§ 7 Sicherungsmechanismen zur Einhaltung der DSGVO / II. Anforderungen an Verhaltensregeln

1. Ausarbeitungsberechtigung

Rz. 173

Verhaltensregeln nach Art. 40 DSGVO können gem. Art. 40 Abs. 2 DSGVO von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, erarbeitet und zur Genehmigung vorgelegt werden. Hierzu gehören neben klassischen Berufsverbänden auch die öffentlich-rechtlich organisierten berufsständischen Kammern. Einzelne Unternehmen können keine Verhaltensregeln unterbreiten.

2. Mögliche Inhalte

Rz. 174

Art. 40 Abs. 2 DSGVO beschreibt (abschließend) die möglichen Regelungsgenstände genehmigter Verhaltensregeln, wobei die benannten Gesichtspunkte nicht zwingend vollumfänglich Gegenstand entsprechender Regelungen sein müssen. Verbände können sich – je nach den Bedürfnissen der Branche – auch auf einzelne Regelungsgesichtspunkte beschränken, was dort Sinn macht, wo aus der Branchenkenntnis heraus selbst innerhalb eines bestimmten Wirtschaftszweigs keine Homogenität in Bezug auf bestimmte Regelungsbereiche besteht. Derartige Situationen können dort auftreten, wo Verhaltensregeln europaweit Geltung beanspruchen sollen und die Verarbeitungssituationen und –möglichkeiten der jeweiligen Verantwortlichen naturgemäß durch zahlreiche nationale (Sonder-)Gesetze und Traditionen geprägt sein können. Auch dort, wo der nationale Gesetzgeber von der Befugnis zur Nutzung von Öffnungsklauseln Gebrauch macht und die Regelungsvorgaben der DSGVO verschärft hat, können sich Probleme im Rahmen einer umfassenden Umsetzung stellen. Insbesondere wird zukünftig die Frage zu beantworten sein, in welchem Verhältnis europaweit geltende Verhaltensregeln zu nationalen Verschärfungsmaßnahmen auf Grundlage von Öffnungsklauseln stehen.

Rz. 175

Verhaltensregeln im Sinne des Art. 40 DSGVO dienen insgesamt der Präzisierung der gesetzlichen Vorgaben innerhalb der DSGVO. Insbesondere können hierüber die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt und konkretisiert werden.^[194] Den Mindeststandard bilden dabei die Bestimmungen der DSGVO, die über Verhaltensregeln nicht herabgesetzt,^[195] wohl aber verschärft werden können.^[196] Verhaltensregeln dürfen sich nicht in einer bloßen Wiedergabe des jeweiligen Gesetzestextes erschöpfen, sondern müssen "ausreichende Qualität und Kohärenz aufweisen, genügenden zusätzlichen Nutzen" für die Konkretisierung der Vorgaben des Datenschutzrechts liefern, "ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet" sein, für die sie gelten sollen, und für die behandelten Fragen und Themenkomplexe "ausreichend klare Lösungen bieten".^[197]

[194] Erwägungsgrund 98 S. 2 DSGVO.

[195] Bergt, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 40 Rn 17; Martini, NVwZ-Extra 6/2016, 1, 10.

[196] Eine Verschärfung ist nicht zwingend, sondern lediglich optional.

[197] Art. 29-Datenschutzgruppe, Stellungnahme vom 10.9.1998, WP 13, S. 4, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/1998/wp13_de.pdf.

3. Überwachung

Rz. 176

Verhaltensregeln müssen Verfahren etablieren, über die es der in Art. 41 Abs. 1 DSGVO genannten Stelle möglich wird, die Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, zu überwachen. Verhaltensregeln, deren Einhaltung keiner Kontrolle unterfallen, sind insoweit nicht nur ein "zahnloser Tiger", sondern erst gar nicht genehmigungsfähig.