Verhaltenskodex und Qualitäts-Zertifizierungen im Datenschutz

Sobald du die Datenschutzprozesse in deinem Betrieb eingeführt und umgesetzt hast, musst du sie auch regelmäßig durch geeignete technische und organisatorische Maßnahmen überwachen. Denn wenn dein Unternehmen wächst oder sich verändert oder technische Neuerungen es notwendig machen, musst du sofort reagieren und deine Prozesse entsprechend optimieren. Wei können dir Verhaltenskodex und Qualitäts-Zertifizierungen dabei helfen?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

Der Verantwortliche für den Datenschutz ist in einem Unternehmen in der Regel der Geschäftsführer. Das ändert sich auch nicht durch die Bestellung eines Datenschutzbeauftragten, denn dieser muss hauptsächlich die korrekte Umsetzung der Vorschriften kontrollieren und ob die Geschäftsführung die Ziele durch geeignete Konzepte und Strategien verfolgt.

Doch wie kommen der Geschäftsführer und der Datenschutzbeauftragte ihrer Verpflichtung richtig nach?

Die wichtigsten Vorschriften dazu in der DSGVO

Die DSGVO liefert dir dafür einige Anhaltspunkte. Zum einen beschreibt sie in Artikel 24 die genaue Verantwortung und verweisen dort konkret auf Artikel 40 und Artikel 42. Schauen wir uns diese Vorschriften nun genauer an, um herauszufinden, was das für dich konkret bedeutet.

Artikel 24 DSGVO – Die Verantwortung des für die Verarbeitung Verantwortlichen

Hier erklärt der Gesetzgeber, dass der Verantwortliche durch eine Risikoabwägung und geeignete technische und organisatorische Maßnahmen sicherstellen muss, dass die Verarbeitung DSGVO-konform erfolgt. Dafür wird außerdem ein Nachweis gefordert. Als Nachweis dient die Einhaltung der vorgeschriebenen Verhaltensregeln nach Artikel 40 sowie das genehmigte Zertifizierungsverfahren nach Artikel 42.

Genaue Maßnahmen werden nicht genannt, aber du findest einige weitere Hinweise in den zugehörigen sogenannten Erwägungsgründen, in denen es hauptsächlich um die Risikobewertung geht (Erwägungsgründe 74 bis 77).

Artikel 40 DSGVO – Verhaltensregeln

Hier sind 11 Punkte ausformuliert, die dir erklären, welche Verhaltensregeln durch die Mitgliedsstaaten im Einzelnen näher ausgearbeitet werden sollen. Diese sind unter Nr. 2 aufgeführt und lauten:

  1. faire und transparente Verarbeitung;
  2. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
  3. Erhebung personenbezogener Daten;
  4. Pseudonymisierung personenbezogener Daten;
  5. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
  6. Ausübung der Rechte betroffener Personen;
  7. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
  8. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
  9. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
  10. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
  11. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikel 77 und 79.

Diese Regeln sind wichtig, weil sie dabei helfen, die Nachweispflicht, die in Artikel 24 und 32 vorgeschrieben sind, zu erfüllen. Die Regeln sind außerdem im Rahmen der Datenschutz-Folgenabschätzung nach Artikel 35 wichtig. 

Wer darf diese Regeln festlegen?

Diese Verhaltensregeln werden auch „Code of Conduct“ oder „Datenschutzkodex“ genannt. Sie werden gemäß Artikel 40 von „Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten“ ausgearbeitet, beispielsweise von Berufsverbänden wie der Ärzte- oder Rechtsanwaltskammer, aber auch von der IHK oder Gewerkschaften sowie Arbeitgeberverbänden.

Die ausgearbeiteten Regelungen müssen von den Verbänden erst noch nach Artikel 55 DSGVO der zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vorgelegt werden. Nationale Regeln kann die Behörde selbst genehmigen und veröffentlichen. Bei internationalen Regeln kommt das Kohärenzverfahren nach Artikel 63 DSGVO zum Tragen und die EU-Kommission muss sie für gültig erklären.

Wer überwacht die Einhaltung der Regeln?

Die Überwachung ist in Artikel 41 geregelt. Dort ist festgelegt, dass nicht nur die zuständige Aufsichtsbehörde (nach Artikel 57 und 58), sondern auch eine sogenannte „akkreditierte Stelle“ die Einhaltung kontrolliert. Sie überprüft regelmäßig die Einhaltung und informiert bei Verstößen die Aufsichtsbehörde.

Artikel 42 – DSGVO Zertifizierung

In diesem Artikel wird festgelegt, dass die Mitgliedstaaten und Aufsichtsbehörden ein spezifisches Zertifizierungsverfahren benötigen, das mithilfe von Datenschutzsiegeln und Datenschutzprüfzeichen dabei hilft, nachzuweisen, dass die DSGVO auch wirklich eingehalten wird. Im Erwägungsgrund 100 wird zusätzlich erwähnt, dass diese Siegel und Prüfzeichen dabei helfen sollen, „den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“

Dazu kommt, dass die Zertifizierung freiwillig und über ein transparentes Verfahren zugänglich sein muss. Nur weil du zertifiziert bist, bedeutet das nicht, dass du als Verantwortlicher nun weniger auf die Einhaltung achten musst, die Zertifizierung mindert nicht deine Verantwortung und nicht die Befugnisse der Aufsichtsbehörde.

Die Zertifizierung wird nach den Vorschriften von Artikel 43, 58 oder 63 durch die Aufsichtsbehörden oder die Zertifizierungsstellen vorgenommen. Dafür muss der Verantwortliche der Zertifizierungsstelle alle dafür notwendigen Informationen zur Verfügung stellen. Die Zertifizierung wird nur auf drei Jahre befristet erteilt und kann dann verlängert werden, wenn nach einer erneuten Prüfung festgestellt wird, dass die notwendigen Kriterien immer noch erfüllt sind. Andernfalls kann die Zertifizierung auch widerrufen werden.

Artikel 43 DSGVO Zertifizierungsstellen

In diesem Artikel ist festgelegt, welche Stellen als Zertifizierungsstellen akkreditiert werden können. Sie müssen vor allem:

  • unabhängig sein,
  • der Aufsichtsbehörde ein spezielles Fachwissen auf diesem Gebiet nachweisen können,
  • sich verpflichten, die Kriterien nach Artikel 42, 55, 56 und 63 einzuhalten
  • die notwendigen Verfahren für die Erteilung, regelmäßige Überprüfung und den Widerruf der Zertifizierung und der Siegel und Prüfzeichen festgelegt haben,
  • Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden bezüglich der Zertifizierung überprüfen können
  • und der Aufsichtsbehörde nachgewiesen haben, dass die Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Was tun, wenn du nicht weiterweißt?

Die Fülle von Informationen und Vorschriften, die hier zu beachten sind, das richtige Verhalten und die Vorbereitung und Durchführung von Zertifizierungen können wirklich schwierig sein. Da kann man schnell den Überblick verlieren. Weil von einer erfolgreichen Zertifizierung aber sehr viel für dich abhängt, ist es gut, wenn du dich damit an jemanden wendest, der sich damit auskennt. Da die Einführung der DSGVO noch nicht lange zurückliegt, wirst du vielleicht sogar jetzt erst mit der ersten Zertifizierung konfrontiert?  Kein Grund zur Beunruhigung.

Denn wir von WBTrade-IT können dir helfen. Als Dienstleistungsunternehmen mit langjähriger Erfahrung kennen wir uns bestens mit den verschiedensten Zertifizierungen und Prozessen aus. Gerne unterstützen wir dich mit unserem freundlichen und kompetenten Expertenteam. Wir freuen uns auf deine Nachricht.