Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Verhaltensregeln gemäß Art. 40 DSGVO – Erfolgreiche Zusammenarbeit von BfDI und Bundesnotarkammer

Die DSGVO ermöglicht es Branchen und Verbänden Verhaltensreglen festzulegen die unbestimmte Rechtsbegriffe und datenschutzkonforme Abläufe definieren. Die Bundesnotarkammer hat nun erfolgreich davon Gebrauch gemacht.

Checkliste mit rotem Filzstift
Quelle: ©Ralf Geithe - stock.adobe.com

Die Datenschutz-Grundverordnung (DSGVO) ist durch eine Vielzahl unbestimmter Rechtsbegriffe gekennzeichnet. Die Grundzüge des einheitlichen europäischen Datenschutzrechts sollen im Hinblick auf möglichst viele Lebenssachverhalte Anwendung finden können. Die dortigen, teils abstrakten Vorgaben, wie beispielsweise die „Erforderlichkeit der Verarbeitung“, das „berechtigte Interesse“ oder die „Sicherheit der Verarbeitung“, sind von allen Verantwortlichen zu beachten, unabhängig davon, welche Branche betroffen ist oder wie „umfangreich“ die Verarbeitung personenbezogener Daten im Einzelfall ausfällt. Hinzu kommt, dass die Einhaltung der datenschutzrechtlichen Vorgaben durch den Verantwortlichen nachzuweisen ist (Art. 5 Abs. 2, 24 Abs. 1 DSGVO), was eine zusätzliche Herausforderung für diesen darstellt.

Durch die Ausarbeitung bestimmter Verhaltensregeln nach Art. 40 DSGVO, auch Code of Conduct (CoC) genannt, besteht die Möglichkeit, die Vorgaben der DSGVO für besondere Kategorien von Verantwortlichen branchen- bzw. verbandsspezifisch zu konkretisieren. Art. 40 Abs. 2 DSGVO nennt hier beispielhaft Anwendungsbereiche für Verhaltensregeln von Verbänden und anderen Vereinigungen. Mit diesen können unbestimmte Rechtsbegriffe konkretisiert und technische Abläufe datenschutzkonform gestaltet werden, wie z. B. die „faire und transparente Verarbeitung“, die „Erhebung“ und die „Pseudonymisierung“ personenbezogener Daten.

Vorteile von Verhaltensregeln

Verhaltensregeln bieten sowohl für den Verantwortlichen als auch für die Aufsichtsbehörde Vorteile in mehrfacher Hinsicht:

  • Zunächst kann die Einhaltung von Verfahrensregeln als Gesichtspunkt herangezogen werden, um die Erfüllung seiner Rechenschaftspflicht durch den Verantwortlichen nachzuweisen (Art. 24 Abs. 3 DSGVO). Dies erleichtert auch die Arbeit der Aufsichtsbehörden.
  • Je nach Regelungsbereich der Verhaltensregeln kann die Einhaltung genehmigter Verhaltensregeln als Faktor herangezogen werden, um die wichtige Erfüllung der Anforderungen an die Sicherheit der Verarbeitung nachzuweisen (Art. 32 Abs. 3 DSGVO).
  • Bei der praktisch häufigen Auftragsverarbeitung können Verhaltensregeln und ihre Einhaltung dem Auftragsverarbeiter dazu dienen, die von ihm zum Schutz der betroffenen Personen geforderten hinreichenden Garantien für eine Datenverarbeitung im Einklang mit den Anforderungen der DSGVO nachzuweisen (Art. 28 Abs. 5 DSGVO).
  • Auch bei der Durchführung von Datenübermittlungen in Drittländer können Verhaltensregeln eine entscheidende Rolle spielen. Fehlt es an einem Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO, so können diese einen wichtigen Beitrag zum Nachweis der erforderlichen Garantien leisten (Art. 46 Abs. 2 lit. e) DSGVO). Dies betraf in den letzten Jahren insbesondere die Datenübertragung in die Vereinigten Staaten von Amerika. Der Europäische Gerichtshof erklärte insoweit gefasste Angemessenheitsbeschlüsse mehrfach für unwirksam.
  • Über die erleichterte Nachweisführung hinaus sind Verhaltensregeln ein Instrument der Transparenz. Vertrauen der Betroffenen wird gewonnen und die Zusammenarbeit mit der Aufsichtsbehörde wird verbessert, indem die Aufsichtsbehörden ein weitreichendes Verständnis und praktische Einblicke in die Datenverarbeitungstätigkeiten bestimmter Berufsgruppe erhalten.
  • Letztlich wird durch die Entwicklung praktischer Lösungen für spezifische Fragestellungen Rechtssicherheit geschaffen. Die Entwicklung eines einheitlichen Konzepts für die Erfordernisse, die im Zusammenhang mit der Datenverarbeitung bestimmter Branchen oder Verbände stehen, wird gefördert. Auch besteht die Möglichkeit, bewährte Verfahren für Verarbeitungstätigkeiten in bestimmten Bereichen zu verstetigen.

Diese Wirkungen entfalten die Verhaltensregeln aber erst, wenn sie von der zuständigen Datenschutzaufsichtsbehörde nach Maßgabe des Art. 40 DSGVO genehmigt worden sind. Ergänzend hierzu hat der Europäische Datenschutzausschuss (EDSA) Einzelheiten mit Empfehlungscharakter in einer Leitlinie zusammengefasst.

Verhaltensregeln bei Verbänden

Verbände und andere Vereinigungen im Sinne von Art. 40 Abs. 2 DSGVO können Verhaltensregeln ausarbeiten. Mögliche Inhalte sind beispielhaft in Art. 40 Abs. 2 DSGVO aufgeführt. Die ausgearbeiteten Verhaltensregeln werden von der zuständigen Datenschutzaufsichtsbehörde geprüft und genehmigt, sofern sie ausreichende Garantien zur Einhaltung der Vorgaben der DSGVO vorsehen (Art. 40 Abs. 5 S. 2 DSGVO). Die genehmigten Verhaltensregeln werden anschließend veröffentlicht. Beziehen sich die Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren europäischen Mitgliedstaaten, so legt die zuständige Aufsichtsbehörde diese dem Europäischen Datenschutzausschuss zur Genehmigung vor (Art. 40 Abs. 7 i. V. m. Art. 63, 68 DSGVO). Anschließend werden diese durch die EU-Kommission für allgemein gültig erklärt (Art. 40 Abs. 9 DSGVO).

Verbänden und Vereinigungen die der Aufsicht des BfDI unterstehen, werden während des gesamten Prozesses der Erstellung von Verhaltensregeln beraten. Diese Beratung kann bereits vor der förmlichen Einleitung eines Genehmigungsverfahren beginnen und sich während der Phase der Ausarbeitung der einzelnen Regelungen fortsetzen. Auf diese Weise können mögliche Hindernisse für eine anschließende Genehmigung frühzeitig erkannt bzw. beseitigt und das Verfahren damit insgesamt beschleunigt werden.

Sollten Ihre Mitglieder auch der Aufsicht durch Landesbeauftragte für den Datenschutz unterliegen, so werden diese in den Genehmigungsprozess einbezogen. Hierdurch wird die einheitliche Anwendung der DSGVO in der föderalen Struktur des deutschen Aufsichtsrechts gewährleistet.

Verhaltensregeln der Bundesnotarkammer

Nachdem die DSGVO nun bereits mehr als fünf Jahre in Kraft ist, wird zunehmend deutlich, dass Bedarf an einer branchen- und verbandsspezifischen Konkretisierung der dortigen Vorgaben besteht. Dieser Herausforderung hat sich die Bundesnotarkammer im vergangenen Jahr erfolgreich gestellt. Die ihrerseits vorgelegten Verhaltensregeln zur Sicherheit der Datenverarbeitung (Art. 32 DSGVO) im Hinblick auf elektronische Aufzeichnungen und Hilfsmittel betreffen ein äußerst praxisrelevantes Themenfeld und tragen dazu bei, die häufig sensible Datenverarbeitung Hunderter von Notarinnen und Notaren in Deutschland entscheidend zu verbessern. Denn sie stellen nicht nur belastbare Handlungsanweisungen für die praktische Arbeit der Notariate dar. Der vorrangige Mehrwert für alle Seiten liegt in der nunmehr vorhandenen Rechtssicherheit zur Erfüllung datenschutzrechtlicher Anforderungen. Dies gilt beispielsweise für die im Notariat herausragend wichtige Vertraulichkeit der verarbeiteten Daten, welcher insbesondere durch deren angemessene Verschlüsselung und den Einsatz einer Zwei-Faktor-Authentifizierung für den Datenzugriff Rechnung getragen wird. Auch die Verfügbarkeit der häufig äußerst sensiblen Daten muss bestmöglich gewährleistet werden. Hierzu konnten seitens der Bundesnotarkammer ausführliche Regelungen zur sicheren Datenspeicherung entwickelt werden, welche auch das zunehmend praxisrelevante Thema der Cybersicherheit im Blick haben. Insgesamt ein wichtiger Schritt zur Stärkung des Datenschutzes im nahezu alle Lebensbereiche der Gesellschaft betreffenden Tätigkeitsfeld der Notarinnen und Notare.

Die Bundesnotarkammer hat die erfolgreiche Zusammenarbeit mit dem BfDI zum Anlass genommen, ihre Erfahrungen in der Deutschen Notar-Zeitschrift zu veröffentlichen (Deutsche Notar-Zeitschrift 2022, Seiten 413 bis 425). Sie schließt mit dem Fazit, „dass der BfDI und die durch ihn hinzugezogenen Aufsichtsbehörden der Länder den Prozess durch fachkundige Stellungnahmen konstruktiv und zielführend begleiten. Insbesondere finden sektorspezifische Besonderheiten, praktische Belange und regionale oder sonstige Unterschiede bei den Aufsichtsbehörden Gehör. Im Ergebnis können Verbände und sonstige Vereinigungen im Sinne des Art. 40 Abs. 2 DSGVO dazu ermutigt werden, die abstrakt formulierten Anforderungen der DSGVO sektorspezifisch zu konkretisieren.

In diesem Sinne hoffe auch ich, dass weitere Verbände und Vereinigungen zunehmend von dem Instrument der Verhaltensregeln Gebrauch machen werden, um die Anwendung der DSGVO zu präzisieren und so größere Rechtssicherheit bei ihrer Anwendung zu schaffen. Kommen Sie gerne auf mich zu und nutzen auch Sie diese Chance, damit wir den Datenschutz in Deutschland gemeinsam weiterentwickeln.