Bei der Auftragsverarbeitung hapert es vor allem bei der Kontrolle der Auftragnehmer und Subauftragnehmer. Eine Verhaltensregel nach Art. 40 DSGVO soll nun Abhilfe schaffen. Dienstleister können sich als Trusted Data Processor zertifizieren lassen. Wir beleuchten, inwieweit die Hoffnungen berechtigt sind, durch dieses Zertifikat künftig weniger Hürden im Bereich der Auftragsverarbeitung nehmen zu müssen und zeigen auf, wo es weiterhin Herausforderungen für Verantwortliche und Auftragsverarbeiter gibt.
Herausforderungen bei der Auftragsverarbeitung
In nahezu keinem anderen Bereich des Datenschutzes bestehen so viele Schwierigkeiten wie bei der Auftragsverarbeitung:
- Die Probleme beginnen bereits bei der Auswahl eines grundsätzlich geeigneten Dienstleisters,
- setzen sich über die Vereinbarung eines passenden Vertrags zur Auftragsverarbeitung fort und
- enden schließlich bei den irgendwann notwendigen Kontrollen des Auftragsverarbeiters, insbesondere seiner technischen und organisatorischen Maßnahmen.
Die zu findende Bandbreite an Herangehensweisen ist extrem. Auch wenn die Datenschutz-Grundverordnung (DSGVO) mittlerweile seit mehreren Jahren gilt und das Thema nun wirklich nicht neu ist, besteht oft in erschreckend großem Maß noch Verbesserungsbedarf bei jedem der genannten Schritte.
Die Aufsichtsbehörden nähern sich der Problematik mittlerweile, wenn auch eher zögerlich. So erfolgen in einigen Branchen Überprüfungen der vertraglichen Regelungen und die presseträchtige Diskussion über den rechtskonformen Einsatz von großen Cloud-Angeboten, insbesondere Microsoft 365, dürfte inzwischen auch jeder nur halbwegs Interessierte mitbekommen haben. Konsequenzen gibt es allerdings derzeit kaum. Das ist – je nach Sichtweise – angenehm gemütlich oder frustrierend; man wird sich aber wohl kaum dauerhaft darauf einstellen können.
Die Verhaltensregel für Auftragsverarbeiter
Vor diesem Hintergrund ist es sehr zu begrüßen, dass es nun vermehrt Bemühungen gibt, Ordnung in das Chaos zu bringen und den Bereich der Auftragsverarbeitung für alle beteiligten Kreise zu vereinfachen. Die DSGVO sieht dafür selbst auch einige Mittel vor, so etwa in Art. 40 Abs. 2 die Einführung von Verhaltensregeln.
Eine solche Selbstverpflichtung hat Mitte 2022 der Verein zur Förderung von Verhaltensregeln (VFV) in der Version 1.0 für Auftragsverarbeiter herausgegeben. Die Regelung wurde unter Beteiligung der Gesellschaft für Datenschutz und Datensicherheit (GDD) sowie des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) entwickelt. Die Verhaltensregel ist vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg genehmigt und trägt damit einen gewissen offiziellen Stempel.
Über die DSZ Datenschutz Zertifizierungsgesellschaft mbH, deren Träger die gerade genannten privaten Stellen sind, wird ein kostenpflichtiges Zertifikat angeboten, mit dem die Einhaltung der Verhaltensregel nachgewiesen werden kann.
Inhalte der Verhaltensregel
Bei der folgenden Diskussion zur Verhaltensregel für Auftragsverarbeiter unterstellen wir, dass das Verfahren zur Vergabe und Aufrechterhaltung des Zertifikats nicht zu beanstanden ist und gehen allein auf die wesentlichen Anforderungen ein, die Auftragsverarbeiter erfüllen müssen, um das Zertifikat bzw. damit verbundene Siegel Trusted Data Processor tragen zu dürfen.
Im Text gemachte Kapitelangaben beziehen sich auf die Verhaltensregel.
Geltungsbereich
Die Verhaltensregel richtet sich allein an den privatrechtlichen deutschen Markt, also an deutsche Anbieter aus dem nicht-öffentlichen Bereich, die Leistungen für deutsche Abnehmer erbringen.
Anforderungen an den Vertrag zur Auftragsverarbeitung
Die Verhaltensregel sieht grundsätzlich vor, dass die Regelung der Auftragsverarbeitung mittels der EU-Standardvertragsklauseln gemäß des Durchführungsbeschlusses der EU-Kommission C (2021) 3701 erfolgt. Gemeint ist damit der Mustervertrag für die Auftragsverarbeitung, nicht zu verwechseln mit den Standardvertragsklauseln im Zusammenhang mit Drittlandtransfers. Die Verwendung anderer Vertragsmuster ist zulässig, soweit einige Mindestregelungen beachtet werden.
Viele der Mindestanforderungen sind dabei gängig und üblicherweise in entsprechenden Verträgen zu finden. Auch haben Dienstleister meist weniger Schmerzen, mit diesen Regelungen zu leben. Auf diese verbreiteten, einfachen Anforderungen wird daher hier nicht weiter eingegangen, sie sind im Detail sämtlich in der Verhaltensregel nachzulesen.
Die folgenden vorgesehenen Regelungen bereiten jedoch erfahrungsgemäß Probleme und sollen daher herausgehoben werden:
- Der Auftraggeber muss das Recht haben, Überprüfungen durchzuführen und der Auftragnehmer muss diese Überprüfungen im erforderlichen Umfang unterstützen. Viele Verträge, auch solche sehr namhafter Anbieter, sehen ein echtes eigenes Prüfungsrecht für Verantwortliche aber schlichtweg nicht vor.
- Arbeiten außerhalb der Geschäftsräume bzw. Betriebsstätte sind nur zulässig, soweit sie der Auftraggeber genehmigt. An allen entsprechenden Orten müssen uneingeschränkt Kontrollen auch für den Auftraggeber und die Aufsichtsbehörden möglich sein.
- Unterbeauftragung
- Unterauftragsverarbeiter müssen ausnahmslos dieselben Verpflichtungen gegenüber dem Auftraggeber haben, wie der Auftragnehmer selbst. Insbesondere muss auch bei Subunternehmen eine eigene Kontrolle des Auftraggebers möglich sein.
- Die Angaben zu Unterauftragsverarbeitern und Unterunterauftragsverarbeitern müssen konkret und sehr detailliert sein (Kapitel 4.1).
- Der Auftraggeber muss die Möglichkeit haben, Veränderungen beim Einsatz von Unterauftragsverarbeitern in einer angemessenen Frist (14 bis 30 Tage) zu widersprechen (Kapitel 4.2).
- Ungeachtet der eigenen Kontrollrechte des Auftraggebers kontrolliert der Auftragsverarbeiter die Unterauftragsverarbeiter regelmäßig und dokumentiert (Kapitel 4.3).
- Der Auftragsverarbeiter muss einen Prozess zur regelmäßigen Eigenkontrolle einführen und umsetzen und dem Auftraggeber auf Anforderung berichten. Dieser Prozess fehlt noch sehr oft. Und Achtung: Ziel der Kontrolle ist hier nur die Einhaltung der Weisungen des Auftraggebers; also wohl gemerkt nicht die Umsetzung der technischen und organisatorischen Maßnahmen entsprechend Art. 32 Abs. 1 d) DSGVO.
Diese Regelungen sind alle wichtig und richtig. Sie entsprechen auch dem, was Aufsichtsbehörden erwarten und prüfen.
Probleme bei der Umsetzung
In der täglichen Praxis zeigt sich aber, dass sehr viele Dienstleister mit den genannten Punkten größere Probleme haben.
Insbesondere wenn es darum geht, alle Unterauftragsverarbeiter wie vorgesehen zu verpflichten oder aber die Kontrollrechte des Auftraggebers im Home-Office von Beschäftigten sicherzustellen, wird es dünn. Gerade den letztgenannten Aspekt umschiffen doch immer noch sehr viele Dienstleister dadurch, dass er erst gar nicht angesprochen wird, wo sie zumeist intern schon gar nicht die Vorbedingungen geschaffen haben und den Arbeitnehmer noch nicht einmal selbst kontrollieren dürften.
Auch mit der vorgesehenen detaillierten Information über Subauftragnehmer und Subsubauftragnehmer tun sich erfahrungsgemäß viele Dienstleister noch genauso schwer, wie mit der eigenen Kontrolle von eingesetzten Unterauftragnehmern – erst recht mit einer Kontrolle, die es verdient, als solche bezeichnet zu werden.
Der Umstand, dass Dienstleister und deren Subdienstleister meist nicht in einer abgeschotteten linearen Lieferkette arbeiten, sondern auch andere Auftraggeber über sich haben, macht es zudem völlig nachvollziehbar schwierig, exakt gleiche Leistungsversprechen in allen Verträgen zu machen. Man kann insbesondere im technischen Bereich nicht dem Kunden A etwas versprechen, was Kunde B anders haben will. Und auch im organisatorischen Bereich wird es für den Dienstleister irgendwann nicht mehr praktikabel sein, zig Extrawürste braten zu müssen. Dienstleister müssen Ihre Leistungen zumindest einigermaßen standardisieren, um wirtschaftlich arbeiten zu können. Je verzweigter die Lieferkette also ist, desto schwieriger wird es werden, hier tatsächlich die geforderte Übereinstimmung zu erreichen. Das ist alles sicher nicht unmöglich, erfordert aber oft spürbare Anstrengungen.
Was bringt die Verhaltensregel?
So weit, so gut. Auftragsverarbeiter, die sich der Verhaltensregel unterwerfen und dies dann schwarz auf weiß nachweisen können, haben sicherlich einen nicht unerheblichen Vorteil gegenüber anderen Anbietern. Vor allem die Gewähr, dass zentral wichtige Regelungen im Vertrag enthalten sind und auch umgesetzt werden, dürfte für viele Verantwortliche wichtig und beruhigend sein.
Aus unserer Sicht beschränkt sich die Verhaltensregel und dementsprechend auch das Zertifikat allerdings auf Umstände, die in der Praxis zwar längst nicht immer richtig umgesetzt werden, die aber im Grunde weder sonderlich schwierig noch wirklich streitig sind und die sich meist mit überschaubarem Aufwand lösen lassen.
Der große Knackpunkt aber, die technischen und organisatorischen Maßnahmen (TOM), bleibt jedoch außen vor und so gesehen kratzen Verhaltensregel und Zertifikat leider nur an der Oberfläche. Worüber sich der gesamte Markt freuen würde, wäre Brief und Siegel über die korrekte Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Vor allem aber zu den technischen Maßnahmen fehlen in der Verhaltensregel der Inhalt und dem Zertifikat die Aussage.
Die allergrößten und oft entnervenden Probleme für verantwortliche Auftraggeber bleiben diesen komplett erhalten:
- Wie bekomme ich meinen Dienstleister dazu, zum Auftrag passende technische und organisatorische Maßnahmen zuzusagen, und diese so auch zu beschreiben, dass sie als Maßstab für eine Bewertung und Kontrolle taugen?
- Und wer nimmt mir die Beurteilung und Kontrolle dann verlässlich ab?
Die Gesamtverantwortung bleibt schließlich immer beim Auftraggeber. Dieser muss als datenschutzrechtlich Verantwortlicher sicherstellen, dass vor allem auch Kontrollen dem Risiko angemessen regelmäßig erfolgen. In diesem Zusammenhang ist wichtig zu wissen, dass die Verhaltensregel eine durchgehende Kontrolle aller Zertifikatsinhaber oder eine einem bestimmten Risiko angemessene Häufigkeit von Kontrollen gar nicht vorsieht (Kapitel 5.3.1).
Vielmehr sind künftig zwei Mal pro Jahr Kontrollen bei nur 5% der zufällig ausgewählten Zertifikatsinhaber vorgesehen. Zweimal pro Jahr werden von 100 Unternehmen fünf geprüft, im Ergebnis also 90 nicht! Falls der Zufall hierbei überhaupt dasselbe Unternehmen mehrfach trifft, erfolgt eine erneute Kontrolle erst nach 2 Jahren. Nach Verhaltensregel kann der Abstand zwischen Kontrollen im Ernstfall sogar sieben Jahre betragen, erst dann ist eine Wiederholung zwingend.
Auftraggeber sollten daher bei Ihrem zertifizierten Dienstleister anklopfen und zumindest erfragen, wann er tatsächlich das letzte Mal kontrolliert wurde. Und um es Auftraggebern ganz unmissverständlich zu sagen: Die Hauptaufgabe, den Dienstleister dort zu kontrollieren, wo es wichtig, kompliziert und aufwändig ist (TOM), bleibt Ihnen!
Auch aus Sicht des Auftragsverarbeiters wird die Hauptlast im Zusammenhang mit Kontrollen nicht beseitigt. Er wird ggf. nach wie vor mit unkoordinierten und zufällig über das Jahr verteilten Kontrollen durch die diversen Auftraggeber konfrontiert sein und im schlimmsten Fall alle paar Wochen Besuch von mehr oder weniger motivierten und qualifizierten Prüfern erhalten oder zumindest immer wieder irgendwelche Fragebögen ausfüllen müssen, die vielleicht sogar etwas mit dem ihm erteilten Auftrag und den tatsächlich gemachten Zusagen zu tun haben. Dienstleister müssen sich also weiterhin überlegen, wie sie mit dem Kontrolldruck umgehen wollen und andere Wege finden, ihre Auftraggeber möglichst einheitlich koordiniert glücklich zu machen und aktive Kontrollen so nach Möglichkeit zu vermeiden.
Fazit
In der Gesamtbetrachtung gehen Verhaltensregelung und Zertifikat in die richtige Richtung, aber der Weg wird eben nicht zu Ende beschritten. Ob sich die doch nicht ganz unerhebliche Investition für Erwerb und Aufrechterhaltung des Zertifikats über die Einhaltung der Verhaltensregel für Auftragsverarbeiter lohnt, sollte gut durchgerechnet werden. Immerhin geht es um fast 5.000 Euro im ersten Jahr und dann laufend 2.440 Euro jährlich.
Wir werden allerdings alle damit rechnen müssen, dass auch dieses Zertifikat – wie viele andere Siegel und Papiere auch – oft als Bluff ausreichen wird. Ob und wie viele Verantwortliche merken, dass ihre Pflichten damit nicht annähernd erledigt sind, muss sich noch zeigen.
Eventuell ist der praktische Nutzen des Zertifikats daher aber zumindest aktuell doch höher, als hier angenommen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!
