Art.40 - DSGVO - Verhaltensregeln
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 38) |
|
Allgemeine Grundsätze der Datenübermittlung |
Allgemeine Grundsätze der Datenübermittlung | Allgemeine Grundsätze der Datenübermittlung |
Verhaltensregeln |
|
Jedwede Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weitergabe personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. |
|
(entfällt komplett) | 1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. |
| 2. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: | |||
|
a) faire und transparente Verarbeitung; b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. |
|||
|
3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. |
|||
| 4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist. | |||
| 5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet. | |||
|
6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie. |
|||
|
7. Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde - bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt – ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht. |
|||
|
8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission. |
|||
| 9. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | |||
| 10. Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden. | |||
| 11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise. |
Die Vorschrift ist deutlich weitgehender als der bisherige §38a BDSG:
Danach können Vereinigungen und (branchen-)Verbände quasi eigenes datesnchutzrecht schaffen, indem sie einen datenschutzrechtlichen „Code of conduct (CoC)“ erstellen. Dies Datenschutz-Aufsichtsbehörden haben hierfür eine Orientierungshilfe entwickelt.
Beispiel hierfür ist der der Datenschutz-CoC der Versicherungswirtschaft: Darin ist z.B. in Art. 20 ein quasi-Opt-Out für die Datenübermittlung an betreuende Versicherungs-Agenturen legitimiert, die diese dann ggf. für Werbung nutzen kann.
Ein solches Unterschreiten der gesetzlichen Standards soll mit Art. 40 DSGVO nach Ansicht des LDA Bayern künftig nicht mehr möglich sein, sondern nur noch eine „Präzisierung“.
Nutzen der Verhaltensregeln
die Verhaltenregeln können helfen
- Im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO: lt. Abs. 5 können Verhaltensregeln als Faktor für hinreichende Garantien nach Art. 28 Abs. 1 und 4 DSGVO gelten
- im Rahmen der allgemeinen Nachweispflichten nach Art. 24 Abs. 3 DSGVO
- zum Nachweis der Sicherheit der Verarbeitung nach Art. 32 Abs. 3 DSGVO
- im Rahmen der Datenschutzfolgenabschätzung nach Art. 35 Abs. 8 DSGVO
- als geeignete Garantien nach Art. 46 Abs. 1 DSGVO, sofern von der Kommission beschlossen
Da die Regelungen aber nicht hinter der Verordnung zurück bleiben dürfen, ist fraglich, ob und wie viel Nutzen eine solche Erstellung mit einem aufwändigen Abstimmungsprozess mit den Aufsichtsbehörden bringen kann. Das wird vor allem davon abhängen, ob darin tatsächliche Erleichterungen liegen und wie bzw. von wem diese Verhaltensregeln letztlich kontrolliert werden.
Berechtigt für die Gestaltung von Verhaltensregeln sind Kammern, Berufsverbände sowie freiwillige Zusammenschlüsse von Unternehmen.
Die Entwürfe werden sodann von der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde überprüft, ggf. (bei internationalem Bezug) einem Kohärenzverfahren nach Art. 63 DSGVO unterzogen.
Die Inhalte, in denen eine Präzisierung erfolgen kann, sind in Art. 40 Abs. 2 DSGVO genannt:
- Definition bzw. Konkretisierung der fairen und transparente Verarbeitung
- die berechtigten Interessen des Verantwortlichen
- zur Erhebung personenbezogener Daten
- zur Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- zur Ausübung der Rechte betroffener Personen
- zur Unterrichtung und Schutz von Kindern bzw.
zur Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; - die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
- zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
- zu außergerichtlichen Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten
Überwachung
Die Überwachung der Verhaltensregeln ist in Art. 41 DSGVO geregelt (siehe dort).
Handreichung des LDA Bayern zu diesem Thema (2 Seiten)
Kommentar
Art.40 - DSGVO - Verhaltensregeln
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 38) |
|
Allgemeine Grundsätze der Datenübermittlung |
Allgemeine Grundsätze der Datenübermittlung | Allgemeine Grundsätze der Datenübermittlung |
Verhaltensregeln |
|
Jedwede Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weitergabe personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. |
|
(entfällt komplett) | 1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. |
| 2. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: | |||
|
a) faire und transparente Verarbeitung; b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. |
|||
|
3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. |
|||
| 4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist. | |||
| 5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet. | |||
|
6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie. |
|||
|
7. Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde - bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt – ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht. |
|||
|
8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission. |
|||
| 9. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | |||
| 10. Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden. | |||
| 11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise. |
Die Vorschrift ist deutlich weitgehender als der bisherige §38a BDSG:
Danach können Vereinigungen und (branchen-)Verbände quasi eigenes datesnchutzrecht schaffen, indem sie einen datenschutzrechtlichen „Code of conduct (CoC)“ erstellen. Dies Datenschutz-Aufsichtsbehörden haben hierfür eine Orientierungshilfe entwickelt.
Beispiel hierfür ist der der Datenschutz-CoC der Versicherungswirtschaft: Darin ist z.B. in Art. 20 ein quasi-Opt-Out für die Datenübermittlung an betreuende Versicherungs-Agenturen legitimiert, die diese dann ggf. für Werbung nutzen kann.
Ein solches Unterschreiten der gesetzlichen Standards soll mit Art. 40 DSGVO nach Ansicht des LDA Bayern künftig nicht mehr möglich sein, sondern nur noch eine „Präzisierung“.
Nutzen der Verhaltensregeln
die Verhaltenregeln können helfen
- Im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO: lt. Abs. 5 können Verhaltensregeln als Faktor für hinreichende Garantien nach Art. 28 Abs. 1 und 4 DSGVO gelten
- im Rahmen der allgemeinen Nachweispflichten nach Art. 24 Abs. 3 DSGVO
- zum Nachweis der Sicherheit der Verarbeitung nach Art. 32 Abs. 3 DSGVO
- im Rahmen der Datenschutzfolgenabschätzung nach Art. 35 Abs. 8 DSGVO
- als geeignete Garantien nach Art. 46 Abs. 1 DSGVO, sofern von der Kommission beschlossen
Da die Regelungen aber nicht hinter der Verordnung zurück bleiben dürfen, ist fraglich, ob und wie viel Nutzen eine solche Erstellung mit einem aufwändigen Abstimmungsprozess mit den Aufsichtsbehörden bringen kann. Das wird vor allem davon abhängen, ob darin tatsächliche Erleichterungen liegen und wie bzw. von wem diese Verhaltensregeln letztlich kontrolliert werden.
Berechtigt für die Gestaltung von Verhaltensregeln sind Kammern, Berufsverbände sowie freiwillige Zusammenschlüsse von Unternehmen.
Die Entwürfe werden sodann von der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde überprüft, ggf. (bei internationalem Bezug) einem Kohärenzverfahren nach Art. 63 DSGVO unterzogen.
Die Inhalte, in denen eine Präzisierung erfolgen kann, sind in Art. 40 Abs. 2 DSGVO genannt:
- Definition bzw. Konkretisierung der fairen und transparente Verarbeitung
- die berechtigten Interessen des Verantwortlichen
- zur Erhebung personenbezogener Daten
- zur Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- zur Ausübung der Rechte betroffener Personen
- zur Unterrichtung und Schutz von Kindern bzw.
zur Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; - die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
- zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
- zu außergerichtlichen Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten
Überwachung
Die Überwachung der Verhaltensregeln ist in Art. 41 DSGVO geregelt (siehe dort).
Handreichung des LDA Bayern zu diesem Thema (2 Seiten)