Verhaltensregeln nach DSGVO

Beitrag verfasst von Maximilian Kröpfl am 01.04.2019 – KTR-Newsletter April 2019

Es ist aktuelles Thema vieler Branchentreffen: Datenschutzrechtliche Verhaltensregeln. Der Verband der österreichischen Internet Service Provider (ISPA) hat letzten November seine Verhaltensregeln der Öffentlichkeit präsentiert. Zahlreiche Verbände und Interessenvertretungen befinden sich im Finale des Genehmigungsprozesses bei der DSB. Knyrim Trieb unterstützt unter anderem den Verband der österreichischen Energiewirtschaft dabei.

Die mit einem solchen Regelwerk verbundene Gestaltungsmöglichkeiten sind mannigfaltig. Die wesentlichsten Eckpunkt von Verhaltensregeln für Sie zusammengefasst: In Verhaltensregeln werden gängige Anwendungsfälle und Arbeitsweisen der Datenverarbeitung oder Produktionsabläufe der Branche konkretisiert und die Transparenz hinsichtlich dem, was üblich und erforderlich ist, gesichert. Es geht um „Good Practice“. Der Europäische Datenschutzausschuss hebt insbesondere die Wirkung als Nachweis der „state-of-the-art“-Compliance hervor.

Durch den Charakter der Selbstverpflichtung wirken die eigenen Verbände auf wichtige Datenschutzfragen im Interesse der Branche ein. Die bescheidmäßige Genehmigung sichert die behördliche Vermutung eines rechtskonformen Vorgehens. Für all jene, die Partner in Drittstaaten haben, können auch Verhaltensregeln als geeignete Garantien für den internationalen Datentransfer vorgesehen werden.

Der Weg hin zu genehmigten Verhaltensregeln

Am Anfang steht die oft lange Diskussion der Branchenvertreter über Geltungsbereich, Inhalt und Umfang von Verhaltensregeln. Die Regelwerke können sich national oder europäisch ausrichten und jeden beliebigen Inhalt vorsehen. Wichtig ist nur, dass der Regelungsinhalt spezifisch, in sich konsistent und realistisch erfüllbar ist sowie regelmäßig aktualisiert wird. Verhaltensregeln müssen einen nennenswerten Mehrwert zum Datenschutz in der Branche schaffen. Zusätzlich dazu müssen Verhaltensregeln noch Bestimmungen vorsehen, die es einer Überwachungsstelle ermöglichen, ihren Überwachungs- und Prüfpflichten nachzukommen.

Der fertige Entwurf ist der Datenschutzbehörde zu übermitteln, welche diesen auf formelle und materielle Mängel prüft und bescheidmäßig genehmigt. Sollte eine Geltung über Österreich hinaus geplant sein, so setzt die Datenschutzbehörde die weiteren Schritte im Europäischen Datenschutzausschuss.

Überwachungsstelle statt Datenschutzbehörde

Die Einhaltung genehmigte Verhaltensregeln werden nicht unmittelbar von der Datenschutzbehörde, sondern von einer privaten Überwachungsstelle geprüft. Nach dem Gedanken der DSGVO sollen Verantwortliche und Auftragsverarbeiter frei aus einer Mehrzahl dieser Stellen wählen können.

Um eine gleichbleibende Qualität zu garantieren, sind diese Stellen von der Datenschutzbehörde zu akkreditieren. Voraussetzungen dafür sind nach der DSGVO und dem aktuellen Entwurf der Überwachungsstellenakkreditierungs-Verordnung (ÜStAkk-V) eine entsprechende Unabhängigkeit gegenüber den sich unterstellenden Unternehmen und Fachwissen hinsichtlich der konkreten Regelungsinhalte.

Jede akkreditierte Überwachungsstelle hat drei generelle Aufgaben: Einerseits stellt sie die Konformitätsbescheinigung aus, die nachweist, dass sich unterstellende Unternehmen die konkreten Verhaltensregeln erfüllen können. Andererseits kommen ihr Prüf- und Überwachungsfunktionen zu. Das bedeutet, dass Überwachungsstellen die Einhaltung der Verhaltensregeln grundsätzlich überwachen und im Einzelfall überprüfen müssen. Eine solche Prüfung kann sich insbesondere aufgrund einer Betroffenenbeschwerde an die dafür bestellte Überwachungsstelle ergeben.

Trotzdem auch der Überwachungsstelle ein gewisses Sanktionsrecht eingeräumt wird, ist es mit jenem der Datenschutzbehörde in Umfang und Wirkung nicht vergleichbar. Die schärfste Sanktion besteht im Ausschluss von den Verhaltensregeln.

Datentransfer mit genehmigten Verhaltensregeln

Unsere Wirtschaft wird digitaler und damit internationaler. Produktion und Dienstleistung findet nicht mehr notwendiger Weise im eigenen Unternehmen statt. Neben den offensichtlichen Vorteilen bleiben jedoch auch immer Risiken bei der Verarbeitung von personenbezogenen Daten. Richtig gestaltet, können Verhaltensregeln diese Risiken minimieren: Auftragsverarbeiter und Dritte in Drittstaaten können sich dem Regelwerk unterstellen und sich somit dem europäischen Branchenstandard verpflichten.

Artikel drucken

Beiträge

Newsletter Apr 2019

Gemeinsame Verantwortung bei Facebook-Fanpages

Frau Dr. Claudia Gabauer, LL.M. hat für den letzten und diesen Newsletter eine Zusammenfassung der Facebook-Fanpage-Problematik erstellt, hier ist nun Teil II:

Verhaltensregeln nach DSGVO

Es ist aktuelles Thema vieler Branchentreffen: Datenschutzrechtliche Verhaltensregeln.

Aktuelle Seminare

Die datenschutzrechtl. Folgen des Brexit

Grundsätzlich bestehen zwei mögliche Szenarien, wobei angesichts der aktuellen politischen Entwicklungen ein ungeregelter Austritt (sogenannter „No-Deal-Brexit“) wahrscheinlich ist.

Österr. DSGVO-Song von deutscher Datenschutzbehörde verfilmt

Im Mai 2018 hat die Singer-Songwriterin Flickentanz auf Youtube ein Spaß-Anleitungslied über die Datenschutzgrundverordnung veröffentlicht.