Hintergrund
Im Oktober 2019 veröffentlichte die Fokusgruppe Datenschutz des Digital Gipfels einen „Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung“ (hier in Version 1.0 direkt abrufbar, hier auch in englischer Sprache). Der Entwurf entstand durch die Zusammenarbeit verschiedener Experten aus Wirtschaft und Behörden, etwa der Datenschutzaufsicht und dem Bundesamt für Sicherheit in der Informationstechnik.
Mehrere Mitglieder der Fokusgruppe haben sich entschlossen, den Entwurf weiterzuentwickeln und für eine offizielle Anerkennung durch die Datenschutzaufsichtsbehörden einzureichen gemäß Art. 40 DS-GVO. In Rücksprache mit der Fokusgruppe werden Bitkom e.V. und GDD e.V. die Weiterentwicklung inhaltlich und organisatorisch koordinieren und die Code-Ownership übernehmen. Als private und unabhängige Überwachungsstelle nach Art. 41 DS-GVO ist SCOPE Europe bvba bzw. der SRIW e.V. (Selbstregulierung Informationswirtschaft) vorgesehen.
Wesentlicher Inhalt
Die Verhaltensregel Pseudonymisierung konkretisiert in der aktuellen Version einen angemessenen Management-Prozess für die Pseudonymisierung personenbezogener Daten. Als Management-Prozess legt die Verhaltensregel einen Schwerpunkt auf den Prozess und dessen Dokumentation sowie regelmäßige Evaluation. Diese Herangehensweise wird dem Umstand gerecht, dass einerseits die konkrete, angemessene technisch und organisatorische Umsetzung je nach Anwendungsfall sehr heterogen ist und andererseits durch einen gesteuerten Management-Prozess eine grundsätzliche und kontinuierliche Angemessenheit der Implementierung sichergestellt werden kann. Gerade für verarbeitende Stellen, die nicht alltäglich mit der Implementierung von Pseudonymisierungsverfahren in Kontakt kommen, bietet ein Management-Prozess zielführende Anleitung und vermeidet, dass wesentliche Aspekte unbeabsichtigt nicht rechtzeitig berücksichtigt werden.
Avisierter Kostenrahmen der Konformitätsverfahren
Auf Basis der aktuellen Inhalte der Verhaltensregel wurden bereits erste Konzeptideen hinsichtlich der Überwachung gem. Artikel 41 DSGVO entwickelt. Vorbehaltlich der Anerkennung der Verhaltensregel und Akkreditierung der geplanten Überwachungsverfahren wird von jährlichen Kosten für einen Konformitätsnachweis von ca. 1,500 EUR pro Pseudonymisierungsprozess ausgegangen. Durch Skalierungseffekte und die ausgeprägte Bereitschaft der aktuellen Teilnehmer, den Zugang zur Verhaltensregel auch kleinen und mittelständische Unternehmen zu ermöglichen, erscheint es möglich, die jährlichen Kosten – jedenfalls für kleine und mittelständische Unternehmen – auf einen mittleren dreistelligen Betrag reduzieren zu können; vorausgesetzt, dass insgesamt eine angemessene Mindestzahl von Pseudonymisierungsprozessen der Verhaltensregel unterworfen werden wird.
Beteiligte
Der Entwurf wird von unterschiedlichen Stakeholdern aktiv unterstützt. Dies sind neben den genannten Bitkom, GDD und SRIW / SCOPE Europe
- Axciom Deutschland GmbH
- Bundesdruckerei GmbH
- Deutsche Telekom AG
- Media Broadcast GmbH
- United Internet AG
- Stiftung Datenschutz
Gespräche mit weiteren Unternehmen sind mometan im Gange.
Nächste Schritte
Auf der sehr guten Arbeit der Fokusgruppe aufbauend wurden die materiellen Anforderungen des Entwurfs in eine anerkennungsfähige Version unter Ergänzung von Regeln zur Verwaltung der Verhaltensregel ("Governance") und deren Überwachung ("Monitoring) weiter überführt. Entsprechend der Leitlinien des Europäischen Datenschutzausschusses wurde festgelegt, wie und unter welchen Voraussetzungen künftige materielle Änderungen erfolgen, wie und unter welchen Voraussetzungen verarbeitende Stellen sich der Verhaltensregel unterwerfen können und welche grundsätzlichen, konzeptionellen Anforderungen an die Überwachung gestellt werden. Nicht zuletzt bedeutet dies auch die Entwicklung eines Kosten- und Gebührenmodells, ohne dabei die Zugänglichkeit für KMU zu gefährden.
Die aktuelle Version der Verhaltensregel muss in einem nächsten Schritt der zuständigen federführenden Aufsichtsbehörde ("Lead Authority") zur formellen Genehmigung vorgelegt werden. Als transnationale Verhaltensregel ist hierbei das Kohärenzverfahren beim Europäischen Datenschutzausschuss zu durchlaufen.
Für künftige Versionen der Verhaltensregel ist angedacht, den Management-Prozess um sektorspezifische Module zu ergänzen. Derartige Module könnten dann auf spezielle Einsatzszenarien zugeschnitten sein. Hierdurch könnten auch Interessenabwägungen oder konkrete technisch-organisatorische Maßnahmen in die Verhaltensregel aufgenommen werden. Entsprechend besteht die Möglichkeit, dies dann auch durch die Datenschutzaufsichtsbehörden anerkennen zu lassen.