Code of Conduct für die Auftragsverarbeitung
Mit der DS-GVO wurden die gesetzlichen Rahmenbedingungen für Verhaltensregeln (sog. „Code of Conduct“) verändert und europaweit vereinheitlicht. Verhaltensregeln zur Konkretisierung einer datenschutzkonformen Verarbeitung im Sinne der DS-GVO bedürfen der Genehmigung durch die zuständige Aufsichtsbehörde. Überwachungsstellen einer Verhaltensregel werden von der zuständigen Aufsichtsbehörde akkreditiert.
Der Verein zur Förderung von Verhaltensregeln (VfV), ein von den Verbänden GDD und BvD gegründeter Verein zur Ausarbeitung, Änderung oder Erweiterung von Verhaltensregeln nach Art. 40 DS-GVO, hat auf Basis der Vorarbeiten von GDD und BvD, eine Verhaltensregel für Auftragsverarbeiter („Trusted Data Processor“) gem. Art. 40 DS-GVO entwickelt. Die Verhaltensregel legt ihren Fokus auf notwendige Managementprozesse beim Auftragsverarbeiter; der seine Leistung in Deutschland für den deutschen Markt anbietet. In ihre Erstellung sind spezifische Erfahrungen von Verantwortlichen und deren Auftragsverarbeiter eingeflossen. Die Mitgliedsunternehmen von GDD und BvD sind die primären Adressaten der Verhaltensregel, gleichwohl wird die Verhaltensregel auch Nichtmitgliedern offen stehen.
Hintergrund für die Entwicklung der Verhaltensregel sind, zum einen, die weiterhin bestehenden Fragestellungen zu den jeweiligen Verpflichtungen und deren operative Umsetzung im Rahmen der Auftragsverarbeitung mangels konkreter gesetzlicher Vorgaben. Auf inhaltlicher Ebene konkretisiert die Verhaltensregel daher das Zusammenwirken von Auftraggeber und Auftragsverarbeiter unabhängig ihres Sektors. Dies betrifft, unter anderem, die Ausgestaltung von Kontrollrechten, den Wechsel von Unterauftragnehmern oder auch die Eigenkontrolle des Auftragsverarbeiters.
Zum anderen fehlt es an ausreichenden Referenzpunkten für das Erkennen eines datenschutzkonformen Auftragsverarbeiters aus Sicht eines Verantwortlichen. Auftragsverarbeiter sind mit einer Vielzahl von Auftraggebern konfrontiert, die ihre gesetzlich gewährten Kontrollrechte ausüben möchten. Die Verhaltensregel bringt diese unterschiedlichen Interessen in Einklang, indem sie die Einhaltung standardisierter und transparenter Vorgaben durch eine Überwachungsstelle überprüfen lässt. Diese Überwachung können Verantwortliche in ihre Kontrollkonzepte einfließen lassen.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die nationale Verhaltensregel „Trusted Data Processor“ im November 2022 genehmigt . Im Zuge dessen wurde auch die Datenschutz Zertifizierungsgesellschaft mbH als Überwachungsstelle akkreditiert.
Weitere Informationen
Weitere Information zur Verhaltensregel und den Anforderungen an Auftragsverarbeiter gem. Art. 28 DS-GVO finden Sie auf der Webpräsenz der DSZ.