F.A.Q. Verhaltensregeln (Code of Conduct) i. S. d. Art. 40 DS-GVO
Was sind "Verhaltensregeln"?
Die Datenschutz-Grundverordnung (DS-GVO) bietet mit den sog. Verhaltensregeln (oft auch "Code of Conduct" CoC genannt) nach Art. 40 DS-GVO ein Instrument der Selbstregulierung. Branchenverbände und andere Vereinigungen, die von dieser Möglichkeit Gebrauch machen, können damit die z.T. abstrakten Vorgaben der DS-GVO für ihren Geschäftsbereich konkretisieren.
Warum sollte man Verhaltensregeln nutzen?
Verhaltensregeln konkretisieren bereichsspezifisch (z. B. für die ambulante oder stationäre Versorgung) die abstrakten Vorgaben. Anerkannte branchenspezifische Standards müssen von den Datenschutz-Aufsichtsbehörden beachtet werden.
Verhaltensregeln können u.a. dazu dienen, verschiedene Nachweispflichten der DS-GVO zu erfüllen bzw. zu erleichtern. In Anbetracht der hohen Bußgelder der DS-GVO bei fehlendem Nachweis kann dies eine deutliche Erleichterung darstellen.
Wer darf Verhaltensregeln erstellen?
Gemäß Art. 40 Abs. 2 DS-GVO dürfen "Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten" Verhaltensregeln ausarbeiten. Berechtigt sind insbesondere auch Verbände, wie die Industrie- und Handels- oder Handwerkskammern sowie Gewerkschaften oder Arbeitgeberverbände.
Was ist der Inhalt von Verhaltensregeln?
Der Inhalt von Verhaltensregeln ist durch die DS-GVO nicht abschließend vorgegeben. Art. 40 Abs. 2 DS-GVO nennt lediglich Beispiele, in welchen Bereichen Verhaltensregeln die Anforderungen der Datenschutz-Grundverordnung präzisieren können, wie z. B.
Erhebung personenbezogener Daten
Umgang mit Betroffenenrechten
Sicherheit der Verarbeitung
Übermittlung in Drittstaaten
Welche Möglichkeiten zum Einsatz von Verhaltensregeln gibt es?
Bei eigener Datenverarbeitung (z. B. Personaldaten) sowie als Auftraggeber im Rahmen einer Auftragsverarbeitung
Nachweis der Erfüllung seiner Pflichten (hinsichtlich Auswahl Auftragsverarbeiter) gemäß Art. 24 Abs. 3 DS-GVO
Nachweis bzgl. sorgfältiger Auswahl Auftragsverarbeiter (Art. 28 Abs. 5 i. V. m. Art. 28 Abs. 1)
Nachweis bzgl. Sicherheit der Verarbeitung (Art. 32 Abs. 3 DS-GVO)
Verhaltensregeln erleichtert die Datenschutz-Folgenabschätzung und wirken ggf. verringernd auf das Risiko für den Betroffenen ein (Art. 35 Abs. 8)
Nutzung im Rahmen der Auftragsverarbeitung, sowohl bei Verantwortlichem wie auch beim Auftragsverarbeiter:
Die Verarbeitung von Daten in Drittstaaten kann durch Verhaltensregeln legitimiert sein (Art. 46 Abs. 2 lit. e)
Nachweis bzgl. Sicherheit der Verarbeitung eigener Daten (z. B. Daten von Kunden, Lieferanten oder Beschäftigten) (Art. 32 Abs. 3 DS-GVO)
Nachweis bzgl. Sicherheit der Verarbeitung bei Auftragsverarbeitung (Auftragsverarbeiter müssen entsprechend Art. 28 Abs. 3 lit. c DS-GVO Nachweis erbringen, ebenso adressiert Art. 32 Abs. 1 DS-GVO direkt Auftragsverarbeiter)
Nachweis bzgl. Sicherheit beim Unterauftragnehmer (Art. 28 Abs. 4 i. V. m. Art. 28 Abs. 4 DS-GVO)
(Nachweis bzgl. Einhaltung Privacy by Design/Privacy by Default kann durch Zertifizierung (Art. 42 DS-GVO) erleichtert werden, Verhaltensregeln werden voraussichtlich Zertifizierung erleichtern)
Welche Einsatzszenarien für Verhaltensregeln gibt es?
Hier kann nur eine exemplarische Darstellung erfolgen:
Verarbeitung in Drittstaaten
Im Rahmen der eigenen Verarbeitung (Z. B. Personaldaten)
Im Rahmen der Auftragsverarbeitung
Sicherheit der Verarbeitung
Home-Office
Wartung/Fernwartung
Umsetzung Privacy by Design / Privacy by Default
Umgang mit Pseudonymisierung / Verschlüsselung
Wie konkret müssen die Verhaltensregeln sein?
Verhaltensregeln stellen einerseits eine Konkretisierung der Anforderungen der DS-GVO dar. Andererseits müssen Verhaltensregeln Verfahren vorsehen, die es der in Art. 41 Abs. 1 DS-GVO genannten Stelle ermöglichen, die Überwachung der Einhaltung zu prüfen. D.h. Verhaltensregeln müssen
konkreter als die Regelungen der DS-GVO sein und
dabei eine Überprüfung der Regelungen erlauben.
Wer sind die Adressaten von Verhaltensregeln?
Adressaten von Verhaltensregeln sind zunächst Verantwortlichen und/oder Auftragsverarbeiter, für welche die Regelungen der DS-GVO gelten.
Verantwortlichen oder Auftragsverarbeitern, die gemäß Art. 3 DS-GVO nicht unter die DS-GVO fallen, können, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe Art. 46 Abs. 2 lit. e DS-GVO zu gewährleisten, sich ebenfalls zur Einhaltung verpflichten.
Welche Rahmenbedingungen sind insbesondere bei dieser Thematik zu beachten?
Nach Art. 40 Abs. 5 DS-GVO müssen Verhaltensregeln der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vorgelegt werden.
Handelt es sich um nationale Verhaltensregeln, kann die Behörde den Entwurf selbständig prüfen und genehmigen. Abschließend werden die Regeln in ein Verzeichnis aufgenommen und veröffentlicht.
Beziehen sich die Verhaltensregeln auf internationale Verarbeitungen, wird über die Genehmigung im sog. Kohärenzverfahren nach Art. 63 DS-GVO entschieden. Danach kann die EU-Kommission diese Verhaltensregeln durch einen Erlass für allgemeingültig erklären (vgl. Art. 40 Abs. 9 DS-GVO).
Derzeit sind in Deutschland zwei Stellen bekannt, die sich ab 25. Mai 2018 (frühester Zeitpunkt) akkreditieren lassen wollen.
Entwicklung Verhaltensregeln
Je nach Komplexität wird man sich zum einen oder anderen Thema evtl. Dritte hinzuholen müssen
Betrieb
Bereitstellung Datenbank sowie Online-Abfrage, wer sich bzgl. Einhaltung der Verhaltensregeln verpflichtet hat
Überwachung Einhaltung (Art. 41 DS-GVO) - d.h. stichprobenartige Kontrolle bei einzelnen, zufällig ausgewählten Unternehmen - erfolgt durch sog. akkreditierte Kontrollstellen. Die Akkreditierung ist in Deutschland zweistufig (?? 39 BDSG n.F.) geregelt:
Zunächst ist eine Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS, http://www.dakks.de/) erforderlich
Auf Grundlage der Akkreditierung basierend erfolgt die Erteilung der Befugnis durch die zuständige datenschutzrechtliche Aufsichtsbehörde des Bundes oder der Länder
Aufbau der überwachenden Stelle
Auditierung der Einhaltung der Verhaltensregeln
Hinweis: Auditierung ist wohl spätestens bei Beschwerde bzgl. Nicht-Einhaltung der Verhaltensregeln erforderlich
Bergt M. (2016) Verhaltensregeln als Mittel zur Beseitigung der Rechtsunsicherheit in der Datenschutz-Grundverordnung. CR: 670-678
Herfurth C, Engel F. (2017) Codes of Conduct im Konzern? Verhaltensregeln von Unternehmensgruppen nach Art. 40 DS-GVO. ZD: 367-372
Schwartmann R, Weiss S. (2016) Ko-Regulierung vor einer neuen Blüte ??? Verhaltensregelungen und Zertifizierungsverfahren nach der Datenschutzgrundverordnung (Teil 1). RDV: 68-73
Schwartmann R, Weiss S. (2016) Ko-Regulierung vor einer neuen Blüte ??? Impulse f??r datenschutzspezifische Zertifizierungsverfahren und Verhaltensregeln. RDV: 240-245
Spindler G. (2016) Selbstregulierung und Zertifizierungsverfahren nach der DS-GVO - Reichweite und Rechtsfolgen der genehmigten Verhaltensregeln. ZD: 407-414
Wolff H. (2017) Verhaltensregeln nach Art. 40 DS-GVO auf dem Prüfstand. ZD: 151-154