Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

F.A.Q. Verhaltensregeln (Code of Conduct) i. S. d. Art. 40 DS-GVO

  1. Was sind "Verhaltensregeln"?
    Die Datenschutz-Grundverordnung (DS-GVO) bietet mit den sog. Verhaltensregeln (oft auch "Code of Conduct" CoC genannt) nach Art. 40 DS-GVO ein Instrument der Selbstregulierung. Branchenverbände und andere Vereinigungen, die von dieser Möglichkeit Gebrauch machen, können damit die z.T. abstrakten Vorgaben der DS-GVO für ihren Geschäftsbereich konkretisieren.
  2. Warum sollte man Verhaltensregeln nutzen?
  3. Wer darf Verhaltensregeln erstellen?
    Gemäß Art. 40 Abs. 2 DS-GVO dürfen "Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten" Verhaltensregeln ausarbeiten. Berechtigt sind insbesondere auch Verbände, wie die Industrie- und Handels- oder Handwerkskammern sowie Gewerkschaften oder Arbeitgeberverbände.
  4. Was ist der Inhalt von Verhaltensregeln?
    Der Inhalt von Verhaltensregeln ist durch die DS-GVO nicht abschließend vorgegeben. Art. 40 Abs. 2 DS-GVO nennt lediglich Beispiele, in welchen Bereichen Verhaltensregeln die Anforderungen der Datenschutz-Grundverordnung präzisieren können, wie z. B.
  5. Welche Möglichkeiten zum Einsatz von Verhaltensregeln gibt es?
  6. Welche Einsatzszenarien für Verhaltensregeln gibt es?
    Hier kann nur eine exemplarische Darstellung erfolgen:
  7. Wie konkret müssen die Verhaltensregeln sein?
    Verhaltensregeln stellen einerseits eine Konkretisierung der Anforderungen der DS-GVO dar. Andererseits müssen Verhaltensregeln Verfahren vorsehen, die es der in Art. 41 Abs. 1 DS-GVO genannten Stelle ermöglichen, die Überwachung der Einhaltung zu prüfen. D.h. Verhaltensregeln müssen
    1. konkreter als die Regelungen der DS-GVO sein und
    2. dabei eine Überprüfung der Regelungen erlauben.
  8. Wer sind die Adressaten von Verhaltensregeln?
  9. Welche Rahmenbedingungen sind insbesondere bei dieser Thematik zu beachten?
  10. Rechtliche Rahmenbedingungen
    1. DS-GVO
    2. BDSG n.F.
  11. Literatur zum Thema
    1. Zeitschriften
      • Bergt M. (2016) Verhaltensregeln als Mittel zur Beseitigung der Rechtsunsicherheit in der Datenschutz-Grundverordnung. CR: 670-678
      • Herfurth C, Engel F. (2017) Codes of Conduct im Konzern? Verhaltensregeln von Unternehmensgruppen nach Art. 40 DS-GVO. ZD: 367-372
      • Schwartmann R, Weiss S. (2016) Ko-Regulierung vor einer neuen Blüte ??? Verhaltensregelungen und Zertifizierungsverfahren nach der Datenschutzgrundverordnung (Teil 1). RDV: 68-73
      • Schwartmann R, Weiss S. (2016) Ko-Regulierung vor einer neuen Blüte ??? Impulse f??r datenschutzspezifische Zertifizierungsverfahren und Verhaltensregeln. RDV: 240-245
      • Spindler G. (2016) Selbstregulierung und Zertifizierungsverfahren nach der DS-GVO - Reichweite und Rechtsfolgen der genehmigten Verhaltensregeln. ZD: 407-414
      • Wolff H. (2017) Verhaltensregeln nach Art. 40 DS-GVO auf dem Prüfstand. ZD: 151-154
    2. Aufsichtsbehörden
    3. Kommentare zu Art. 40 DS-GVO auf verschiedenen Webseiten (kein Anspruch auf Vollständigkeit):