"Trusted Data Processor" – Einstieg in die DSGVO-Selbstregulierung
Mit dem neuen Programm sollen sich Auftraggeber und Dienstleister​ absichern können. Eine Landesbehörde gab nun den Segen.​
Ein frisch zertifizierter "Code Of Conduct" soll die Praxisanwendung der Datenschutz-Grundverordnung (DSGVO) insbesondere für kleine und mittelständische Unternehmen vereinfachen. Auf der Datenschutz-Fachkonferenz DAFTA in Köln wurden am Donnerstag die "Trusted Data Processors" vorgestellt, mit denen sich Auftragsdatenverarbeiter zertifizieren können.
Diese Verhaltensregeln sind bereits in der Datenschutzgrundverordnung vorgesehen, die Erarbeitung ist aber äußerst komplex und zeitraubend. Wie Niels Lepperhoff, Geschäftsführer der DSZ GmbH in Köln erzählte, hatte er zusammen mit dem Berufsverband der Datenschutzbeauftragten und der Gesellschaft für Datenschutz und Datensicherheit e.V. insgesamt sechs Jahre an dem Projekt gearbeitet, bevor die baden-württembergische Aufsichtsbehörde das Verfahren offiziell genehmigte. Derzeit sind auch andere Code Of Conducts in Arbeit, die unter anderem die korrekte Pseudonymisierung und Anonymisierung von Daten garantieren sollen.
Papieraufwand reduziert
Mit der nun vorgestellten Selbstverpflichtung soll der bisher notwendige Aufwand wesentlich reduziert werden, mit dem Auftraggeber sicherstellen, dass ihre Auftragnehmer die datenschutzrechtlichen Regelungen komplett erfüllen. Wie Lepperhoff erläuterte, müssten Dienstleister immer wieder Fragenkataloge von Kunden mit zum Teil mehreren hundert Fragen beantworten. Dies soll in Zukunft weitgehend wegfallen.
Anders als andere Industriestandards – wie zum Beispiel dem Transparency and Consent Framework (TCF) – wurde hier von Beginn an Wert darauf gelegt, dass die Einhaltung der Regeln regelmäßig überprüft wird. Ebendarum wurde ein eigener Verein gegründet, als Überwachungsstelle fungiert das Bonner Unternehmen DSZ. Wer gegen die Verhaltensregel verstößt, dem kann der Status als "Trusted Data Processor" wieder entzogen werden. Bußgelder können aber weiterhin nur die amtlichen Aufsichtsbehörden verhängen. Wer kein offizielles Siegel will, soll die Maßgaben auch auf dieser Webseite ohne Bezahlung finden.
Der baden-württembergische Datenschutzbeauftragte Stefan Brink erklärte zum Start: "Selbstregulierung ist eine hervorragende Möglichkeit, Datenverarbeitung maßgenau auf die Bedürfnisse von Branchen abzustimmen – die DSGVO gibt diese Möglichkeit, die wir jetzt umsetzen." Dieser Einstieg in die Selbstregulierung geht einher mit einer veränderten Aufgabenstellung der betrieblichen und behördlichen Datenschutzbeauftragten: Sie sollen künftig mehr als Datenmanager und nicht mehr als Bremser von Datenverarbeitungen fungieren.
(mack)