DSGVO: Eigene Datenschutzstandards durch Verhaltensregeln

Fachbeitrag

Die Datenschutz-Grundverordnung enthält mit den sog. Verhaltensregeln nach Art. 40 DSGVO ein möglicherweise bedeutsames Instrument der Selbstregulierung. Branchenverbände und andere Vereinigungen, die von dieser Möglichkeit Gebrauch machen, können dazu beitragen, die oft abstrakten Vorgaben der DSGVO für ihren Geschäftsbereich zu konkretisieren. Dieser Artikel ist Teil unserer Beitragsreihe zur DSGVO.

Was sind Verhaltensregeln?

Verhaltensregeln – auch „Code of Conduct“ genannt – sind verbindliche Vorgaben eines (Branchen-) Verbands oder einer anderen Vereinigung, die datenschutzrechtliche Verhaltensweisen der jeweiligen Mitglieder festlegen. In Deutschland verfügt z.B. der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) über ein solches Regelwerk.

Dieser „Datenschutzkodex“ beschreibt sehr detailliert, unter welchen Bedingungen die deutsche Versicherungsunternehmen Kundendaten oder Daten von geschädigten Dritten erfassen und verarbeiten dürfen.

Wer darf Verhaltensregeln im Sinne von Art. 40 DSGVO schaffen?

Gemäß Art. 40 Abs. 2 DSGVO dürfen „Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“ Verhaltensregeln ausarbeiten. Dabei handelt es z.B. um freiwillige Zusammenschlüsse, wie den oben erwähnten GDV, aber auch um Berufsverbände von Freiberuflern, wie Rechtsanwalts- oder Ärztekammern.

Berechtigt sind außerdem Verbände, wie Industrie- und Handels- oder Handwerkskammern sowie Gewerkschaften oder Arbeitgeberverbände.

Welchen Gegenstand haben diese Verhaltensregeln?

Der Inhalt solcher Verhaltensregeln ist durch die Datenschutz-Grundverordnung nicht abschließend vorgegeben. Art. 40 Abs. 2 DSGVO nennt jedoch verschiedene Beispiele für Bereiche, in denen Verhaltensregeln die Anforderungen der Datenschutz-Grundverordnung präzisieren können:

  • faire und transparente Verarbeitung;
  • die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
  • Erhebung personenbezogener Daten;
  • Pseudonymisierung personenbezogener Daten;
  • Unterrichtung der Öffentlichkeit und der betroffenen Personen;
  • Ausübung der Rechte betroffener Personen;
  • Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
  • die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person;
  • die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
  • außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren

Präzisieren bedeutet dabei nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (LDA), dass zwar strengere Regelungen als in der Datenschutz-Grundverordnung getroffen werden können, ein Unterschreiten des dortigen Schutzniveaus aber nicht zulässig ist.

Sind Verfahrensregeln zu beachten?

Nach Art. 40 Abs. 5 DSGVO müssen Verbände oder Vereinigungen den Entwurf der Verhaltensregeln der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vor. Handelt es sich um nationale Verhaltensregeln, kann die Behörde den Entwurf selbständig prüfen und genehmigen. Abschließend werden die Regeln in ein Verzeichnis aufgenommen und veröffentlicht.

Sollen sich die Verhaltensregeln auf internationale Verarbeitungen beziehen, wird über die Genehmigung im sog. Kohärenzverfahren nach Art. 63 DSGVO entschieden. Danach kann die EU-Kommission diese Verhaltensregeln durch einen Erlass für allgemeingültig erklären, vgl. Art. 40 Abs. 9 DSGVO.

Wer überwacht die Einhaltung von Verhaltensregeln?

Neben den Datenschutzaufsichtsbehörden sollen sog. akkreditierte Kontrollstellen die Einhaltung der genehmigten Verhaltensregeln überwachen. Dabei kann es sich auch um brancheninterne private Kontrollinstanzen handeln.

Die Überwachung richtet sich nach Art. 41 DSGVO und bedeutet eine regelmäßige Überprüfung der Verarbeitungsprozesse oder die Bearbeitung von Beschwerden. Werden dabei Verstöße gegen die Verhaltensregeln festgestellt, soll die Kontrollstelle geeignete Maßnahmen treffen und ggf. die Aufsichtsbehörde informieren.

Welche Vorteile haben genehmigte Verhaltensregeln?

Nicht zuletzt weil das Schutzniveau der Datenschutz-Grundverordnung durch genehmigte Verhaltensregeln nicht unterschritten werden darf, ist die Sinnhaftigkeit umstritten. Fakt ist jedoch, dass durch ein solches Regelwerk die abstrakten Anforderungen der Datenschutz-Grundverordnung zumindest bereichsspezifisch konkretisiert werden können. Werden branchenspezifische Standards geschaffen, dürften diese zudem auch von den Aufsichtsbehörden zu beachten sein.

Darüber hinaus können genehmigte Verhaltensregeln u.a. dazu dienen, die Nachweispflichten nach Art. 24 Abs. 3 oder Art. 32 Abs. 3 DSGVO zu erfüllen. Auch bei Abwägungen im Rahmen von Datenschutz-Folgenabschätzungen ist nach Art. 35 Abs. 8 DSGVO die Einhaltung genehmigter Verhaltensregeln zu beachten.

Ausblick

Die Datenschutz-Grundverordnung ermutigt also vielen Stellen zur Schaffung solcher Regelwerke. Auch nach bislang geltendem Recht war dies zumindest möglich, jedoch hat bislang allein der GDV von dieser Möglichkeit Gebrauch gemacht.

Wie ist Ihre Meinung zu genehmigten Verhaltensregeln? Ist die Förderung einer Selbstregulierung im Datenschutzrecht überhaupt sinnvoll und wird sie durch die Datenschutz-Grundverordnung künftig eine größere Bedeutung erlangen?

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Ich habe immer geglaubt, dass die Pflicht zum Einsatz von Datenschutzbeauftragten in den Firmen und die sich daraus ergebenen personell klein gehaltenen Aufsichtsbehörden bereits eine Selbstregulierung bedeutet. Der interne DSB hat laut Gola/Schomerus zur Zeit ja nicht die letztendliche Aufgabe Datenschutzverstöße an die Aufsichtsbehörde weiter zu melden, sofern ich da richtig informiert bin.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.