Verhaltensregeln (Art. 40 DSGVO)

Selbstregulierung

Verhaltensregeln sind ein durch die Datenschutz-Grundverordnung (DSGVO) geschaffenes Instrument der Selbstregulierung vor allem von Kleinstunternehmen sowie kleinen und mittleren Unternehmen (KMU). Sie werden ausgearbeitet von Branchenverbänden wie Industrie- und Handelskammer, Banken- oder Versicherungsverband, Rechtsanwaltskammer, etc. Die einzelnen Unternehmen können sich dann den Verhaltensregeln auf freiwilliger Basis unterwerfen. 

Erhöhte Rechtssicherheit

Die Schaffung branchenspezifischer Verhaltensregeln auf der Grundlage von Art. 40 DSGVO führt bei den an solchen Verhaltensregeln angeschlossenen Unternehmen zu verstärkter Sicherheit bei der Anwendung der DSGVO. Mit der Erstellung von Verhaltensregeln sollen die abstrakt-generellen Vorgaben der DSGVO branchenspezifisch ausgestaltet und präzisiert werden. Sie sollen inhaltlich die Besonderheiten der einzelnen Verarbeitungsbereiche von Unternehmensverbänden abbilden.

Erleichterung für die Nachweispflicht

Verhaltensregeln bilden ein massgebliches Instrument bei der Beurteilung der Datensicherheit, beim Nachweis der Einhaltung der Verpflichtungen eines Auftragsverarbeiters oder bei der Durchführung einer Datenschutz-Folgenabschätzung, um nur einige Bereiche zu nennen, die von Verhaltensregeln umfasst sein können. Damit tragen Verhaltensregeln zur Rechtssicherheit der ihnen unterworfenen Unternehmen in datenschutzrechtlichen Belangen bei.

Datentransfer in Drittstaaten

Datentransfer in Drittstaaten wird durch die Verhaltensregeln erleichtert. Unternehmen und Organisationen in Drittstaaten können sich ebenfalls den Verhaltensregeln anschliessen und so signalisieren, dass sie Daten DSGVO-konform verarbeiten. Dies erleichtert dann wiederum Datentransfers in diese Drittstaaten, da die Rechte der betroffenen Personen als geschützt gelten.

Streitbeilegung

Durch die gemäss Art. 40 Abs. 1 Bst. k DSGVO genannte Möglichkeit der Einrichtung aussergerichtlicher Verfahren und sonstiger Streitschlichtungsverfahren wie z.B. Schiedsverfahren oder Mediationsverfahren wird überdies ein Weg geschaffen, Streitigkeiten zwischen Verantwortlichen und betroffenen Personen ausserhalb förmlicher Aufsichts- und Gerichtsverfahren rasch und kostengünstig zu regeln und einer Lösung zuzuführen.

Verhaltensregeln können  von Verbänden oder anderen Vereinigungen, die bestimmte Gruppen von Verantwortlichen oder Auftragsverarbeitern vertreten, ausgearbeitet werden. Die Verhaltensregeln bedürfen dann in einem weiteren Schritt der Genehmigung durch die nationale Aufsichtsbehörde (Art. 40 Abs. 5 und 6 DSGVO) sowie bei grenzüberschreitender Verarbeitungstätigkeit in mehreren Mitgliedstaaten der Genehmigung des Europäischen Datenschutzausschusses (Art. 40 Abs. 7 DSGVO).

Für die Ausgestaltung von Verhaltensregeln führt die DSGVO in Art. 40 Abs. 2 DSGVO exemplarisch Beispiele von Regelungsbereichen auf. Im Kern sollen Verhaltensregeln inhaltlich die Bestimmungen der DSGVO präzisieren und auf die Bedürfnisse der angeschlossenen Unternehmen zugeschnitten sein. Beispielhaft werden in Art. 40 Abs. 2 Bst. a) bis k) DSGVO folgende mögliche Regelungsinhalte genannt:

a) faire und transparente Verarbeitung;

b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;

c) Erhebung personenbezogener Daten;

d) Pseudonymisierung personenbezogener Daten;

e) Unterrichtung der Öffentlichkeit und der betroffenen Personen;

f) Ausübung der Rechte betroffener Personen;

g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;

h) die Massnahmen und Verfahren gemäss den Artikeln 24 und 25 und die Massnahmen für die Sicherheit der Verarbeitung gemäss Artikel 32;

i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;

j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder

k) aussergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäss den Artikeln 77 und 79 DSGVO.

Neben diesen in Art. 40 Abs. 2 Bst. a) bis k) DSGVO exemplarisch aufgelisteten Inhalten von Verhaltensregeln müssen Verhaltensregeln gemäss Art. 40 Abs. 4 DSGVO zwingend eine Regelung zur Überwachung der Verhaltensregeln durch eine hierzu akkreditierte Stelle umfassen. Akkreditierte Stellen („Überwachungsstellen“) bilden das Gegenstück von Verhaltensregeln und sind für das Funktionieren von Verhaltensregeln unabdingbar.

Wenn ein Verband Verhaltensregeln ausarbeitet, muss dieser gleichzeitig eine Stelle benennen, die die Einhaltung der Verhaltensregeln nach deren Implementierung überwacht. Sie bedarf zu ihrem Tätigwerden der Akkreditierung durch die Datenschutzbehörde. Um ihren Aufgaben der Überwachung der Verhaltensregeln nachkommen zu können, müssen akkreditierte Stellen gemäss Art. 41 Abs. 2 DSGVO zwingend über das nötige Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügen. Um in ihrer Prüftätigkeit keinen Interessenkonflikten ausgesetzt zu sein, müssen akkreditierte Stellen gemäss Art. 41 Abs. 2 DSGVO gegenüber den Unternehmen, die an Verhaltensregeln angeschlossen sind, zudem vollständige Unabhängigkeit besitzen.

• Erkundigen Sie sich bei dem für Sie zuständigen Branchenverband, Kammer etc., ob diese(r) beabsichtigt, Verhaltensregeln auszuarbeiten.
• Prüfen Sie, welche Vorteile die Verhaltensregeln für Ihr Unternehmen haben.
• Wenn Sie sich für die Nutzung der Verhaltensregeln entscheiden, sind diese für Sie und Ihr Unternehmen verbindlich!