Überwachungsstelle für Verhaltensregeln
Die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) ist ein im Jahr 2013 von den Verbänden GDD und BvD gegründetes Unternehmen, das als Überwachungsstelle für Verhaltensregeln gem. Art. 40 DS-GVO fungiert. Die DSZ überwacht nicht nur zeichnende Stellen hinischtlich ihrer Einhaltung der Verhaltensregel, sie beteiligt sich auch an der Entwicklung solcher Regeln. Verhaltensregeln dienen der Konkretisierung einer datenschutzkonformen Verarbeitung im Sinne der DS-GVO und bedürfen der Genehmigung durch die zuständige Aufsichtsbehörde. Überwachungsstellen einer Verhaltensregel werden von der zuständigen Aufsichtsbehörde akkreditiert.
Aktuell ist die DSZ als Überwachungsstelle für die von GDD und BvD entwickelte Verhaltensregel "Trusted Data Processor" beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg als Überwachungsstelle gem. Art. 41 DS-GVO akkreditiert. Die Verhaltensregel legt ihren Fokus auf notwendige Managementprozesse beim Auftragsverarbeiter, der seine Leistung(en) in Deutschland für den deutschen Markt anbietet. In ihre Erstellung sind spezifische Erfahrungen von Verantwortlichen und deren Auftragsverarbeiter eingeflossen.
Hintergrund für die Entwicklung der Verhaltensregel sind, zum einen, die weiterhin bestehenden Fragestellungen zu den jeweiligen Verpflichtungen und deren operative Umsetzung im Rahmen der Auftragsverarbeitung mangels konkreter gesetzlicher Vorgaben. Auf inhaltlicher Ebene konkretisiert die Verhaltensregel daher, zum einen, das Zusammenwirken von Auftraggeber und Auftragsverarbeiter unabhängig ihres Sektors. Dies betrifft, unter anderem, die Ausgestaltung von Kontrollrechten, den Wechsel von Unterauftragnehmern oder auch die Eigenkontrolle des Auftragsverarbeiters.
Zum anderen fehlt es an ausreichenden Referenzpunkten für das Erkennen eines datenschutzkonformen Auftragsverarbeiters aus Sicht eines Verantwortlichen. Auftragsverarbeiter sind mit einer Vielzahl von Auftraggebern konfrontiert, die ihre gesetzlich gewährten Kontrollrechte ausüben möchten. Die Verhaltensregel bringt diese unterschiedlichen Interessen in Einklang, indem sie die Einhaltung standardisierter und transparenter Vorgaben durch eine Überwachungsstelle überprüfen lässt. Diese Überwachung können Verantwortliche in ihre Kontrollkonzepte einfließen lassen.
Interesse an weiteren Informationen?
Weitere Informationen zur Verhaltensregel "Trusted Data Processor" für Auftragsverarbeiter finden Sie unter verhaltensregel.eu.
Verhaltensregel "Trusted Data Processor"
Die Verbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ haben die Verhaltensregel "Trusted Data Processor" speziell für die Auftragsverarbeitung entwickelt. Die Verhaltenregel konkretisiert das Zusammenwirken von Auftraggeber und Auftragsverarbeiter unabhängig ihres Sektors und erleichtert die Auswahl eines datenschutzkonformen Auftragsverarbeiters. Die Verhaltensregel bestätigt die Umsetzung der Vorgaben aus Art. 28 DS-GVO für Auftragsverarbeiter und tritt neben bestehende Zertifikaten wie z.B. nach ISO 270001.