Verhaltensregeln nach DSGVO: Darum sind sie wichtig
Im Gegensatz zur Zertifizierung erfahren Verhaltensregeln nach DSGVO noch wenig Beachtung in der Praxis. Das sollte sich ändern: Denn über genehmigte Verhaltensregeln lassen sich branchenspezifische Datenschutzregeln etablieren.
Diese Verhaltensregeln gibt es bisher
Verhaltensregeln, auch „Codes of Conduct“ (CoC) genannt, sind allgemein ein wichtiges Instrument der Selbstregulierung der Wirtschaft. Sie müssen sich nicht zwangsläufig auf den Datenschutz und die DSGVO beziehen.
Doch während die Zertifizierung nach Artikel 42 DSGVO ausführlich in der Diskussion ist und die Aufsichtsbehörden Hoffnung machen, dass es in nicht allzu ferner Zukunft Datenschutz-Zertifikate nach DSGVO gibt, sind die Verhaltensregeln nach Artikel 40 DSGVO bislang kaum in Erscheinung getreten.
Eine Ausnahme in Deutschland bilden die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25.05.2018“ (siehe dazu auch den Beitrag „Die Speicherpraxis von Auskunfteien unter der DSGVO„). Die Regeln hat der Verband zum 1. Januar 2020 angepasst. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat diese Änderung am 11. August 2020 genehmigt.
Was Verhaltensregeln nach DSGVO leisten können
Ein wichtiger Vorteil der Verhaltensregeln aus datenschutzrechtlicher Sicht: Datenübermittlungen und Auftragsverarbeitungen lassen sich auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 DSGVO legitimieren.
Voraussetzung: Die Verhaltensregeln sind mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen. Und die zuständige Datenschutz-Aufsichtsbehörde hat sie genehmigt.
Genehmigte Verhaltensregeln können also genau wie genehmigte Zertifizierungsverfahren als Grundlage dienen, um ein angemessenes Datenschutzniveau nachzuweisen.
Allein deshalb lohnt es sich, sich mit Verhaltensregeln zu befassen.
Allgemein sollen Verhaltensregeln dazu beitragen, besondere Verarbeitungsbereiche zu regeln. Sie können also zum Beispiel aufzeigen, wie sich in einer bestimmten Branche oder mit einer bestimmten Technologie der Datenschutz nach DSGVO einhalten lässt.
Zur Rechtsnatur von Verhaltensregeln sagt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW: „Genehmigte Verhaltensregeln drücken ein gemeinsames Verständnis des Antragstellers und der genehmigenden Aufsichtsbehörde aus, wie in bestimmten Konstellationen mit personenbezogenen Daten in zulässiger Weise umgegangen werden kann.“
| Wichtig dabei ist: „Verhaltensregeln können keine neue Rechtsgrundlage für eine Datenverarbeitung begründen. Sie können aber die teilweise sehr abstrakten Regelungen der DSGVO bereichsspezifisch präzisieren und konkretisieren und so ihre Anwendbarkeit fördern.“ |
Was die DSGVO über Verhaltensregeln sagt
Maßgeblich sind die Artikel 40 und 41 der DSGVO. Die Erwägungsgründe zur DSGVO sagen zu Verhaltensregeln Folgendes:
- Die DSGVO will Verbände oder andere Vereinigungen ermutigen, in den Grenzen der DSGVO Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern.
- Den Besonderheiten der Verarbeitungen, die in bestimmten Sektoren erfolgen, und den Bedürfnissen der Kleinst- sowie der kleinen und mittleren Unternehmen ist Rechnung zu tragen.
- Insbesondere könnten die Verhaltensregeln die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmen.
- Bei der Ausarbeitung, Änderung oder Erweiterung solcher Verhaltensregeln sollten die Beteiligten die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren.
Wo Verhaltensregeln denkbar sind
Die DSGVO nennt einige Bereiche, die geeignet sind, um Verhaltensregeln zu erarbeiten. Dazu gehören:
- faire und transparente Verarbeitung
- die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen
- Erhebung personenbezogener Daten
- Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- Ausübung der Rechte betroffener Personen
- Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist
- die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten
- die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
- außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung
Offensichtlich finden sich darunter viele Datenschutz-Themen, zu denen sich Unternehmen mehr Leitlinien wünschen wie die Datensicherheit und die Datenübermittlung in Drittländer.
Wer Verhaltensregeln entwickeln sollte
Die Frage, wer aktiv werden sollte, damit das Datenschutz-Instrument der Verhaltensregeln nun großflächig zum Einsatz kommt, ist entscheidend: Gefordert sind „Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“. Das betrifft also insbesondere Branchenverbände, die für ihre Mitglieder mehr Orientierungshilfen im Datenschutz einfordern.
Der vorlegende Verband sollte genau abwägen, welche Themen genehmigten Verhaltensregeln zugänglich sind. Es bietet sich an, Themen zu wählen, die sich mit klar abgegrenzten Bereichen beschäftigen.
Vorteile von Verhaltensregeln nach DSGVO
Ein einzelnes Unternehmen wird zwar keine Verhaltensregeln nach Artikel 40 DSGVO bei der Datenschutz-Aufsicht einreichen.
Doch jeder Verantwortliche kann sich im Rahmen des eigenen Branchenverbands dafür engagieren, dass es zu geeigneten Themen (wie den Löschfristen) passende Verhaltensregeln gibt, die der Verband der Aufsicht zur Genehmigung vorlegen kann. Warum?
Der Europäische Datenschutzausschuss nennt eine Reihe von Vorteilen, etwa:
- Verhaltensregeln bieten die Möglichkeit, Regeln festzulegen, die auf praktische, transparente und potenziell kostengünstige Weise dazu beitragen, die DSGVO ordnungsgemäß anzuwenden, und die die Feinheiten eines bestimmten Sektors und/oder seiner Verarbeitungsaktivitäten berücksichtigen.
- Sie können ein wirksames Instrument sein, um das Vertrauen der betroffenen Personen zu gewinnen.
Die besten Verhaltensregeln helfen allerdings wenig, wenn die Beschäftigten sie nicht umsetzen. Deshalb sieht die DSGVO vor, die Einhaltung zu überwachen.
Verhaltensregeln, denen sich ein Unternehmen – z.B. als Mitglied eines Verbands – unterwerfen will, sollten daher Teil oder Grundlage der Datenschutz-Richtlinien sein. Außerdem sollten sie regelmäßig Thema in den Mitarbeiter-Unterweisungen sein.
Wie die Aufsichtsbehörden betonen, soll sich der Inhalt von Verhaltensregeln nicht in der bloßen Wiedergabe der DSGVO erschöpfen, sondern einen branchenspezifischen Mehrwert schaffen.
Dieser Mehrwert ist auch ein Mehrwert für interne Richtlinien und Unterweisungen.
Übersichten, Richtlinien & Checklisten
Die Datenschutzkonferenz führt ein Verzeichnis der bisher genehmigten Verhaltensregeln unter https://ogy.de/dsk-verhaltensregeln.
Der Europäische Datenschutzausschuss hat Richtlinien für Verhaltensregeln und ihre Überwachung veröffentlicht unter https://ogy.de/guidelines-coc. Darin findet sich auch eine Checkliste mit Punkten, die CoC-Kandidaten beachten sollten, bevor sie Verhaltensregeln bei der zuständigen Aufsichtsbehörde einreichen.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat ein Antragsformular zur Genehmigung von Verhaltensregeln (PDF) veröffentlicht, ebenso eine Checkliste zu den Genehmigungsvoraussetzungen (PDF).
