§ 7 Sicherungsmechanismen z... / I. Verhaltensregeln – Code of Conduct

I. Allgemeines

 

Rz. 170

Ein weiterer "Sicherungsmechanismus", der zu Einhaltung eines möglichst hohen Datenschutzniveaus beitragen kann, ist die Einhaltung von Verhaltensregeln (Code of Conduct), die von Verbänden oder anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, für die Verarbeitung personenbezogener Daten in bestimmten Wirtschaftszweigen erarbeitet werden können.

 

Rz. 171

Die Grundidee, die Wirtschaft dazu zu ermutigen, Verhaltensregeln auszuarbeiten, um unter Berücksichtigung der Besonderheiten der Verarbeitung in bestimmten Bereichen die Einhaltung des Datenschutzrechts zu fördern, ist nicht neu, sondern findet sich bereits in Art. 27 der Datenschutzrichtlinie ebenso wie in § 38a BDSG. Die Ausprägung der dortigen Ausgestaltungen ist nicht sonderlich detailliert. Sicherlich kann auch dies ein Grund dafür sein, dass das Konzept der Umsetzung genehmigter Verhaltensregeln unter Geltung des bisherigen Datenschutzrechts keine wesentliche Bedeutung erfahren hat und nur vereinzelt ausgearbeitet wurden.

 

Rz. 172

Mit Wirksamwerden der DSGVO können Verhaltensregeln eine neuen Schub und mehr Bedeutung erlangen. So normiert Art. 24 Abs. 2 DSGVO allgemein, dass die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO als Gesichtspunkt herangezogen werden kann, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen und damit der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen. Gem. Art. 28 Abs. 5 DSGVO kann die Einhaltung genehmigter Verhaltensregeln durch einen Auftragsverarbeiter als Faktor herangezogen werden, um hinreichende Garantien im Sinne des Art. 28 Abs. 1 und 4 DSGVO nachzuweisen. Diese Funktion können genehmigte Verhaltensregeln gem. Art. 32 Abs. 3 DSGVO auch im Hinblick auf den Nachweis der Erfüllung der in Art. 32 Abs. 1 DSGVO genannten Anforderungen einnehmen. Bedeutung sollen sie auch im Rahmen der Datenschutz-Folgenabschätzung erhalten (Art. 35 Abs. 8 DSGVO). Im Konzept der DSGVO stellen genehmigte Verhaltensregeln ein wichtiges Instrument zur Erfüllung der dem Verantwortlichen und dem Auftragsverarbeiter obliegenden Nachweis- und Dokumentationspflichten dar und dienen darüber hinaus dem in der DSGVO normierten Selbstregulierungs- und Transparenzgedanken. Interessenverbände und -vereinigungen tun daher gut daran, sich bereits frühzeitig mit dem Themenkomplex der Verhaltensregeln zu befassen und so im Interesse ihrer Mitglieder für eine "Vereinfachung" in der Umsetzung der DSGVO-Vorgaben zu sorgen.

II. Anforderungen an Verhaltensregeln

1. Ausarbeitungsberechtigung

 

Rz. 173

Verhaltensregeln nach Art. 40 DSGVO können gem. Art. 40 Abs. 2 DSGVO von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, erarbeitet und zur Genehmigung vorgelegt werden. Hierzu gehören neben klassischen Berufsverbänden auch die öffentlich-rechtlich organisierten berufsständischen Kammern. Einzelne Unternehmen können keine Verhaltensregeln unterbreiten.

2. Mögliche Inhalte

 

Rz. 174

Art. 40 Abs. 2 DSGVO beschreibt (abschließend) die möglichen Regelungsgenstände genehmigter Verhaltensregeln, wobei die benannten Gesichtspunkte nicht zwingend vollumfänglich Gegenstand entsprechender Regelungen sein müssen. Verbände können sich – je nach den Bedürfnissen der Branche – auch auf einzelne Regelungsgesichtspunkte beschränken, was dort Sinn macht, wo aus der Branchenkenntnis heraus selbst innerhalb eines bestimmten Wirtschaftszweigs keine Homogenität in Bezug auf bestimmte Regelungsbereiche besteht. Derartige Situationen können dort auftreten, wo Verhaltensregeln europaweit Geltung beanspruchen sollen und die Verarbeitungssituationen und –möglichkeiten der jeweiligen Verantwortlichen naturgemäß durch zahlreiche nationale (Sonder-)Gesetze und Traditionen geprägt sein können. Auch dort, wo der nationale Gesetzgeber von der Befugnis zur Nutzung von Öffnungsklauseln Gebrauch macht und die Regelungsvorgaben der DSGVO verschärft hat, können sich Probleme im Rahmen einer umfassenden Umsetzung stellen. Insbesondere wird zukünftig die Frage zu beantworten sein, in welchem Verhältnis europaweit geltende Verhaltensregeln zu nationalen Verschärfungsmaßnahmen auf Grundlage von Öffnungsklauseln stehen.

 

Rz. 175

Verhaltensregeln im Sinne des Art. 40 DSGVO dienen insgesamt der Präzisierung der gesetzlichen Vorgaben innerhalb der DSGVO. Insbesondere können hierüber die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt und konkretisiert werden. Den Mindeststandard bilden dabei die Bestimmungen der DSGVO, die über Verhaltensregeln nicht herabgesetzt, wohl aber verschärft werden können. Verhaltensregeln dürfen sich nicht in einer bloßen Wiedergabe des jeweiligen Gesetzestextes erschöpfen, sondern müssen "ausreichende Qualität und Kohärenz aufweisen, genügenden zusätzlichen Nutzen" für die Konkretisierung der Vorgaben des Datenschutzrechts liefern, "ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet" sein, für die sie gelten sollen, und für die behandel...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Deutsches Anwalt Office Premium 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge