Verhaltensregeln oder „regulierte Selbstregulierung“

Die Europäische Datenschutzgrundverordnung (DSGVO) entfaltet ab dem 25. Mai 2018 endgültig und für alle Teilnehmer im Rechtsverkehr volle Wirksamkeit. In Artikel 40 enthält sie mit den sogenannten Verhaltensregeln ein in Zukunft bedeutsames Instrument der Selbstregulierung durch Branchenverbände und andere Vereinigungen. Diejenigen, die von dieser Möglichkeit Gebrauch machen und für sich selbst Verhaltensregeln festschreiben, tragen dazu bei, die oft abstrakten Vorgaben der DSGVO für ihren Geschäftsbereich zu konkretisieren und allen Beteiligten einen rechtssicheren Umgang mit den neuen Vorgaben zu ermöglichen.

In der Vergangenheit beschrieben Verhaltensregeln – auch „Codes of Conduct“ genannt –verbindliche Vorgaben eines Verbands oder einer Vereinigung bezüglich datenschutzrechtlicher Vorgaben zu Verhaltensweisen der jeweiligen Mitglieder. Diese Datenschutzkodizes legten sehr detailliert fest, unter welchen Bedingungen Kundendaten oder Daten von Dritten erfasst und verarbeitet werden dürfen.

Mit der Neuregelung des europäischen Datenschutzrechts beschreibt Art. 40 DSGVO den Inhalt und die Ausgestaltung des Verfahrens zur Erarbeitung, Akkreditierung und Einführung von Verhaltensregeln durch Branchen- und Berufsverbände für ihren Geschäftsbereich. Dabei wird der Inhalt solcher Verhaltensregeln durch die Grundverordnung nicht abschließend vorgegeben. In Art. 40 Abs. 2 werden jedoch Beispiele aufgezählt, in welchen Bereichen Verhaltensregeln die Normen der DSGVO präzisieren könnten. Präzisieren bedeutet hier, dass strengere Regelungen als in der Verordnung getroffen werden können aber nicht müssen. Ein Unterschreiten des Regelungsgehalts durch die selbstauferlegten Regeln ist jedoch nicht zulässig. Ansonsten sind die Verfasser des Entwurfs grundsätzlich frei in der Entscheidung, welche Inhalte sie für präzisierungswürdig erachten. Einzig zwingender Inhalt ist nach Art. 40 Abs. 4 DSGVO eine Regelung zur Überwachung durch die Akkreditierungsstelle.

Verfahren und Anerkennung durch die Aufsichtsbehörden                                     

Zwar kann ein Branchenverband grundsätzlich ohne Beachtung bestimmter Vorgaben Selbstverpflichtungen für seine Mitglieder entwerfen und intern für verbindlich erklären. Die Verhaltensregeln vorgesehenen Rechtswirkungen aus der Datenschutzgrundverordnung treten aber nur ein, wenn das in Art. 40 vorgesehene Verfahren beim Erlass eingehalten wird.

Danach kann nicht jeder Verhaltensregeln in Zusammenarbeit mit den Aufsichtsbehörden aufstellen. Art. 40 Abs. 2 u. 5 DSGVO beschränken diese Möglichkeit auf „Verbände und andere Vereinigungen“. Branchen- und Berufsverbände werden dadurch unproblematisch erfasst, Konzerne möglicherweise nicht.

Die Genehmigung wird dabei grundsätzlich nach Art. 40 Abs. 5 DSGVO von der mitgliedstaatlichen Aufsichtsbehörde am Sitz des Antragstellers selbstständig erteilt. Sollen sich die Regelungen auf Datenverarbeitungen in mehreren Mitgliedsstaaten der EU beziehen, so muss die mitgliedstaatliche Aufsichtsbehörde zusätzlich eine Genehmigung des Europäischen Datenausschusses einholen (Art. 40 Abs. 7 DSGVO).

Die genehmigten Verhaltensregeln werden von der Aufsichtsbehörde in ein Verzeichnis aufgenommen und veröffentlicht. Die EU-Kommission hat anschließend die Möglichkeit diese Verhaltensregeln für allgemeingültig zu erklären (Art 40 Abs. 9 DSGVO).

Die Überprüfung durch die Aufsichtsbehörden führt dabei zwar nicht zu einer Verbindlichkeit der Regelungen, wohl aber zu einer gewissen Orientierung an die dort vorgenommenen Auslegungen. Bei Verstößen trifft sie geeignete Maßnahmen einschließlich dem Ausschluss von den Verhaltensregeln und unterrichtet die Aufsichtsbehörden über ihre Maßnahmen und deren Begründung.

Zur Natur von Verhaltensregeln

Verhaltensregeln enthalten meist Erklärungen über die Werte und Geschäftspraktiken von Unternehmen und können in diesem Rahmen auch zu den angestrebten Datenschutzstandards Stellung beziehen. Sinn und Zweck ist die Anpassung der oft abstrakten und generellen gesetzlichen Vorgaben an die speziellen Bedürfnisse einer Branche.

Von der Möglichkeit zur Aufstellung solcher Verhaltensregeln wurde in der Vergangenheit wenig Gebrauch gemacht. Durch die deutlich detaillierteren Regeln der DSGVO zum Genehmigungsverfahren und die Schaffung weiterer Anreize wird dieses Instrument der „regulierten Selbstregulierung“ aber für die Zukunft deutlich gestärkt.

Werden die Verhaltensregeln von der Aufsichtsbehörde genehmigt, so sind damit nämlich Rechtswirkungen verbunden. Die Verordnung enthält an zahlreichen Stellen Erleichterungen bei der Befolgung von Verhaltensregeln. So kann die Einhaltung genehmigter Verhaltensregeln als ein Faktor herangezogen werden um hinreichende Garantien nach Art. 28 Abs. 1 und 4 DSGVO nachzuweisen. Gleiches gilt für die allgemeinen Nachweispflichten nach Art. 24 Abs. 3 DSGVO sowie dem Nachweis der Sicherheit der Verarbeitung nach Art. 32 Abs. 3 DSGVO. Auch wird angenommen, dass die Aufsichtsbehörden durch ihre Genehmigung zumindest bei präzisen Regelungen später einer gewissen Bindung an die dort getroffenen Auslegungen unterliegen.

Auch wenn aus Sicht des einzelnen Verarbeiters die branchenweite Übereinkunft keine individuellen positiven Vorteile in der Datenschutzkonformität erzeugen sollte, dient sie doch zumindest einer Abgrenzung von „schwarzen Schafen“ in einem Sektor. Langfristig kann durch Verhaltensregeln neben der Schaffung von mehr Rechtssicherheit für die beteiligten Verarbeiter dann auch mittelbar das Vertrauen des Verbrauchers in die Gesamtbranche gesteigert werden.

Haben Sie Fragen zum Thema Europäische Datenschutzgrundverordnung? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: EU-Datenschutzgrundverordnung implementieren

Tags: , , , , , , , , ,

Comments are closed.