Tools und Tipps zur DSGVO

Verhaltensregeln nach DSGVO in der Praxis

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument.
Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument. (© Coloures-Pic - stock.adobe.com)

Während über Datenschutz-Zertifikate nach Datenschutz-Grundverordnung häufig berichtet und diskutiert wird, führen die sogenannten Verhaltensregeln nach DSGVO noch ein Schattendasein, zu Unrecht. Verhaltensregeln sind praktische Instrumente und bereits im Einsatz. Erste genehmigte Beispiele können als Muster dienen. Weitere Verbände und Vereinigungen sollten aktiv werden.

Wer Cloud-Dienste und andere Formen der Auftragsverarbeitung nach Artikel 28 DSGVO nutzen möchte, muss sich zuerst von dem angemessenen Datenschutzniveau bei dem Dienstleister überzeugen. Bereits zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG-alt) war diese Kontrolle des Datenschutzes eine große Herausforderung. Entsprechend beliebt waren und sind Datenschutz-Zertifikate als Nachweis.

Doch es gibt ein Problem: Bislang gibt es die Datenschutzzertifizierung nach DSGVO und entsprechend akkreditierte Zertifizierungsstellen nach Artikel 42 und 43 DSGVO noch nicht in der Praxis. Die Liste der anerkannten Datenschutz-Zertifikate, die es bei dem EDPB (Europäischer Datenschutzausschuss) geben wird, ist noch leer.

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

Bessere Priorisierung im Datenschutz

Tools zur Datenschutz-Folgen­abschätzung nach DSGVO

09.04.19 - Die Zahl der Baustellen im Datenschutz wird nicht weniger, scheint es. Die Datenschutz­folgen eines harten Brexit sind nur ein Beispiel. Umso wichtiger ist es, die richtigen Prioritäten im Datenschutz zu setzen. Das beste Instrument dafür ist die Datenschutz-Folgen­abschätzung, für die es ein auch kostenloses Tool und zahlreiche Hilfestellungen gibt. lesen

Doch mit der DSGVO haben nicht nur die Zertifikate ein höheres Gewicht als Nachweis erhalten, es wurde auch ein weiteres Instrument eingeführt, über das zu wenig gesprochen wird: die Verhaltensregeln, die in Artikel 40 und 41 der Datenschutz-Grundverordnung genannt sind.

Was Verhaltensregeln leisten

Betrachtet man die rechtlichen Voraussetzungen einer Auftragsverarbeitung nach DSGVO, stellt man fest, dass dort nicht nur Datenschutz-Zertifikate als mögliche Nachweise genannt werden, sondern auch genehmigte Verhaltensregeln:

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (...) nachzuweisen.

Auch für den generellen Nachweis der Einhaltung der Sicherheit der Verarbeitung nach Artikel 32 DSGVO gilt:

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der (...) genannten Anforderungen nachzuweisen.

Anstatt nur auf Zertifizierungen nach DSGVO zu warten, lohnt es sich, sich auch mit den Verhaltensregeln zu befassen. Die zur DSGVO gehörenden Erwägungsgründe sagen zu Verhaltensregeln folgendes:

  • Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten (Anmerkung: also Branchen-Verbände etc.), sollten ermutigt werden, in den Grenzen der DSGVO Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern.
  • Den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen ist Rechnung zu tragen.
  • Insbesondere könnten in diesen Verhaltensregeln - unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen - die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
  • Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigen.
DSGVO und Abmahnungen – Viel Lärm um Nichts

UWG und Datenschutz-Grundverordnung

DSGVO und Abmahnungen – Viel Lärm um Nichts

26.03.19 - DSGVO und „Abmahnwelle“ wurden lange Zeit im selben Atemzug genannt. Die legislatorischen Ziele der DSGVO rückten dabei zunehmend in den Hintergrund. Doch gerade diese Ziele sind es, die erklären können, warum mit der DSGVO bisher keine „Abmahnwelle“ einherging und wohl auch nicht einhergehen wird. lesen

Wie Verhaltensregeln aussehen

Die DSGVO nennt auch Bereiche, zu denen Verhaltensregeln erarbeitet und durch die Aufsichtsbehörden genehmigt werden können, darunter auch:

  • Pseudonymisierung personenbezogener Daten
  • Unterrichtung der Öffentlichkeit und der betroffenen Personen
  • Ausübung der Rechte betroffener Personen
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten
  • die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

Verhaltensregeln können also maßgeblich dabei helfen, Bereiche im Datenschutz zu regeln, bei denen noch deutlicher Klärungsbedarf in vielen Unternehmen besteht. Dabei sind Verhaltensregeln nicht so kompliziert, wie man vielleicht denken könnte. Die Erarbeitung und die Genehmigung von Verhaltensregeln hat bereits in der Praxis stattgefunden, es gibt also durchaus Muster und Anhaltspunkte, wie Verbände und Vereinigungen von Unternehmen dies angehen können.

So haben die Aufsichtsbehörden für den Datenschutz (Datenschutzkonferenz) zum Beispiel die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ geprüft und genehmigt. Wie eine solche Genehmigung aussieht, zeigt die entsprechende Mitteilung der Landesbeauftragten für den Datenschutz NRW.

Wie eine Verhaltensregel selbst aussieht, findet man ebenfalls beim LDI NRW. Es geht in dem Beispiel für einen genehmigten Code of Conduct um einen speziellen Aspekt, der auch vielen Unternehmen aus anderen Branchen Kopfzerbrechen bereitet: die Löschfristen. Die komplette Verhaltensregel umfasst nur sieben Seiten, das bedeutet zwar nicht, dass Verbände und Vereinigungen nicht viel Mühe haben werden, Verhaltensregeln zu erstellen, doch es zeigt, dass für die Anwendung von Verhaltensregeln ein durchaus überschaubares Regelwerk entstehen kann.

Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden

Tipps zur Datenschutz-Grundverordnung

Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden

08.03.19 - Die Aufsichtsbehörden für den Datenschutz sind nicht nur die Prüfer und Beschwerdestellen, sie unterstützen Unternehmen ganz konkret bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR). Neben Orientierungshilfen und Anwendungshinweisen bieten sie Online-Services und praktische Werkzeuge für den Datenschutz in den Unternehmen. lesen

Wichtig ist allerdings, dass die Einhaltung der Verhaltensregeln durch ein Verfahren überwacht werden muss, damit eine Verhaltensregel auch genehmigt werden kann. Auch der Weg hin zu einer genehmigten Verhaltensregel ist in der DSGVO beschrieben:

  • Verbände und andere Vereinigungen, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die zuständig ist.
  • Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit der DSGVO vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.

Nun gilt es, dass entsprechende Verbände und Vereinigungen von Unternehmen weitere Verhaltensregeln erarbeiten und genehmigen lassen, da dies die weitere Umsetzung der DSGVO deutlich erleichtern wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45913642 / Compliance und Datenschutz )