Nach Erwägungsgrund 98 der DS-GVO sollen Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist.
Insbesondere könnten in diesen Verhaltensregeln — unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen — die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigen.
Auch im BDSG gibt es eine in Ansätzen vergleichbare Regelung. § 38a BDSG sieht die Möglichkeit vor, mit der Datenschutzaufsichtsbehörde Verhaltensregeln abzustimmen. In der Praxis spielte dieser Regelung bisher jedoch keine allzu große Rolle. Es ist davon auszugehen, dass nach der DSGVO genehmigte Verhaltensregeln eine größere Bedeutung erlangen, da sie nicht nur bei der Datenschutzfolgenabschätzung Berücksichtigung finden, sondern auch im Rahmen eines möglichen Bußgeldverfahrens bei der Beurteilung der Schwere des Verstoßes (Art. 83 Abs. 2 j DSGVO) sowie über die Bewertung der technisch organisatorischen Maßnahmen des Datenschutzes und der Datensicherheit, bei der Auswahl und Beauftragung eines Auftragsverarbeiters oder der Übermittlung personenbezogener Daten an Verantwortliche oder Auftragsverarbeiter in Drittstaaten.
Auch die Einschätzung des BayLDA in seinem neuen Papier Verhaltensregeln – Art. 40 DS-GVO geht in die Richtung, dass Branchenverbände bisher wenig Gebrauch davon gemacht, sich datenschutzrechtliche Verhaltensregeln zu geben. Die DS-GVO versuche weitere Anreize zu schaffen. Es werde sich zeigen, ob diese ausreichen, damit künftig mehr Branchen sich solchen Regelugen unterwerfen. Vor allem zum Nachweis der in der DSGVO in unterschiedlichem Kontext oft genannten Garantien, könnten Verhaltensregeln hilfreich sein Rechtssicherheit zu schaffen, so die Prognose des BayLDA.
Dazu müssten diese jedoch auch Regelungen gerade zu den genannten Bereichen enthalten. Auch wenn es dazu keine Regelungen gebe, werde noch zu klären sein, inwiefern Verhaltensregeln in gewissen Bereichen auch zeitlichen Ablaufdaten unterliegen könnten. Dies werde vor allem bei solchen Verhaltensregeln zu diskutieren sein, die sich auf die Ausgestaltung der Datensicherheit beziehen, da die Bedrohungen sich im Laufe der Zeit verändern. Die genaue Bindungswirkung einer Genehmigung oder Allgemeingültigerklärung werde voraussichtlich ebenfalls noch näher diskutiert werden.
Bayerisches Landesamt für Datenschutzaufsicht
(Foto: © bilderbox/Fotolia.com)