Welche Rolle spielen Verhaltensregeln nach DSGVO?

Verhaltensregeln, auch „Codes of Conduct“ (CoC) genannt, sind ein wichtiges Instrument der Selbstregulierung der Wirtschaft, um allgemein gehaltene Normen zu konkretisieren, so der Datenschutz- und Informationsfreiheitsbericht 2019 der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Beispiele für datenschutzrelevante CoC gibt es bereits, etwa den Datenschutzkodex des Gesamtverbands der Deutschen Versicherungswirtschaft oder den Datenschutz-Kodex für Geodatendienste.
Von der Selbstregulierung zur DSGVO
Mit der Datenschutz-Grundverordnung (DSGVO) haben CoC eine steigende Bedeutung erlangt, jedenfalls aus datenschutzrechtlicher Sicht:
Datenübermittlungen und Auftragsverarbeitungen lassen sich auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 DSGVO legitimieren.
Voraussetzung: Die Verhaltensregeln sind mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen. Und die zuständige Datenschutzaufsichtsbehörde hat sie genehmigt.
Genehmigte Verhaltensregeln können also genau wie genehmigte Zertifizierungsverfahren als Grundlage dienen, um ein angemessenes Datenschutzniveau nachzuweisen.
Allein deshalb lohnt es sich, sich mit Verhaltensregeln zu befassen.
Was die DSGVO über Verhaltensregeln sagt
Maßgeblich sind die Art. 40 und 41 der DSGVO. Die Erwägungsgründe zur DSGVO sagen zu Verhaltensregeln Folgendes:
- Verbände oder andere Vereinigungen sollten ermutigt werden, in den Grenzen der DSGVO Verhaltensregeln auszuarbeiten, um eine wirksa…