Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Der dritte Teil der Standortbestimmung betreffend Datenschutz in Österreich nach dem 25. 5. 2018 ist den besonderen Mitteln gewidmet, die in der DSGVO zur Absicherung und Demonstration von Compliance mit der DSGVO vorgesehen sind:1
Zum Nachweis, dass die DSGVO bei einem konkreten Verarbeitungsvorgang eingehalten wird, soll eine Zertifizierung dieses Verarbeitungsvorgangs erfolgen können bzw ein Datenschutzsiegel oder ein Datenschutzprüfzeichen3 vergeben werden können. Ein solcher Nachweis ist nicht nur im Verhältnis von Verantwortlichen und Auftragsverarbeitern zur Datenschutzbehörde wertvoll, sondern vor allem auch gegenüber der Öffentlichkeit, um deren Vertrauen in die Rechtmäßigkeit einer Datenverarbeitung zu stärken.
1.1. Zu diesem Zweck werden Zertifizierungsstellen - in Österreich nur durch die Datenschutzbehörde4 - akkreditiert werden können, sobald die rechtlichen Voraussetzungen für die Akkreditierung vorliegen: Voraussetzung für die Akkreditierung ist die Festlegung der Kriterien5, nach welchen eine Akkreditierung erfolgt; diese Kriterien sind gem Art 57 Abs 1 lit p DSGVO von der Datenschutzbehörde festzulegen und gem § 21 Abs 3 DSG im Wege einer Verordnung von ihr kundzumachen. Eine solche Verordnung wurde noch nicht erlassen.6
Doch auch die DSGVO selbst enthält in Art 43 bereits einige Vorgaben dafür, unter welchen Voraussetzungen eine Stelle als Zertifizierungsstelle akkreditiert werden kann: Sie muss vor allem unabhängig7 und fachkundig hinsichtlich des Gegenstands der Zertifizierung sein und dies der Datenschutzbehörde nachgewiesen haben. Weiters muss der Akkreditierungswerber ein Regelwerk - unter Berücksichtigung der bereits erwähnten Kriterien, die von der Datenschutzbehörde festgelegt werden - vorlegen (den "Zertifizierungsmechanismus übertragen"), wie er den Zertifizierungsprozess abwickeln wird; dies umfasst auch ein Verfahren für die regelmäßige Überprüfung und auch die allfällige Aberkennung einer erteilten Zertifizierung, weiters den Umgang mit Beschwerden über die Durchführung von zertifizierten Verarbeitungsverfahren. Gegenstand der Akkreditierung (Genehmigung) durch die Datenschutzbehörde ist somit sowohl die Eignung des Akkreditierungswerbers als auch die Eignung der von ihm vorgelegten Zertifizierungsverfahren.
Eine Akkreditierung wird für maximal fünf Jahre erteilt, kann aber von der Datenschutzbehörde verlängert und auch widerrufen werden. Eine akkreditierte Zertifizierungsstelle ist für die angemessene Bewertung der der Zertifizierung unterworfenen Datenverarbeitungen verantwortlich.
Um den zertifizierungswilligen Verantwortlichen und Auftragsverarbeitern die Auswahl zu erleichtern und gleichzeitig die Verlässlichkeit eines Siegels oder Prüfzeichens zu erhöhen, wird der Europäische Datenschutzausschuss ein öffentliches Register aller genehmigten Zertifizierungsverfahren8 , 9 und Datenschutzsiegel und -prüfzeichen führen.
1.2. Um die Zertifizierung von Datenverarbeitungsvorgängen10 können sich Verantwortliche und Auftragsverarbeiter bemühen. Bemerkenswert ist, dass eine Zertifizierung mit rechtlicher Erheblichkeit auch von solchen Verantwortlichen und Auftragsverarbeitern angestrebt werden kann, die nicht der DSGVO unterliegen. So wäre zB die Zertifizierung der Art der Erbringung bestimmter Dienstleistungen durch einen Auftragsverarbeiter mit Sitz/Niederlassung in einem Drittland ein Weg, um das Vorliegen geeigneter Garantien beim Datenexport an diesen Auftragsverarbeiter nachzuweisen; darauf nimmt auch Art 46 Abs 2 lit f DSGVO ausdrücklich Bezug.
1.3. Inhalt der Zertifizierung ist gem Art 42 Abs 1 DSGVO die Feststellung der Übereinstimmung eines Datenverarbeitungsvorgangs mit der DSGVO. Bei dieser Abgrenzung der Bedeutung einer Zertifizierung ist es auch denkbar, dass eine Zertifizierung im ganzen EU-Bereich Geltung haben könnte, wie in Art 42 Abs 5 letzter Satz erwähnt wird. Der EDSA stellt in seiner Leitlinie 1/2018 auch erste Überlegungen für eine solche Zertifizierung an11: Aufgrund von Kriterien, die vom EDSA gem Art 63 DSGVO zu beschließen wären, könnte ein Europäisches Datenschutzsiegel geschaffen werden. Dabei müssten nach Auffassung des EDSA auch nationale sektorspezifische Datenschutzregeln mitberücksichtigt werden - wie dies mit Wirkung für mehrere oder alle Mitgliedstaaten geschehen soll, wird aus den knappen Ausführungen in Punkt 4.3 der Leitlinie allerdings nicht ganz klar; hier wird die Praxis abzuwarten sein.
Eine Zertifizierung wird nur auf Zeit - höchstens für die Dauer von drei Jahren - erteilt und kann von der Zertifizierungsstelle widerrufen werden, wenn die Voraussetzungen nicht mehr gegeben sind, oder auch verlängert werden, wenn die Voraussetzungen weiter erfüllt werden. Eine Zertifizierung darf gem Art 43 Abs 1 DSGVO von einer Zertifizierungsstelle erst "nach Unterrichtung der Aufsichtsbehörden" erteilt werden, "damit diese erforderlichenfalls von ihren Befugnissen gemäß Art. 58 Abs 2 lit. h Gebrauch machen kann", dh eine Zertifizierung in jeder Hinsicht korrigieren oder verhindern kann. Dies wirft die Frage auf, welches Verfahren nach der Unterrichtung der Aufsichtsbehörde einzuhalten ist: Muss eine bestimmte Antwortdauer abgewartet werden oder kann sofort nach der Notifizierung die Zertifizierung vorgenommen werden? Dies ist nur ein Beispiel dafür, dass hinsichtlich von Zertifizierungsverfahren noch viele Details ungeklärt sind.
Die im Rahmen der Zertifizierung getroffenen Feststellungen bezüglich eines Verarbeitungsprozesses/-verfahrens sollten in einem öffentlich zugänglichen Dokument verfügbar sein und
| - | den Gegenstand der Zertifizierung (ToE) beschreiben, |
| - | weiters die angewendeten Zertifizierungskriterien, |
| - | die Methoden der Zertifizierung und |
| - | die Gültigkeitsdauer des Zertifikates. |
1.4. Angesichts der mit einer Zertifizierung verbundenen Kosten und Mühen ist freilich auch die Frage von größtem Interesse, welche rechtlichen Auswirkungen eine Zertifizierung - neben dem erhofften Wettbewerbseffekt - für Verantwortliche und Auftragsverarbeiter entfalten wird. Art 42 Abs 3 DSGVO mindert zunächst den Reiz einer Zertifizierung beträchtlich, indem dort postuliert wird, dass die Zertifizierung keine Verminderung der Verantwortlichkeit des Zertifizierten bewirkt und dass sie "die Aufgaben und Befugnisse der Datenschutzbehörde nicht berührt". Andererseits wird an vielen Stellen der DSGVO das Vorliegen einer Zertifizierung für konkrete Verarbeitungsabläufe als Nachweis DSGVO-konformen Verhaltens anerkannt:
So kann etwa gem Art 24 Abs 3 für den Nachweis der Erfüllung der Pflichten eines Verantwortlichen auch die Einhaltung eines zertifizierten Datenverarbeitungsverfahrens ins Treffen geführt werden, die Verlässlichkeit eines Auftragsverarbeiters auch an der Einhaltung zertifizierter Vorgangsweisen bei der Erbringung seiner Dienstleistungen gemessen werden (Art 28 Abs 5) oder das Vorliegen geeigneter Garantien bei Datenempfängern in Drittländern aus der Befolgung eines zertifizierten Verfahrens abgeleitet werden (Art 46 Abs 2 lit f) etc. Insb hält aber Art 83 Abs 2 lit j DSGVO fest, dass "die Einhaltung von genehmigten Zertifizierungsverfahren" - richtiger: "die Einhaltung von zertifizierten (Datenverarbeitungs-)Verfahren"12 - von der Datenschutzbehörde als Strafbehörde gebührend zu berücksichtigen ist. Von einem (positiven) Effekt einer Zertifizierung, vor allem bei einer allfälligen Strafbemessung, ist somit auszugehen.
Die Möglichkeit, nähere Regelungen über Pflichten von Verantwortlichen und Auftragsverarbeitern in einzelnen Bereichen - insb der Wirtschaft13 - durch "Codes of Conduct", also Selbstregulierung, zu treffen und diese von einer zuständigen Behörde genehmigen zu lassen, war auch bereits in der Datenschutz-Richtlinie und dementsprechend im DSG 2000 vorgesehen, wenn auch in der Praxis wenig genutzt. Unter dem Titel "Verhaltensregeln" werden nunmehr in Art 40 und 41 DSGVO neue und eingehendere Regelungen getroffen. Die DSGVO enthält auch eine besondere Verpflichtung für die Mitgliedstaaten, die Aufsichtsbehörden, den Europäischen Datenschutzausschuss und sogar für die EU-Kommission, die Ausarbeitung von Verhaltensregeln zu fördern. Auf die Bedürfnisse von KMUs soll dabei besonders eingegangen werden.
2.1. "Verhaltensregeln" können von "Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten",14 der Datenschutzaufsichtsbehörde zur Genehmigung vorgelegt werden.
2.2. Der Zweck von Verhaltensregeln ist es, für die Anwendung der DSGVO in einem bestimmten, vom vorlegenden Verband abgedeckten Bereich (zB einer Branche, einem Gewerbe ...) ausführende und präzisierende Regeln zu schaffen, 15 insb hinsichtlich der besonderen Erfordernisse für eine "faire und transparente Verarbeitung" in diesem Bereich. Im Vordergrund steht somit die Erzeugung von mehr Rechtssicherheit durch Schaffung präziser, für das jeweilige Sachgebiet passender Regelungen.
2.3. In Anlehnung an Art 40 Abs 2 könnten als Beispiele für Fragen, in welchen bereichsspezifische Präzisierungen besonders sinnvoll sein können, genannt werden,
| - | welche berechtigten Interessen iSd Art 6 Abs 1 lit f von Verantwortlichen für einen bestimmten Verarbeitungszweck ins Treffen geführt werden könnten, |
| - | welche personenbezogenen Daten für diesen Zwecke (maximal) ermittelt werden sollten, |
| - | wann und wie sie pseudonymisiert werden sollten, |
| - | welche Mindest-Sicherheitsstandards vorzusehen wären, |
| - | wie die Rollenverteilung zwischen "(rechtmäßigem) Verantwortlichen", "Auftragsverarbeitern" und "Dritten" bei bestimmten Verarbeitungssituationen zu sehen ist, |
| - | welche Pflichten inländische Verantwortliche oder Auftragsverarbeiter im Falle von Datenexport in Drittländer den ausländischen Datenempfängern überbinden müssen und in welcher Weise dies geschehen soll etc. |
Aber auch Regelungen, die das Verhältnis der Branche zur Öffentlichkeit und insb zu den Betroffenen verbessern könnten, wie die Einrichtung von Informations-Hotlines oder von Verfahren zur außergerichtlichen Streitbeilegung, können sinnvoller Inhalt von Verhaltensregeln sein.
2.4. Ein gänzlich neues Element im Selbstregulierungs-System der Verhaltensregeln ist die in Art 41 behandelte "Überwachung" der Einhaltung der Verhaltensregeln. Die diesbezüglichen Regelungen in der DSGVO sind unklar und widersprüchlich, wenn der Zweck von Verhaltensregeln bedacht wird: Art 40 Abs 4 spricht von einer "obligatorischen Überwachung der Einhaltung der Bestimmungen" von Verhaltensregeln durch "Verantwortlichen und Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten". Genehmigte Verhaltensregeln stellen eine Interpretation der DSGVO mit (von der Aufsichtsbehörde) anerkannter Richtigkeit dar. Warum muss die Anwendung dieser speziell anerkannten Regeln eingehender "überwacht" werden als die Anwendung der DSGVO selbst? Warum muss man sich zur Anwendung der Verhaltensregeln "verpflichten" und kann sie, als Branchenzugehöriger, nicht einfach anwenden?
Eine besondere Überprüfung der Einhaltung von Verhaltensregeln schiene nur dann geboten, wenn mit der Abgabe der Verpflichtungserklärung automatisch ein Vorteil für den Erklärenden verbunden wäre. Da die Rechtswirkungen, die sich nach der DSGVO an die Einhaltung von Verhaltensregeln knüpfen (wie zB ein allfälliger Strafmilderungsgrund)16, aber kein durch eine Verpflichtungserklärung bewirkter Automatismus sein können, sondern vielmehr den Nachweis tatsächlicher Einhaltung der Verhaltensregeln im konkreten Fall voraussetzen, muss ernsthaft die Frage nach einem rationalen Grund für die "obligatorische Überwachung" gem Art 40 Abs 4 und die dort erwähnte Verpflichtungserklärung gestellt werden.
Art 40 Abs 4 rückt die Verhaltensregeln in die Nähe der Zertifizierung - auch dort gibt es die Überwachung der Einhaltung und den allfälligen Ausschluss von der weiteren Verwendung eines Siegels etc. Möglicherweise ließe sich aus dieser Erkenntnis eine harmonisierende Interpretation ableiten, die imstande ist, die gezeigten Widersprüche aufzulösen.
Es gibt nämlich eine Form der Verwendung von Verhaltensregeln, die tatsächlich nahe an ein Siegel herankommt, das ist die öffentliche Berufung darauf, dass ein Verantwortlicher oder Auftragsverarbeiter seine Verarbeitungstätigkeit konform mit Verhaltensregeln durchführt. Wenn durch eine derartige öffentliche Behauptung Vertrauen in der Öffentlichkeit geschaffen und dadurch ein Wettbewerbsvorteil erzielt werden soll, ist die Funktion der Verhaltensregeln tatsächlich mit der einer Zertifizierung oder eines Datenschutzsiegels vergleichbar. Dass auf vergleichbare
Funktionen auch vergleichbare Schutzinstrumente angewendet werden, scheint konsequent. Doch scheint auch klar, dass diese besonderen Schutzinstrumente nur dort gerechtfertigt sind, wo mithilfe von Verhaltensregeln ein Zweck verfolgt wird, der der Berufung auf ein Gütesiegel vergleichbar ist.
Daraus usfolgt, dass die bloße Einhaltung von Verhaltensregeln durch Vertreter jener Branche, für die die Verhaltensregeln genehmigt wurden, keine besondere Überwachung zur Folge haben müsste. Obligatorisch wäre die Einrichtung eines Überwachungsmechanismus nur für diejenigen, die sich öffentlich auf die Einhaltung der Verhaltensregeln als Gütesiegel berufen wollen. Wie die Verpflichtungserklärung und die Überwachung im Einzelnen vorzunehmen ist, wäre der Festlegung durch die Datenschutzbehörde im Genehmigungsverfahren anheimgestellt - sie kann die Überwachung selbst durchführen, sie "kann" hiezu aber auch eine besondere Stelle akkreditieren, wie Art 41 Abs 1 ausführt.17
Wesentlicher Schluss aus dem Vorgesagten ist jedoch auch, dass die Rechtsfolgen, die nach einzelnen Bestimmungen der DSGVO18 an die Einhaltung von genehmigten Verhaltensregeln geknüpft sind, unabhängig von einer Verpflichtungserklärung und der Unterwerfung unter eine besondere Überwachung eintreten. Sie bedürfen vielmehr des Nachweises, dass im konkreten Zusammenhang anwendbare Verhaltensregeln tatsächlich eingehalten wurden.
2.5. Art 40 eröffnet in seinen Abs 7-10 die Möglichkeit, Verhaltensregeln "allgemeine Gültigkeit in der Union" zu verleihen. Diesbezüglich muss jedoch eine gewisse Skepsis geäußert werden: Bedenkt man, dass Verhaltensregeln den Sinn haben, die Regelungen der DSGVO zu detaillieren, dann müssen diese spezifischeren Regelungen mit den nationalstaatlichen Besonderheiten im Einklang stehen, was wiederum die allgemeine Anwendbarkeit von solchen spezielleren Regeln verhindern wird. Letztlich werden nur unionsrechtliche Regelungen materienspezifisches Datenschutzrecht mit allgemeiner Gültigkeit im Bereich der Union schaffen können. Bis dahin wird man sich wohl mit Verhaltensregeln mit national begrenzter Gültigkeit begnügen müssen.
Ein vierter und letzter Teil wird sich mit Rechtsbehelfen, Haftung und Sanktionen auseinandersetzen.
Der Europäische Datenschutzausschuss (EDSA) hat zum Thema Zertifizierung Leitlinien "on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679" (1/2018) veröffentlicht (siehe https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_en).
Die Leitlinie 1/2018 versteht darunter ein Logo oder Symbol, mit dem die erfolgte Zertifizierung, die gewissen standardisierten Erfordernissen genügt, nach außen sichtbar gemacht wird.
Sie fungiert gem § 21 Abs 3 letzter Satz DSG als einzige nationale Akkreditierungsstelle iSd Art 43 Ab. 1 DSGVO.
Die Leitlinie 1/2018 des EDSA enthält in Punkt 6 ausführliche Erwägungen zur Ausgestaltung dieser Kriterien durch die Aufsichtsbehörden.
Auch der Europäischen Kommission werden durch Art 43 Abs 8 und 9 im Zusammenhang mit der Festlegung von Anforderungen für Zertifizierungsverfahren Befugnisse zur Erlassung von delegierten Rechtsakten übertragen. Derzeit gibt es noch keine derartigen Rechtsakte.
Es dürfen daher vor allem keine Weisungsunterstellungen zu Zertifizierungswerbern vorliegen. Es darf auch kein wirtschaftlicher oder sonstiger Interessenkonflikt im konkreten Zertifizierungsfall gegeben sein (Art 43 Abs 2 lit 3 DSGVO).
Wohl einschließlich der akkreditierten Zertifizierungsstellen.
Die Bezeichnung "genehmigte Zertifizierungsverfahren" oder "genehmigte Zertifizierungsmechanismen" wird in der DSGVO unscharf und teils auch missverständlich verwendet: Während dieser Ausdruck in Art 42 Abs 8 offenbar tatsächlich die im Rahmen der Akkreditierung genehmigten Verfahren zur Zertifizierung von Datenverarbeitungen/Verarbeitungsvorgängen bezeichnet, kann die Verwendung dieses Ausdrucks zB in Art 83 Abs 2 lit j nur ein Versehen sein: Strafmilderungsgrund für Verantwortliche und Auftragsverarbeiter kann nicht die "Einhaltung von (genehmigten) Zertifizierungsverfahren" sein - dies wäre Pflicht einer Zertifizierungsstelle -, sondern nur die Einhaltung von "zertifizierten Verfahren"; dasselbe gilt zB für Art 46 Abs 2 lit f, Art 28 Abs 5 oder Art 24 Abs 3 DSGVO.
Gegenstand der Zertifizierung ("target of evaluation" - ToE) nach der DSGVO sind Verarbeitungsverfahren ("processing operations") von Verantwortlichen oder Auftragsverarbeitern, so auch Leitlinie 1/2018 Seite 12.
Vgl Punkt 4.3 Leitlinie 1/2018 ("The European data protection seal").
Siehe FN 10.
Die Rechtssatzform der "Verhaltensregeln" könnte in Zukunft vor allem deshalb besondere Bedeutung erlangen, weil durch Art 6 Abs 2 DSGVO die Zulässigkeit der Schaffung von bereichsspezifischem Datenschutzrecht durch nationalstaatliche Gesetze im nicht-öffentlichen Bereich äußerst beschränkt wurde.
Das trifft auf Branchen- und Berufsverbände zu, zB aber nicht auf einen Konzern.
Vgl den Einleitungssatz zu Art 40 Abs 2. Auch hier stellt sich - wie bei der Zertifizierung - die Frage, inwiefern materienspezifisches Datenschutzrecht der einzelnen Mitgliedstaaten in die Verhaltensregeln einbezogen werden müsste. Aus der Sicht etwa der Betroffenen werden Verhaltensregeln ohne Berücksichtigung der nationalen Datenschutzregelungen nur sehr beschränkten Wert haben, da die Rechtmäßigkeit der von Verhaltensregeln erfassten und definierten Vorgangsweise nicht garantiert ist, wenn nur der Text der DSVO in Betracht gezogen wird.
Vgl Art 24 Abs 3, Art 28 Abs 5, Art 32 Abs 3, Art 46 Abs 2 lit e, Art 83 Abs 2 lit j.
Dies scheint auch aus dem auf der Webseite der Datenschutzbehörde veröffentlichten Leitfaden zur DSGVO hervorzugehen, wo zu Art 40 f DSGVO Folgendes festgehalten wird: "Die Überwachung der Einhaltung von genehmigten Verhaltensregeln obliegt der Aufsichtsbehörde; sie kann aber auch eine dafür besonders geeignete Stelle akkreditieren." Ein Kriterienkatalog für eine solche Akkreditierung steht allerdings noch aus, sodass derzeit von dieser Form der Überwachung noch kein Gebrauch gemacht werden kann.
Vgl Art 24 Abs 3, Art 28 Abs 5, Art 32 Abs 3, Art 46 Abs 2 lit e, Art 83 Abs 2 lit j.
