Startseite » Projekte » Code of Conduct Pseudonymisierung
Bereichsbild

Aktuelles

Code of Conduct Pseudonymisierung

 

Hintergrund

Im Oktober 2019 veröffentlichte die Fokusgruppe Datenschutz des Digital Gipfels einen „Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung“ (hier in Version 1.0 direkt abrufbar, hier auch in englischer Sprache). Der Entwurf entstand durch die Zusammenarbeit verschiedener Experten aus  Wirtschaft und Behörden, etwa der Datenschutzaufsicht und dem Bundesamt für Sicherheit in der Informationstechnik.

Mehrere Mitglieder der Fokusgruppe haben sich entschlossen, den Entwurf weiterzuentwickeln und für eine offizielle Anerkennung durch die Datenschutzaufsichtsbehörden einzureichen gemäß Art. 40 DS-GVO. In Rücksprache mit der Fokusgruppe werden der Bitkom e.V. (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) sowie der GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit) die Weiterentwicklung inhaltlich und organisatorisch koordinieren und die Code-Ownership übernehmen. Als private und unabhängige Überwachungsstelle nach Art. 41 DS-GVO ist SCOPE Europe bvba bzw. der SRIW e.V. (Selbstregulierung Informationswirtschaft) vorgesehen.

 

LogosderVerbände 

 

Zielsetzung

Verhaltensregeln bieten Verantwortlichen und Auftragsverarbeitern die Möglichkeit, die Datenschutzgrundverordnung für bestimmte Verarbeitungskontexte zu konkretisieren und durch die Anerkennung einer abstrakten Vorabprüfung der Datenschutzaufsicht zukommen zu lassen.

Anerkannte Verhaltensregeln bieten somit insbesondere in solchen Bereichen rechtliche und praktische Mehrwerte, in denen eine Vielzahl von verarbeitenden Stellen stets den gleichen Fragestellungen gegenüberstehen. Die Anerkennung durch die Datenschutzaufsicht hat zudem das Potential, insbesondere kleinen und mittelständischen Unternehmen (KMU) unnötige Ängste, Sorgen und letztlich Risiken bei der Implementierung zeitgemäßer Verarbeitungsprozesse zu nehmen. Diese Funktion des Compliance-Nachweises sieht auch die DS-GVO explizit vor, da die Einhaltung anerkannter Verhaltensregeln etwa gem. Art. 83 Abs. 2 Buchst. j) DS-GVO als Faktor bei der Bußgeldzumessung zu berücksichtigen ist.

Um eine Zersplitterung der Anforderungen in Europa zu vermeiden und einen aktiven Beitrag zur Harmonisierung der Implementierung der Datenschutzgrundverordnung zu leisten, ist beabsichtigt, die Verhaltensregel als transnationale, also europaweite, Verhaltensregel einzureichen.

 

Wesentlicher Inhalt

Die Verhaltensregel Pseudonymisierung konkretisiert in der aktuellen Version einen angemessenen Management-Prozess für die Pseudonymisierung personenbezogener Daten. Als Management-Prozess legt die Verhaltensregel einen Schwerpunkt auf den Prozess und dessen Dokumentation sowie regelmäßige Evaluation. Diese Herangehensweise wird dem Umstand gerecht, dass einerseits die konkrete, angemessene technisch und organisatorische Umsetzung je nach Anwendungsfall sehr heterogen ist und andererseits durch einen gesteuerten Management-Prozess eine grundsätzliche und kontinuierliche Angemessenheit der Implementierung sichergestellt werden kann. Gerade für verarbeitende Stellen, die nicht alltäglich mit der Implementierung von Pseudonymisierungsverfahren in Kontakt kommen, bietet ein Management-Prozess zielführende Anleitung und vermeidet, dass wesentliche Aspekte unbeabsichtigt nicht rechtzeitig berücksichtigt werden.

 

Avisierter Kostenrahmen der Konformitätsverfahren

Auf Basis der aktuellen Inhalte der Verhaltensregel wurden bereits erste Konzeptideen hinsichtlich der Überwachung gem. Artikel 41 DSGVO entwickelt. Vorbehaltlich der Anerkennung der Verhaltensregel und Akkreditierung der geplanten Überwachungsverfahren wird von jährlichen Kosten für einen Konformitätsnachweis von ca. 1,500 EUR pro Pseudonymisierungsprozess ausgegangen. Durch Skalierungseffekte und die ausgeprägte Bereitschaft der aktuellen Teilnehmer, den Zugang zur Verhaltensregel auch kleinen und mittelständische Unternehmen zu ermöglichen, erscheint es möglich, die jährlichen Kosten – jedenfalls für kleine und mittelständische Unternehmen – auf einen mittleren dreistelligen Betrag reduzieren zu können; vorausgesetzt, dass insgesamt eine angemessene Mindestzahl von Pseudonymisierungsprozessen der Verhaltensregel unterworfen werden wird.

 

Nächste Schritte

Auf der sehr guten Arbeit der Fokusgruppe aufbauend werden die materiellen Anforderungen des Entwurfs momentan in eine anerkennungsfähige Verwaltung und Überwachung weiter überführt. Entsprechend der Leitlinien des Europäischen Datenschutzausschusses gilt es insbesondere zu klären, wie und unter welchen Voraussetzungen künftige materielle Änderungen erfolgen, wie und unter welchen Voraussetzungen verarbeitende Stellen sich der Verhaltensregel unterwerfen können und welche grundsätzlichen, konzeptionellen Anforderungen an die Überwachung gestellt werden. Nicht zuletzt bedeutet dies auch die Entwicklung eines Kosten- und Gebührenmodells, ohne dabei die Zugänglichkeit für KMU zu gefährden.

Für künftige Versionen der Verhaltensregel ist angedacht, den Management-Prozess um sektorspezifische Module zu ergänzen. Derartige Module könnten dann auf spezielle Einsatzszenarien zugeschnitten sein. Hierdurch könnten auch Interessenabwägungen oder konkrete technisch-organisatorische Maßnahmen in die Verhaltensregel aufgenommen werden. Entsprechend besteht die Möglichkeit, dies dann auch durch die Datenschutzaufsichtsbehörden anerkennen zu lassen.

 

Beteiligte

Der Entwurf wird von unterschiedlichen Stakeholdern aktiv unterstützt. Dies sind neben den genannten Bitkom, GDD und SRIW / SCOPE Europe

  • Axciom Deutschland GmbH
  • Bundesdruckerei GmbH
  • Deutsche Telekom AG
  • Media Broadcast GmbH
  • United Internet AG
  • Stiftung Datenschutz

 

Gespräche mit weiteren Unternehmen sind mometan im Gange.

Mitwirkungsmöglichkeiten

Aktuell werden die formellen Rahmenbedingungen entwickelt, damit weitere interessierte Stakeholder aktiv an der Entwicklung mitwirken können. Ungeachtet der unmittelbaren Mitwirkung empfehlen die Leitlinien für Verhaltensregeln des Europäischen Datenschutzausschusses die Durchführung von Konsultationen. Die Erforderlichkeit weiterer Konsultationen wird derzeit geprüft. Auch unabhängig einer offiziellen Konsultation können jederzeit Anmerkungen unter info@gdd.de eingereicht werden.

Für die Verantwortlichen ist es ausgesprochen wichtig, dass die Verhaltensregel nicht nur formal bei der Implementierung der Datenschutzgrundverordnung unterstützt, sondern auch tatsächlich möglichst vielen Interessierten zugänglich ist. Entsprechend werden aktuell unterschiedliche Modelle diskutiert, die sowohl hinsichtlich organisatorischer als auch finanzieller Lasten zu angemessenen Lösungen führen.