Trusted Data Processor – die Verhaltensregel für Auftragsverarbeiter

Bei der Auftragsverarbeitung hapert es vor allem bei der Kontrolle der Auftragnehmer und Subauftragnehmer. Eine Verhaltensregel nach Art. 40 DSGVO soll nun Abhilfe schaffen. Dienstleister können sich als Trusted Data Processor zertifizieren lassen. Wir beleuchten, inwieweit die Hoffnungen berechtigt sind, durch dieses Zertifikat künftig weniger Hürden im Bereich der Auftragsverarbeitung nehmen zu müssen und zeigen auf, wo es weiterhin Herausforderungen für Verantwortliche und Auftragsverarbeiter gibt.

Herausforderungen bei der Auftragsverarbeitung

In nahezu keinem anderen Bereich des Datenschutzes bestehen so viele Schwierigkeiten wie bei der Auftragsverarbeitung:

Die zu findende Bandbreite an Herangehensweisen ist extrem. Auch wenn die Datenschutz-Grundverordnung (DSGVO) mittlerweile seit mehreren Jahren gilt und das Thema nun wirklich nicht neu ist, besteht oft in erschreckend großem Maß noch Verbesserungsbedarf bei jedem der genannten Schritte.

Die Aufsichtsbehörden nähern sich der Problematik mittlerweile, wenn auch eher zögerlich. So erfolgen in einigen Branchen Überprüfungen der vertraglichen Regelungen und die presseträchtige Diskussion über den rechtskonformen Einsatz von großen Cloud-Angeboten, insbesondere Microsoft 365, dürfte inzwischen auch jeder nur halbwegs Interessierte mitbekommen haben. Konsequenzen gibt es allerdings derzeit kaum. Das ist – je nach Sichtweise – angenehm gemütlich oder frustrierend; man wird sich aber wohl kaum dauerhaft darauf einstellen können.

Die Verhaltensregel für Auftragsverarbeiter

Vor diesem Hintergrund ist es sehr zu begrüßen, dass es nun vermehrt Bemühungen gibt, Ordnung in das Chaos zu bringen und den Bereich der Auftragsverarbeitung für alle beteiligten Kreise zu vereinfachen. Die DSGVO sieht dafür selbst auch einige Mittel vor, so etwa in Art. 40 Abs. 2 die Einführung von Verhaltensregeln.

Eine solche Selbstverpflichtung hat Mitte 2022 der Verein zur Förderung von Verhaltensregeln (VFV) in der Version 1.0 für Auftragsverarbeiter herausgegeben. Die Regelung wurde unter Beteiligung der Gesellschaft für Datenschutz und Datensicherheit (GDD) sowie des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) entwickelt. Die Verhaltensregel ist vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg genehmigt und trägt damit einen gewissen offiziellen Stempel.

Über die DSZ Datenschutz Zertifizierungsgesellschaft mbH, deren Träger die gerade genannten privaten Stellen sind, wird ein kostenpflichtiges Zertifikat angeboten, mit dem die Einhaltung der Verhaltensregel nachgewiesen werden kann.

Inhalte der Verhaltensregel

Bei der folgenden Diskussion zur Verhaltensregel für Auftragsverarbeiter unterstellen wir, dass das Verfahren zur Vergabe und Aufrechterhaltung des Zertifikats nicht zu beanstanden ist und gehen allein auf die wesentlichen Anforderungen ein, die Auftragsverarbeiter erfüllen müssen, um das Zertifikat bzw. damit verbundene Siegel Trusted Data Processor tragen zu dürfen.

Im Text gemachte Kapitelangaben beziehen sich auf die Verhaltensregel.

Geltungsbereich

Die Verhaltensregel richtet sich allein an den privatrechtlichen deutschen Markt, also an deutsche Anbieter aus dem nicht-öffentlichen Bereich, die Leistungen für deutsche Abnehmer erbringen.

Anforderungen an den Vertrag zur Auftragsverarbeitung

Die Verhaltensregel sieht grundsätzlich vor, dass die Regelung der Auftragsverarbeitung mittels der EU-Standardvertragsklauseln gemäß des Durchführungsbeschlusses der EU-Kommission C (2021) 3701 erfolgt. Gemeint ist damit der Mustervertrag für die Auftragsverarbeitung, nicht zu verwechseln mit den Standardvertragsklauseln im Zusammenhang mit Drittlandtransfers. Die Verwendung anderer Vertragsmuster ist zulässig, soweit einige Mindestregelungen beachtet werden.

Viele der Mindestanforderungen sind dabei gängig und üblicherweise in entsprechenden Verträgen zu finden. Auch haben Dienstleister meist weniger Schmerzen, mit diesen Regelungen zu leben. Auf diese verbreiteten, einfachen Anforderungen wird daher hier nicht weiter eingegangen, sie sind im Detail sämtlich in der Verhaltensregel nachzulesen.

Die folgenden vorgesehenen Regelungen bereiten jedoch erfahrungsgemäß Probleme und sollen daher herausgehoben werden:

  • Der Auftraggeber muss das Recht haben, Überprüfungen durchzuführen und der Auftragnehmer muss diese Überprüfungen im erforderlichen Umfang unterstützen. Viele Verträge, auch solche sehr namhafter Anbieter, sehen ein echtes eigenes Prüfungsrecht für Verantwortliche aber schlichtweg nicht vor.
  • Arbeiten außerhalb der Geschäftsräume bzw. Betriebsstätte sind nur zulässig, soweit sie der Auftraggeber genehmigt. An allen entsprechenden Orten müssen uneingeschränkt Kontrollen auch für den Auftraggeber und die Aufsichtsbehörden möglich sein.
  • Unterbeauftragung
    • Unterauftragsverarbeiter müssen ausnahmslos dieselben Verpflichtungen gegenüber dem Auftraggeber haben, wie der Auftragnehmer selbst. Insbesondere muss auch bei Subunternehmen eine eigene Kontrolle des Auftraggebers möglich sein.
    • Die Angaben zu Unterauftragsverarbeitern und Unterunterauftragsverarbeitern müssen konkret und sehr detailliert sein (Kapitel 4.1).
    • Der Auftraggeber muss die Möglichkeit haben, Veränderungen beim Einsatz von Unterauftragsverarbeitern in einer angemessenen Frist (14 bis 30 Tage) zu widersprechen (Kapitel 4.2).
    • Ungeachtet der eigenen Kontrollrechte des Auftraggebers kontrolliert der Auftragsverarbeiter die Unterauftragsverarbeiter regelmäßig und dokumentiert (Kapitel 4.3).
  • Der Auftragsverarbeiter muss einen Prozess zur regelmäßigen Eigenkontrolle einführen und umsetzen und dem Auftraggeber auf Anforderung berichten. Dieser Prozess fehlt noch sehr oft. Und Achtung: Ziel der Kontrolle ist hier nur die Einhaltung der Weisungen des Auftraggebers; also wohl gemerkt nicht die Umsetzung der technischen und organisatorischen Maßnahmen entsprechend Art. 32 Abs. 1 d) DSGVO.

Diese Regelungen sind alle wichtig und richtig. Sie entsprechen auch dem, was Aufsichtsbehörden erwarten und prüfen.

Probleme bei der Umsetzung

In der täglichen Praxis zeigt sich aber, dass sehr viele Dienstleister mit den genannten Punkten größere Probleme haben.

Insbesondere wenn es darum geht, alle Unterauftragsverarbeiter wie vorgesehen zu verpflichten oder aber die Kontrollrechte des Auftraggebers im Home-Office von Beschäftigten sicherzustellen, wird es dünn. Gerade den letztgenannten Aspekt umschiffen doch immer noch sehr viele Dienstleister dadurch, dass er erst gar nicht angesprochen wird, wo sie zumeist intern schon gar nicht die Vorbedingungen geschaffen haben und den Arbeitnehmer noch nicht einmal selbst kontrollieren dürften.

Auch mit der vorgesehenen detaillierten Information über Subauftragnehmer und Subsubauftragnehmer tun sich erfahrungsgemäß viele Dienstleister noch genauso schwer, wie mit der eigenen Kontrolle von eingesetzten Unterauftragnehmern – erst recht mit einer Kontrolle, die es verdient, als solche bezeichnet zu werden.

Der Umstand, dass Dienstleister und deren Subdienstleister meist nicht in einer abgeschotteten linearen Lieferkette arbeiten, sondern auch andere Auftraggeber über sich haben, macht es zudem völlig nachvollziehbar schwierig, exakt gleiche Leistungsversprechen in allen Verträgen zu machen. Man kann insbesondere im technischen Bereich nicht dem Kunden A etwas versprechen, was Kunde B anders haben will. Und auch im organisatorischen Bereich wird es für den Dienstleister irgendwann nicht mehr praktikabel sein, zig Extrawürste braten zu müssen. Dienstleister müssen Ihre Leistungen zumindest einigermaßen standardisieren, um wirtschaftlich arbeiten zu können. Je verzweigter die Lieferkette also ist, desto schwieriger wird es werden, hier tatsächlich die geforderte Übereinstimmung zu erreichen. Das ist alles sicher nicht unmöglich, erfordert aber oft spürbare Anstrengungen.

Was bringt die Verhaltensregel?

So weit, so gut. Auftragsverarbeiter, die sich der Verhaltensregel unterwerfen und dies dann schwarz auf weiß nachweisen können, haben sicherlich einen nicht unerheblichen Vorteil gegenüber anderen Anbietern. Vor allem die Gewähr, dass zentral wichtige Regelungen im Vertrag enthalten sind und auch umgesetzt werden, dürfte für viele Verantwortliche wichtig und beruhigend sein.

Aus unserer Sicht beschränkt sich die Verhaltensregel und dementsprechend auch das Zertifikat allerdings auf Umstände, die in der Praxis zwar längst nicht immer richtig umgesetzt werden, die aber im Grunde weder sonderlich schwierig noch wirklich streitig sind und die sich meist mit überschaubarem Aufwand lösen lassen.

Der große Knackpunkt aber, die technischen und organisatorischen Maßnahmen (TOM), bleibt jedoch außen vor und so gesehen kratzen Verhaltensregel und Zertifikat leider nur an der Oberfläche. Worüber sich der gesamte Markt freuen würde, wäre Brief und Siegel über die korrekte Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Vor allem aber zu den technischen Maßnahmen fehlen in der Verhaltensregel der Inhalt und dem Zertifikat die Aussage.

Die allergrößten und oft entnervenden Probleme für verantwortliche Auftraggeber bleiben diesen komplett erhalten:

  • Wie bekomme ich meinen Dienstleister dazu, zum Auftrag passende technische und organisatorische Maßnahmen zuzusagen, und diese so auch zu beschreiben, dass sie als Maßstab für eine Bewertung und Kontrolle taugen?
  • Und wer nimmt mir die Beurteilung und Kontrolle dann verlässlich ab?

Die Gesamtverantwortung bleibt schließlich immer beim Auftraggeber. Dieser muss als datenschutzrechtlich Verantwortlicher sicherstellen, dass vor allem auch Kontrollen dem Risiko angemessen regelmäßig erfolgen. In diesem Zusammenhang ist wichtig zu wissen, dass die Verhaltensregel eine durchgehende Kontrolle aller Zertifikatsinhaber oder eine einem bestimmten Risiko angemessene Häufigkeit von Kontrollen gar nicht vorsieht (Kapitel 5.3.1).

Vielmehr sind künftig zwei Mal pro Jahr Kontrollen bei nur 5% der zufällig ausgewählten Zertifikatsinhaber vorgesehen. Zweimal pro Jahr werden von 100 Unternehmen fünf geprüft, im Ergebnis also 90 nicht! Falls der Zufall hierbei überhaupt dasselbe Unternehmen mehrfach trifft, erfolgt eine erneute Kontrolle erst nach 2 Jahren. Nach Verhaltensregel kann der Abstand zwischen Kontrollen im Ernstfall sogar sieben Jahre betragen, erst dann ist eine Wiederholung zwingend.

Auftraggeber sollten daher bei Ihrem zertifizierten Dienstleister anklopfen und zumindest erfragen, wann er tatsächlich das letzte Mal kontrolliert wurde. Und um es Auftraggebern ganz unmissverständlich zu sagen: Die Hauptaufgabe, den Dienstleister dort zu kontrollieren, wo es wichtig, kompliziert und aufwändig ist (TOM), bleibt Ihnen!

Auch aus Sicht des Auftragsverarbeiters wird die Hauptlast im Zusammenhang mit Kontrollen nicht beseitigt. Er wird ggf. nach wie vor mit unkoordinierten und zufällig über das Jahr verteilten Kontrollen durch die diversen Auftraggeber konfrontiert sein und im schlimmsten Fall alle paar Wochen Besuch von mehr oder weniger motivierten und qualifizierten Prüfern erhalten oder zumindest immer wieder irgendwelche Fragebögen ausfüllen müssen, die vielleicht sogar etwas mit dem ihm erteilten Auftrag und den tatsächlich gemachten Zusagen zu tun haben. Dienstleister müssen sich also weiterhin überlegen, wie sie mit dem Kontrolldruck umgehen wollen und andere Wege finden, ihre Auftraggeber möglichst einheitlich koordiniert glücklich zu machen und aktive Kontrollen so nach Möglichkeit zu vermeiden.

Fazit

In der Gesamtbetrachtung gehen Verhaltensregelung und Zertifikat in die richtige Richtung, aber der Weg wird eben nicht zu Ende beschritten. Ob sich die doch nicht ganz unerhebliche Investition für Erwerb und Aufrechterhaltung des Zertifikats über die Einhaltung der Verhaltensregel für Auftragsverarbeiter lohnt, sollte gut durchgerechnet werden. Immerhin geht es um fast 5.000 Euro im ersten Jahr und dann laufend 2.440 Euro jährlich.

Wir werden allerdings alle damit rechnen müssen, dass auch dieses Zertifikat – wie viele andere Siegel und Papiere auch – oft als Bluff ausreichen wird. Ob und wie viele Verantwortliche merken, dass ihre Pflichten damit nicht annähernd erledigt sind, muss sich noch zeigen.

Eventuell ist der praktische Nutzen des Zertifikats daher aber zumindest aktuell doch höher, als hier angenommen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Comments

  1. Niels Lepperhoff (DSZ Datenschutz Zertifizierungsgesellschaft mbH) Profile Picture
    Niels Lepperhoff (DSZ Datenschutz Zertifizierungsgesellschaft mbH)

    Sehr geehrter Herr Plankemann,

    es freut mich, dass Sie sich der Verhaltensregel Trusted Data Processor an dieser Stelle gewidmet haben. Die angesprochenen Probleme bei der Auswahl, Vorlage eines mit Art. 28 DS-GVO konformen Vertrags sowie der weiteren Schnittstellen zwischen Auftraggeber und Auftragsverarbeiter waren die Motivation, mit einer Trusted Data Processor Unternehmen ein standardisiertes Vorgehen und mehr Rechtssicherheit an die Hand zu geben. Durch die Standardisierung wird gerade vermieden, dass für jeden Auftraggeber “Extrawürste” zu braten sind. Bspw. reicht ein Überwachungsbericht für alle Auftraggeber aus. Auftragsverarbeiter erhalten damit Argumente, überschießende Anforderungen von Auftraggebern zurückzuweisen. Ein solches Hilfsmittel hat bisher gefehlt. Deshalb ist es nicht nachvollziehbar, warum Sie hier ein Umsetzungsproblem sehen.

    Trusted Data Processor erhebt nicht den Anspruch, alle Fragen und Reibungen zwischen Auftraggeber und Auftragsverarbeiter zu löschen, sondern konzentriert sich auf die Felder, die branchenübergreifend und für alle Arten von Verarbeitungen geregelt werden können. Sicherheitsanforderungen nach Art. 32 DS-GVO sind ein Beispiel für Maßnahmen, die abhängig von der konkreten Verarbeitung sind.

    Als Verhaltensregel nach Art. 40 DS-GVO handelt es sich bei Trusted Data Processor NICHT um eine Zertifizierung. Eine Verhaltensregel konkretisiert die DS-GVO und schafft damit Rechtssicherheit in der Auslegung. Die DS-GVO knüpft an die Selbstverpflichtung auf eine Verhaltensregel verschiedene Vorteile, inkl. einen Bonus bei der Bußgeldberechnung. Deshalb ist eine Verhaltensregel kein “Bluff”, sondern ein durch die DS-GVO eingeführtes und mit Vorteilen behaftetes Instrument. Die Selbstverpflichtung ist das konstituierende Element, d.h. die bloße Befolgung hat keine rechtlichen Wirkung. Erst durch die Abgabe der Selbstverpflichtung gegenüber der DSZ bekommt ein Unternehmen in den Genuss diese Vorteile.

    Eine Verhaltensregel darf Verstöße bspw. durch Einschränkungen des Kontrollrechtes (Art. 28 Abs. 3 lit. h) DS-GVO) nicht akzeptieren. Eine Verhaltensregel darf auch keine über die Vorgaben der DS-GVO hinausgehenden Anforderungen aufstellen. Wenn Anforderungen aus der DS-GVO als unpraktikabel wahrgenommen werden, ist es also kein Nachteil oder Mangel der Verhaltensregel, sondern eine Kritik an der gesetzlichen Regelung. Ich hätte mir hier eine differenziertere Darstellung gewünscht.

    Die DSZ ist akkreditierte Überwachungsstelle nach Art. 41 DS-GVO. Damit muss die DSZ in ihren Abläufen den gesetzlichen und aufsichtsbehördlichen Vorgaben folgen. Die GDD e.V. ist übrigens neben dem BvD e.V. Eigentümer der DSZ.

    Die Behauptung “In diesem Zusammenhang ist wichtig zu wissen, dass die Verhaltensregel eine durchgehende Kontrolle aller Zertifikatsinhaber … gar nicht vorsieht (Kapitel 5.3.1).” ist unzutreffend. Eine Verhaltensregel funktioniert bei den Kontrollen anders als eine Zertifizierung. Durch die Selbstverpflichtung besteht eine sanktionierbare zivilrechtliche Verpflichtung die Verhaltensregel durchgängig einzuhalten. Die Einhaltung der Verpflichtung wird einmal durch die Beschwerdemöglichkeit, die Jedermann offen steht, und durch die anlasslosen, zufälligen Kontrollen überwacht. Der Zufall sorgt zudem für einen gewissen zusätzlichen Überwachungsdruck. Einen solchen Mechanismus gibt es bei Zertifikaten nicht.

    Ich würde mich freuen, wenn die unzutreffenden Aussagen zeitnah korrigiert würden.

    Mit freundlichen Grüßen,

    Niels Lepperhoff (Geschäftsführer der DSZ Datenschutz Zertifizierungsgesellschaft mbH)

    1. Michael Plankemann Profile Picture
      Michael Plankemann

      Sehr geehrter Herr Lepperhoff,
      vielen Dank für Ihren Kommentar.

      Den Hinweis auf weitere Eigentümer habe ich gern aufgenommen und den Artikel entsprechend angepasst. Andere Änderungen möchte ich nicht vornehmen.

      Die thematisierten Umsetzungsprobleme bestehen. Nicht wenige Auftragsverarbeiter werden sich mit einem Vertrag, der die Anfoderungen der Verhaltensregel erfüllt, schwer tun. Dass diese Anforderungen völlig richtig sind, habe ich dargestellt. Dementsprechend ist es auch schön, wenn es einen Mechanismus gibt, mit dem eine tatsächlich passende Vertragsgestaltung bestätigt und nachgewiesen werden kann.

      Dass sich die Verhaltensregel auf Punkte beschränkt, die von Fall zu Fall übertragbar sind, ist der Hauptgrund für die kritische Betrachtung. Es werden eher Fragen beantwortet, die sich in aller Regel leichter lösen lassen. Die Probleme aber, bei denen es in der Praxis typischerweise schwierig, aufwändig und streitig wird, bleiben außen vor und allen Beteiligten erhalten.

      “Bluff” bezieht sich nicht auf die Verhaltensregel, sondern auf den leider sehr vorhersehbaren Umstand, dass Bescheinigungen jeglicher Art oft als deutlich mehr dargestellt werden, als in Wahrheit dahinter steckt. Das ist bei reichlich vielen Auftragsverarbeitern so und nicht wenige Verantwortliche fallen darauf herein. Das ist der gemeinte Bluff: Es wird dem Verantwortlichen umfassende Konformität vorgegaukelt.

      Zum Kontrollrecht ist im Artikel nichts anderes ausgesagt, als dass Beschneidungen nicht zulässig sind, aber praktisch dennoch oft vorkommen und sehr häufig durchgedrückt werden. Auch hier ist es schön, wenn Konformität nachweisbar wird. Die gesetzliche Regelung soll in diesem Zusammenhang in keiner Weise kritisiert werden.

      Ihr Einwand, dass eine Selbstverpflichtung zivilrechtlich durchsetzbar ist, hilft nicht weiter. Nichts anderes gilt bereits für den Vertrag zur Auftragsverarbeitung und dennoch ist eine regelmäßige Kontrolle gefordert – und erfahrungsgemäß oft dringend notwendig. Wie im Artikel dargestellt, erfolgen Kontrollen im Rahmen der Verhaltensregel aber nicht mit der Häufigkeit, die von einem Verantwortlichen erwartet wird und es besteht auch kein relevanter Überwachungsdruck. Bei echten Zertifikaten, etwa nach ISO 27001 oder 9001, kommt der Auditor jährlich bei jedem Inhaber vorbei; die früher teilweise möglichen Verbandszertifizierungen gibt es aus gutem Grund nicht mehr. Und zuletzt: Dass eine “Selbstverpflichtung” nicht zwingend bedeutet, dass sich alle Stellen, die sich unterworfen haben, auch tatsächlich an die Regeln halten, war ein Nagel im Sarg von Safe Harbor.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.