Sinn und Zweck der Verhaltensregeln

Die DS-GVO beinhaltet eine Reihe unbestimmter Rechtsbegriffe sowie Abwägungserfordernisse, die im Rahmen der praktischen Umsetzung einer Konkretisierung bedürfen. Das aus dem alten Recht bereits bekannte Instrument der Verhaltensregeln wurde hierfür übernommen und weiterentwickelt. Ziel ist es, eine branchenspezifische Selbstregulierung zu stärken.

Nach Art. 40 Abs. 2 DS-GVO dürfen Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten Verhaltensregeln ausarbeiten. Der Entwurf der Verhaltensregeln kann dann der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vorgelegt werden. Nach Art. 40 Abs. 1 DS-GVO fördern die Mitgliedstaaten, die Aufsichtsbehörden sowie der Europäische Datenschutzausschuss und die Europäische Kommission die Ausarbeitung von Verhaltensregeln.

Rechtsnatur der Verhaltensregeln

Genehmigte Verhaltensregeln drücken ein gemeinsames Verständnis des Antragstellers und der genehmigenden Aufsichtsbehörde aus, wie in bestimmten Konstellationen mit personenbezogenen Daten in zulässiger Weise umgegangen werden kann. Verhaltensregeln können keine neue Rechtsgrundlage für eine Datenverarbeitung begründen. Sie können aber die teilweise sehr abstrakten Regelungen der DS-GVO bereichsspezifisch präzisieren und konkretisieren und so ihre Anwendbarkeit fördern. Verhaltensregeln können ferner die Aufgaben und Befugnisse der Aufsichtsbehörden nicht beschränken. 

Dokumente zur Erstellung von Verhaltensregeln

Wir möchten die Ausarbeitung von Verhaltensregeln fördern und stellen zur Unterstützung bei der Antragstellung die folgenden Dokumente bereit:

• Antragsformular zur Genehmigung von Verhaltensregeln
• Checkliste Genehmigungsvoraussetzungen

Die Checkliste basiert auf den Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679 des Europäischen Datenschutzausschusses.

Akkreditierung von Überwachungsstellen für Verhaltensregeln

Gemäß Art. 57 Absatz 1 lit. p) 1. Alternative DS-GVO muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anforderungen an die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 DS-GVO abfassen und veröffentlichen. Die deutschen Aufsichtsbehörden haben den Weg gewählt, diese Aufgabe gemeinsam umzusetzen. Hierzu hat die Datenschutzkonferenz einen Katalog von Akkreditierungsanforderungen für Überwachungsstellen gemäß Art. 41 DSGVO erarbeitet. Die Anforderungen haben das erforderliche Kohärenzverfahren beim Europäischen Datenschutzausschuss nach Art. 64 Abs. 1 lit. c DS-GVO erfolgreich durchlaufen. Sie setzen die Stellungnahme des Europäischen Datenschutzausschusses 10/2020 um. Die englische Sprachfassung der Akkreditierungsanforderungen wird außerdem in das Register beim Europäischen Datenschutzausschuss eingestellt werden (Art. 70 Abs. 1 lit. y DS-GVO). 

Gebühren

Für Genehmigungs- und Akkreditierungsentscheidungen im Rahmen von Verhaltensregeln werden Gebühren erhoben. Maßgeblich sind insoweit die Gebührentatbestände im Allgemeinen Gebührentarif der Allgemeinen Verwaltungsgebührenordnung, Tarifstelle 1.3: Datenschutzrechtliche Angelegenheiten.