aus dem Markt zu drängen. Solche Siegel können auch dazu führen, dass sich Auftraggeber für die „gesiegelten“ entscheiden, weil sie dann weniger „Aufsichtsdruck“ durch die Behörden erhoffen. Das wäre volkswirtschaftlicher Wahnsinn und böte wieder Anknüpfungspunkte für eine Kritik am angeblich überbordenden Datenschutz. Diese Kritik wäre dann sogar berechtigt.