Von den einzelnen Branchenverbänden wurde nur wenig Gebrauch gemacht von der Möglichkeit, mehr Rechtssicherheit zu erlangen, indem man mit den Aufsichtsbehörden Verhaltensregeln abstimmt. Die DS-GVO setzt aber nun neue Anreize, die es interessanter machen könnten, solche Verhaltensregeln auszuarbeiten und zu nutzen. Das BayLDA gibt in einem neuem Whitepaper einen kurzen Überblick über die Regelungen in der DS-GVO.

GESTALTUNGSMÖGLICHKEITEN

In Art. 40 DS-GVO findet man den Inhalt und die Ausgestaltung des Verfahrens von Verhaltensregeln nach der DS-GVO. Dort in Abs. 2 werden nicht abschließende Beispiele genannt, in welchen Bereichen man strengere Regelungen als in der DSGVO treffen kann. Dies ist keine Verpflichtung, jedoch ist eine Lockerung wiederum nicht zulässig. Verhaltensregeln können für bestimmte Kategorien von Verantwortlichen und Auftragsverarbeitern, sowie für einen Mitgliedstaat oder EU-weit entworfen werden.

VERFAHREN UND ANERKENNUNG

Hier ist von Belang ob es sich um Verhaltensregeln für das eigene Land oder mehrere Mitgliedstaaten handelt. Wenn es nur um das eigene Land geht, so kann die zuständige Aufsichtsbehörde die Regeln selbständig prüfen und genehmigen, sofern sie der Auffassung ist, dass der Entwurf ausreichende Garantien nach der DS-GVO enthält. Sofern sich die Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten bezieht, wird über die Genehmigung im Kohärenzverfahren entschieden (Art. 40 Abs. 7 DS-GVO).

ÜBERWACHUNG DER EINHALTUNG

Wie das Whitepaper verrät ist für „die Überwachung der Einhaltung (…) die von einer Aufsichtsbehörde akkreditierte Stelle nach Maßgabe des Art. 41 DS-GVO zuständig.“ Im Falle von Verstößen trifft diese dann geeignete Maßnahmen bis hin zum Ausschluss von den Verhaltensregeln und unterrichtet entsprechend die Aufsichtsbehörden darüber.

ANREIZE FÜR VERHALTENSREGELN

Die Verhaltensregeln können im Rahmen der DSGVO vielfach relevant sein: Als Garantien für eine Auftragsverarbeitung, für allgemeine Nachweispflichten, Nachweis der Sicherheit der Verarbeitung oder bei der Datenschutzfolgenabschätzung.

AUSBLICK

Das BayLDA fasst zusammen:

„Die DS-GVO versucht weitere Anreize zu schaffen. Es wird sich zeigen, ob diese ausreichen, damit künftig mehr Branchen sich solchen Regelungen unterwerfen. Vor allem zum Nachweis der in der DSGVO in unterschiedlichem Kontext oft genannten Garantien, könnten Verhaltensregeln hilfreich sein Rechtssicherheit zu schaffen. Dazu müssen diese jedoch auch Regelungen gerade zu den genannten Bereichen enthalten. Auch wenn es dazu keine Regelungen gibt, wird noch zu klären sein, inwiefern Verhaltensregeln in gewissen Bereichen auch zeitlichen Ablaufdaten unterliegen können. Dies wird vor allem bei solchen Verhaltensregeln zu diskutieren sein, die sich auf die Ausgestaltung der Datensicherheit beziehen, da die Bedrohungen sich im Laufe der Zeit verändern.“