Neben der Zertifizierung zum Datenschutz gibt es in der DS-GVO noch weitere Möglichkeiten datenschutzkonformes Verhalten nachzuweisen. Eine solche Möglichkeit, die bisher relativ vernachlässigt wurde, sind genehmigte Verhaltensregeln gem. Art. 40 und 41 DS-GVO.

Diese Verhaltensregeln sehen vor, dass Verbände und andere Organisationen, die Gruppen von Verantwortlichen vertreten für bestimmte Branchen Verhaltensregeln zum Datenschutz definieren, an die sich deren Mitglieder halten. Diese Verhaltensregeln können schließlich einer Aufsichtsbehörde vorgelegt werden, welche sie überprüft und genehmigt, wenn die Verhaltensregeln für zweckmäßig befunden werden.

Die Verhaltensregeln stellen zwar dann keine Rechtsgrundlage für eine Datenverarbeitung dar, jedoch können Sie einen Nachweis darstellen, dass sich an die Datenschutz-Grundverordnung gehalten und ein angemessenes Datenschutzniveau gewährleistet wird.

Folgende Themen können durch die Verhaltensregeln adressiert werden:

1. faire und transparente Verarbeitung;
2. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
3. Erhebung personenbezogener Daten;
4. Pseudonymisierung personenbezogener Daten;
5. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
6. Ausübung der Rechte betroffener Personen;
7. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
8. die Maßnahmen und Verfahren zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie zu den TOMs;
9. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
10. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
11. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung.

Bisher haben Verbände und Interessenvertretungen von Verantwortlichen leider noch kaum diese Möglichkeit, welche die DS-GVO bietet, wahrgenommen. Bisher gibt es lediglich Verhaltensregeln für Prüf- und Löschfristen bei Wirtschaftsauskunfteien.

Durch die Verhaltensregeln ließen sich für ganze Branchen Datenschutzstandards etablieren, was Aufwand bei der Erstellung von Datenschutzkonzepten und damit Kosten sparen kann. Außerdem können entsprechende Verhaltensregeln auch das Vertrauen der Betroffenen in die datenverarbeitenden Stellen stärken.

Die Einhaltung der Verhaltensregeln soll zudem auch überwacht werden. Dies muss nicht zwangsläufig durch die Aufsichtsbehörden geschehen, sondern kann auch durch geeignete Stellen passieren, welche das notwendige Fachwissen haben.

Es bleibt zu hoffen, dass dieses Instrument im Datenschutz noch belebt wird, da sich hier ein enormer Mehrwert für viele Verantwortliche schaffen lässt.