DSGVO-Zertifizierung und -Verhaltensregeln DSGVO-Zertifizierung und -Verhaltensregeln DSGVO-Zertifizierung und -Verhaltensregeln

Director, KPMG in Luxemburg   >> Zum Kontaktprofil

 In der Datenschutzgrundverordnung (DSGVO) teilen sich genehmigte Zertifizierungsverfahren und genehmigte Verhaltensregeln (Codes of Conduct) einen Abschnitt. Auch an anderer Stelle werden sie als Nachweis für bestimmte DSGVO-Vorgaben häufig in einem Atemzug genannt. Dabei unterscheiden sich beide Instrumente erheblich. Im Folgenden stellen wir beide vor und klären, ob es sinnvoll ist, sie alternativ oder doch komplementär anzuwenden.

Zunächst schauen wir uns die Genehmigten Verhaltensregeln (Art. 40 DSGVO) an. Sie dienen als freiwilliges Mittel der Selbstregulierung und können von Verbänden und sonstigen Vereinigungen ausgearbeitet werden, um Auslegung und Anwendung der DSGVO für bestimmte Bereiche zu präzisieren. Dabei können diese Verhaltensregeln sowohl für Verantwortliche als auch für Auftragsverarbeiter gelten. Ein Beispiel für reine Auftragsverarbeiter-Verhaltensregeln ist etwa der EU Cloud Code of Conduct. 

Mitgliedsstaaten, Aufsichtsbehörden sowie der Europäische Datenschutzausschuss (EDSA) und die EU-Kommission sollen Verhaltensregeln ausdrücklich fördern und Verbände ermutigen, solche auszuarbeiten - ähnlich wie auch bei Zertifizierungsverfahren. Als Anreiz winken für die Anwender von Verhaltensregeln einige ausdrücklich im Gesetz erwähnte Vorteile:

• Nachweis hinreichender Garantien durch Auftragsverarbeiter 
• Nachweis eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen von Verantwortlichen und Auftragsverarbeitern 
• Risikomindernde Berücksichtigung bei der Durchführung von Datenschutzfolgenabschätzungen 
• Geeignete Garantien für Drittstaatentransfers zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Empfängers 
• Mildernde Berücksichtigung bei der Verhängung von Geldbußen 

Die Verhaltensregeln müssen einen Mechanismus enthalten, der ihre Einhaltung sicherstellt. Eine entsprechend installierte Überwachungsstelle muss die notwendige Unabhängigkeit und das Fachwissen nachgewiesen haben und durch die zuständige Aufsichtsbehörde akkreditiert sein. Hierbei kann es sich auch um eine (verbands-) interne Stelle handeln. Für den EU Cloud Code of Conduct ist dies beispielsweise die belgische SCOPE Europe b.v.b.a, eine Tochter des Selbstregulierung Informationswirtschaft e.V.. 

Die Details zum Überwachungsverfahren sind in den jeweiligen Verhaltensregeln zu definieren. Im Vergleich mit Zertifizierungsverfahren bleibt hier jedoch ein weiter Ausgestaltungsraum.  

Damit die Verhaltensregeln Rechtswirkung entfalten und die oben genannten Vorteile eintreten, müssen sie durch die zuständige Aufsichtsbehörde genehmigt werden. Sind die Verhaltensregeln auf den nationalen Raum beschränkt, werden sie nur von dieser Aufsichtsbehörde in ein Register aufgenommen und veröffentlicht. Betreffen sie Verarbeitungstätigkeiten in mehreren Mitgliedsstaaten, müssen sie zusätzlich dem EDSA vorgelegt werden.

Der detaillierte Blick auf Zertifizierungen bzw. Datenschutzsiegel und -prüfzeichen (Art. 42 DSGVO) zeigt: 

Sie dienen ebenfalls als freiwilliger Nachweis, dass Verantwortliche und Auftragsverarbeiter bei Verarbeitungsvorgängen die DSGVO berücksichtigen. Und auch sie sollen ausdrücklich durch die Mitgliedsstaaten, Aufsichtsbehörde sowie den EDSA gefördert werden.

Dabei müssen zu zertifizierenden Verarbeitungsvorgänge die von der zuständigen Aufsichtsbehörde (bzw. dem EDSA) genehmigten Kriterien erfüllen. Überprüft wird dies regelmäßig durch eine akkreditierte Zertifizierungsstelle (Art. 43. DSGVO). Zu unterschieden ist hierbei zwischen einfachen Zertifizierungsverfahren mit nationalem Anwendungsbereich und dem Europäischen Datenschutzsiegel für unionsweite Zertifizierungsverfahren. Potenziell können jedoch Verantwortliche bzw. Auftragsverarbeiter jeden beliebigen Verarbeitungsvorgang zertifizieren lassen, soweit das gewählte Zertifizierungsschema dies zulässt. Auch bei Zertifizierungen winken als Anreiz die folgenden Vorteile:

• Nachweis hinreichender Garantien durch Auftragsverarbeiter 
• Nachweis eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen von Verantwortlichen und Auftragsverarbeitern 
• Geeignete Garantien für Drittstaatentransfers zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Empfängers 
• Mildernde Berücksichtigung bei der Verhängung von Geldbußen 
• Nachweis der Anforderungen von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 

Auf den ersten Blick erscheinen beide Instrumente recht ähnlich. Tatsächlich jedoch verbergen sich hier wesentliche Unterschiede, etwa die jeweiligen Vorzüge betreffend. Genehmigte Verhaltensregeln etwa bieten Vorteile bei Datenschutzfolgenabschätzungen  - im Gegensatz zu Zertifizierungsverfahren. Diese hingegen  können genutzt werden können, um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nachzuweisen. 

Auch in Bezug auf den Anwendungsbereich gibt es Differenzen: Verhaltensregeln sollen im Sinne einer nach innen gerichteten Selbstregulierung dazu beitragen, die Anwendung der DSGVO zu erleichtern. Zertifizierungen hingegen sind ein nach außen gerichtetes Mittel. Sie sollen Transparenz schaffen, indem sie belegen, dass bestimmte Verarbeitungsvorgänge mit der DSGVO übereinstimmen und über ein hohes Datenschutzniveau verfügen. 

In diese Sinne erfordern sie eine unabhängige Prüfung, ob die gegenständlichen Verarbeitungsvorgänge tatsächlich mit den Kriterien übereinstimmen. Die sehr strengen Akkreditierungsverfahren für Zertifizierungsstellen sollen hier nur am Rande erwähnt werden.

Bereits die Datenschutzrichtlinie von 1995 (DSRL) kannte das Instrument der Verhaltensregeln, allerdings existierte nur eine überschaubare Anzahl, die überdies auch noch nicht die Pflicht zur Überwachung beinhalten mussten. Diese ebenso wie das Instrument des Zertifizierungsverfahrens kamen erst mit der DSGVO hinzu. Das lässt vermuten, dass Verhaltensregeln allein vom Gesetzgeber nicht als ausreichend betrachtet wurden.

Zertifizierungen sollen überdies nicht nur die Einhaltung der DSGVO verbessern. Sie sollen auch als Wettbewerbsvorteil dienen, indem sie „den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen“. Natürlich beschränkt sich dies nicht nur auf betroffene Personen, sondern richtet sich auch an B2B-Kunden beim Vergleich potenzieller Auftragsverarbeiter. Das trifft in gewissem Maße auch auf Verhaltensregeln zu. Allerdings ist davon auszugehen, dass sich den Verhaltensregeln in der Regel die meisten Unternehmen einer Branche anschließen. Dies relativiert den Wettbewerbsvorteil. Denn wenn alle Mitbewerber den Verhaltensregeln beitreten, bilden diese kein Unterscheidungsmerkmal mehr.

Ein weiterer Vorteil von Zertifizierungen gegenüber Verhaltensregeln ist ihre relative Flexibilität. Wenn die Kriterien es zulassen, können Verantwortliche oder Auftragsverarbeiter frei wählen, welche Verarbeitungstätigkeiten zertifiziert werden sollen. Dies können zum Beispiel die risikoreichsten, die mit dem größten Datenvolumen oder die Verarbeitungstätigkeiten mit der größten Beachtung durch Kunden oder Aufsichtsbehörden sein. Verhaltensregeln sind dagegen auf die vom jeweiligen Verband bestimmten Bereiche beschränkt: Sie müssen aufgrund ihrer Natur und der intendierten Anwendbarkeit auf eine Vielzahl von Unternehmen einen gewissen Abstraktionsgrad aufweisen.

Glücklicherweise schließen sich Zertifizierungsverfahren und Verhaltensregeln gegenseitig nicht aus. So können auch Verantwortliche und Auftragsverarbeiter, die bereits Verhaltensregeln beigetreten sind, von einer Zertifizierung profitieren. Hierfür sollten sie die Verarbeitungsvorgänge, die an durch Verhaltensregeln konkretisierte Anforderungen der DSGVO ausgerichtet sind, zertifizieren lassen. Somit können sie nachweisen, dass sie sowohl die DSGVO als auch die Verhaltensregeln für diese Verarbeitungstätigkeit einhalten. Auch der EDSA unterstreicht, dass Zertifizierung und Verhaltensregeln „interoperabel“ sein sollten.

Abschließend lässt sich festhalten, dass Verhaltensregeln und Zertifizierungen komplementär angewendet werden können. Beide Instrumente bieten auch für sich allein klare Vorteile, ihre Kombination darf darüber hinaus als deutliches Zeichen für den verantwortungsvollen Umgang mit personenbezogenen Daten gewertet werden. Kurz: Verantwortliche und Auftragsverarbeiter sollten in jedem Fall über ihre jeweiligen Verbände Verhaltensregeln entwerfen, genehmigen lassen und diesen beitreten, wenn sie die Möglichkeit haben. Zudem sollten sie stets zusätzliche Zertifizierungen erwägen, um weitere Vorteile zu realisieren.

 Sie möchten sich zertifizieren lassen? Unsere Expert:innen beraten Sie gerne. Die KPMG Cert GmbH ist akkreditierte Zertifizierungsstelle für eine Vielzahl von Standards, darunter ISO 27001. Bei Interesse kontaktieren Sie uns gerne.