§ 7 Sicherungsmechanismen zur Einhaltung der DSGVO / I. Allgemeines

Rz. 170

Ein weiterer "Sicherungsmechanismus", der zu Einhaltung eines möglichst hohen Datenschutzniveaus beitragen kann, ist die Einhaltung von Verhaltensregeln (Code of Conduct), die von Verbänden oder anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, für die Verarbeitung personenbezogener Daten in bestimmten Wirtschaftszweigen erarbeitet werden können.

Rz. 171

Die Grundidee, die Wirtschaft dazu zu ermutigen, Verhaltensregeln auszuarbeiten, um unter Berücksichtigung der Besonderheiten der Verarbeitung in bestimmten Bereichen die Einhaltung des Datenschutzrechts zu fördern, ist nicht neu, sondern findet sich bereits in Art. 27 der Datenschutzrichtlinie ebenso wie in § 38a BDSG. Die Ausprägung der dortigen Ausgestaltungen ist nicht sonderlich detailliert. Sicherlich kann auch dies ein Grund dafür sein, dass das Konzept der Umsetzung genehmigter Verhaltensregeln unter Geltung des bisherigen Datenschutzrechts keine wesentliche Bedeutung erfahren hat^[191] und nur vereinzelt ausgearbeitet wurden.^[192]

Rz. 172

Mit Wirksamwerden der DSGVO können Verhaltensregeln eine neuen Schub und mehr Bedeutung erlangen. So normiert Art. 24 Abs. 2 DSGVO allgemein, dass die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO als Gesichtspunkt herangezogen werden kann, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen und damit der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen. Gem. Art. 28 Abs. 5 DSGVO kann die Einhaltung genehmigter Verhaltensregeln durch einen Auftragsverarbeiter als Faktor herangezogen werden, um hinreichende Garantien im Sinne des Art. 28 Abs. 1 und 4 DSGVO nachzuweisen. Diese Funktion können genehmigte Verhaltensregeln gem. Art. 32 Abs. 3 DSGVO auch im Hinblick auf den Nachweis der Erfüllung der in Art. 32 Abs. 1 DSGVO genannten Anforderungen einnehmen. Bedeutung sollen sie auch im Rahmen der Datenschutz-Folgenabschätzung erhalten (Art. 35 Abs. 8 DSGVO). Im Konzept der DSGVO stellen genehmigte Verhaltensregeln ein wichtiges Instrument zur Erfüllung der dem Verantwortlichen und dem Auftragsverarbeiter obliegenden Nachweis- und Dokumentationspflichten dar und dienen darüber hinaus dem in der DSGVO normierten Selbstregulierungs- und Transparenzgedanken. Interessenverbände und -vereinigungen tun daher gut daran, sich bereits frühzeitig mit dem Themenkomplex der Verhaltensregeln zu befassen und so im Interesse ihrer Mitglieder für eine "Vereinfachung" in der Umsetzung der DSGVO-Vorgaben zu sorgen.^[193]

[191] In der Orientierungshilfe der Datenschutzaufsichtsbehörden für den

Umgang mit Verhaltensregeln nach § 38a BDSG des Düsseldorfer Kreises, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/Inhalt/Verhaltensregeln_nach____38a_BDSG/Verhaltensregeln_nach____38a_BDSG_.pdf heißt es (S.3): "Diese Anforderung und eine unklare Situation über die Schaffung von Rechtsverbindlichkeit mag dazu geführt haben, dass das mit viel Arbeit verbundene Aufstellen von datenschutzrechtlichen Verhaltensregeln für die Wirtschaft nicht wirklich attraktiv war."

[192] So etwa die Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft, abrufbar unter: http://www.generali-pensionskasse.de/TA_15_PK_01–14.pdf; zu Bestrebungen auf EU-Ebene siehe bspw. die Stellungnahme 4/2010 der Art. 29-Datenschutzgruppe zum europäischen Verhaltenskodex von FEDMA zur Verwendung personenbezogener Daten im Direktmarketing, abrufbar: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp174_de.pdf; zum Code of Conduct für Cloud Services auch https://ec.europa.eu/digital-single-market/en/cloud-select-industry-group-code-conduct, hierzu auch die Stellungnahme 02/2015 der Art. 29-Datenschutzgruppe vom 22.9.2015, abrufbar unter: https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2015/11/wp232_en.pdf; ebenso https://cispe.cloud/code-of-conduct/ zum CISPE Code Of Conduct.

[193] Nach Erwägungsgrund 98 sollen dabei insbesondere den "Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung" getragen werden.