Wer Cloud-Dienste und andere Formen der Auftragsverarbeitung nach Artikel 28 DSGVO nutzen will, muss sich zuvor eines hinreichenden Datenschutzniveaus beim Dienstleister vergewissern. Solange es die Datenschutzzertifizierung nach DSGVO und entsprechend akkreditierte Zertifizierungsstellen nach Artikel 42 und 43 DSGVO noch nicht gibt, kann ein durch neu eingeführtes weiteres Instrument nutzen: die Verhaltensregeln, die in Artikel 40 und 41 der DSGVO geregelt sind.
Diese Form des Nachweises ist bisher kaum ins öffentliche Bewusstsein gedrungen. Darauf weist der IT-Fachjournalist Oliver Schonschek im Internetfachmagazin security-insider.de hin. Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten so ermutigt werden, Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung der DSGVO zu erleichtern. Den Besonderheiten bestimmte Sektoren und besonderen Bedürfnissen der kleinen und mittleren Unternehmen ist dabei Rechnung zu tragen.
In diesen Verhaltensregeln sollen die Pflichten der Verantwortlichen und der Auftragsverarbeiter im Hinblick auf Risiken für die Rechte und Freiheiten natürlicher Personen festgelegt werden. Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, müssen zuvor die maßgeblichen Interessenträger und die betroffenen Personen konsultieren und die Stellungnahmen berücksichtigen.
Die DSGVO nennt Bereiche, in denen Verhaltensregeln erarbeitet und durch die Aufsichtsbehörden genehmigt werden können, wie z. B.
- Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- Ausübung der Rechte betroffener Personen
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten
- die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
Verhaltensregeln helfen, Bereiche zu regeln, in denen vielen Unternehmen noch Klärungsbedarf haben. Es gebe bereits erste Beispiele in der Praxis, die als Muster und Anhaltspunkte dienen können. So hat der Landesbeauftragten für den Datenschutz NRW die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ geprüft und genehmigt. Dabei geht es um einen Aspekt, der auch vielen Unternehmen anderer Branchen Kopfzerbrechen bereitet: die Löschfristen. Die komplette Verhaltensregel umfasst nur sieben Seiten, es reiche also ein durchaus Regelwerk.
Der Genehmigungsweg ist in der DSGVO beschrieben. Der Entwurf muss der zuständigen Aufsichtsbehörde vorgelegt werden. Damit er genehmigt werden kann, muss die Einhaltung der Regelungen durch ein Verfahren überwacht werden. Sie gibt eine Stellungnahme und genehmigt die Verhaltensregeln, wenn sie der Auffassung ist, dass sie ausreichende Garantien bieten.