Suchen

Tools und Tipps zur DSGVO Verhaltensregeln nach DSGVO in der Praxis

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Während über Datenschutzzertifikate nach Datenschutz-Grundverordnung häufig berichtet und diskutiert wird, führen die sogenannten Verhaltensregeln nach DSGVO noch ein Schattendasein – zu Unrecht. Verhaltensregeln sind praktische Instrumente und bereits im Einsatz. Erste genehmigte Beispiele können als Muster dienen. Weitere Verbände und Vereinigungen sollten aktiv werden.

Firmen zum Thema

Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument.
Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument.
(© Coloures-Pic - stock.adobe.com)

Wer Cloud-Dienste und andere Formen der Auftragsverarbeitung nach Artikel 28 DSGVO nutzen möchte, muss sich zuerst von dem angemessenen Datenschutzniveau bei dem Dienstleister überzeugen. Bereits zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG-alt) war diese Kontrolle des Datenschutzes eine große Herausforderung. Entsprechend beliebt waren und sind Datenschutzzertifikate als Nachweis.

Doch es gibt ein Problem: Bislang gibt es die Datenschutzzertifizierung nach DSGVO und entsprechend akkreditierte Zertifizierungsstellen nach Artikel 42 und 43 DSGVO noch nicht in der Praxis. Die Liste der anerkannten Datenschutzzertifikate, die es bei dem EDPB (Europäischer Datenschutzausschuss) geben wird, ist noch leer.

Doch mit der DSGVO haben nicht nur die Zertifikate ein höheres Gewicht als Nachweis erhalten, es wurde auch ein weiteres Instrument eingeführt, worüber zu wenig gesprochen wird: die Verhaltensregeln, die in Artikel 40 und 41 der Datenschutz-Grundverordnung genannt sind.

Was Verhaltensregeln leisten

Betrachtet man die rechtlichen Voraussetzungen einer Auftragsverarbeitung nach DSGVO, stellt man fest, dass dort nicht nur Datenschutzzertifikate als mögliche Nachweise genannt werden, sondern auch genehmigte Verhaltensregeln:

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien [...] nachzuweisen.

Auch für den generellen Nachweis der Einhaltung der Sicherheit der Verarbeitung nach Artikel 32 DSGVO gilt:

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der [...] genannten Anforderungen nachzuweisen.

Anstatt nur auf Zertifizierungen nach DSGVO zu warten, lohnt es sich, sich auch mit den Verhaltensregeln zu befassen. Die zur DSGVO gehörenden Erwägungsgründe sagen zu Verhaltensregeln folgendes:

  • Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten (Anmerkung: also Branchenverbände et cetera), sollten ermutigt werden, in den Grenzen der DSGVO Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern.
  • Den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen ist Rechnung zu tragen.
  • Insbesondere könnten in diesen Verhaltensregeln – unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen – die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
  • Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigen.

Wie Verhaltensregeln aussehen

Die DSGVO nennt auch Bereiche, zu denen Verhaltensregeln erarbeitet und durch die Aufsichtsbehörden genehmigt werden können, darunter auch:

  • Pseudonymisierung personenbezogener Daten,
  • Unterrichtung der Öffentlichkeit und der betroffenen Personen,
  • Ausübung der Rechte betroffener Personen,
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten,
  • die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen.

Verhaltensregeln können also maßgeblich dabei helfen, Bereiche im Datenschutz zu regeln, bei denen noch deutlicher Klärungsbedarf in vielen Unternehmen besteht. Dabei sind Verhaltensregeln nicht so kompliziert, wie man vielleicht denken könnte. Die Erarbeitung und die Genehmigung von Verhaltensregeln hat bereits in der Praxis stattgefunden, es gibt also durchaus Muster und Anhaltspunkte, wie Verbände und Vereinigungen von Unternehmen dies angehen können.

So haben die Aufsichtsbehörden für den Datenschutz (Datenschutzkonferenz) zum Beispiel die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ geprüft und genehmigt. Wie eine solche Genehmigung aussieht, zeigt die entsprechende Mitteilung der Landesbeauftragten für den Datenschutz NRW.

Wie eine Verhaltensregel selbst aussieht, findet man ebenfalls beim LDI NRW. Es geht in dem Beispiel für einen genehmigten Code of Conduct um einen speziellen Aspekt, der auch vielen Unternehmen aus anderen Branchen Kopfzerbrechen bereitet: die Löschfristen. Die komplette Verhaltensregel umfasst nur sieben Seiten; das bedeutet zwar nicht, dass Verbände und Vereinigungen nicht viel Mühe haben werden, Verhaltensregeln zu erstellen, doch es zeigt, dass für die Anwendung von Verhaltensregeln ein durchaus überschaubares Regelwerk entstehen kann.

Wichtig ist allerdings, dass die Einhaltung der Verhaltensregeln durch ein Verfahren überwacht werden muss, damit eine Verhaltensregel auch genehmigt werden kann. Auch der Weg hin zu einer genehmigten Verhaltensregel ist in der DSGVO beschrieben:

  • Verbände und andere Vereinigungen, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die zuständig ist.
  • Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit der DSGVO vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.

Nun gilt es, dass entsprechende Verbände und Vereinigungen von Unternehmen weitere Verhaltensregeln erarbeiten und genehmigen lassen, da dies die weitere Umsetzung der DSGVO deutlich erleichtern wird.

(ID:45956723)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst, Influencer und News Analyst / Commentator bei Insider Research