Jusletter IT

Mutter, der Mann mit den CoCs ist da

  • Authors: Heidi Scheichenbauer / Christof Tschohl / Walter Hötzendorfer / Markus Kastelitz
  • Category: Articles
  • Region: EU
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2019
  • Citation: Heidi Scheichenbauer / Christof Tschohl / Walter Hötzendorfer / Markus Kastelitz, Mutter, der Mann mit den CoCs ist da, in: Jusletter IT 21. February 2019
Art. 40 DSGVO bietet Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die Möglichkeit, Verhaltensregeln (Codes of Conduct, CoC) auszuarbeiten. Die AutorInnen sind seit Anfang 2018 in der Praxis mit der Ausarbeitung von CoC befasst und setzen sich in diesem Beitrag mit offenen Rechtsfragen zu Art. 40 und 41 DSGVO auseinander. Darüber hinaus berichten sie von ihren Erfahrungen in der Ausarbeitung von CoC und im Genehmigungsverfahren bei der DSB nach Art. 40 Abs. 5 DSGVO.

Inhaltsverzeichnis

  • 1. Verhaltensregeln nach der DSGVO als Instrument der Selbstregulierung
  • 2. Verhaltensregeln unter der Datenschutz-Richtlinie
  • 3. Rechtswirkungen von Verhaltensregeln
  • 4. Wer kann Verhaltensregeln ausarbeiten?
  • 5. Zulässiger Inhalt von Verhaltensregeln
  • 6. Der Genehmigungsprozess
  • 7. Bindung an die Verhaltensregeln
  • 8. Überwachungsstelle und Sanktionen
  • 8.1. Stellung und Tätigkeit der Überwachungsstelle
  • 8.2. Akkreditierung der Überwachungsstelle
  • 9. Förderungspflicht
  • 10. Aktueller Stand und Ausblick

1.

Verhaltensregeln nach der DSGVO als Instrument der Selbstregulierung ^

[1]

Die Anwendung der DSGVO1 erweist sich für viele Rechtsunterworfene als Herausforderung. Die Vielzahl an unbestimmten Rechtsbegriffen der DSGVO eröffnet große Interpretationsspielräume und führt oftmals zu Rechtsunsicherheit. Hier versucht Art. 40 DSGVO Abhilfe zu schaffen.

[2]

Nach Art. 40 Abs. 2 DSGVO können Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten, die die Anwendung der DSGVO präzisieren. Verhaltensregeln sind somit eine Möglichkeit, um die die zahlreichen Regelungslücken der DSGVO im Wege der Selbstregulierung zu schließen. Sie können damit Verantwortlichen und Auftragsverarbeitern die Anwendung der DSGVO erleichtern2 und so zur Erhöhung der Rechtssicherheit für Verantwortliche und Auftragsverarbeiter beitragen.3

2.

Verhaltensregeln unter der Datenschutz-Richtlinie ^

[3]

Die Möglichkeit Verhaltensregeln auszuarbeiten, war bereits in Art. 27 der Datenschutz-Richtlinie4 vorgesehen.5 Die entsprechende innerstaatliche Umsetzung erfolgte in § 6 Abs 4 DSG 2000, wonach zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten konnten. Die Genehmigung erfolgte durch den Bundeskanzler (Verfassungsdienst), wobei es jedoch unter dem Regime des DSG 2000 insgesamt nur zwei Genehmigungen von Verhaltensregeln kam, sodass sich die rechtliche Bedeutung dieses Instruments bislang in Grenzen gehalten hat.6 In Einzelfällen ist Verhaltensregeln dennoch rechtliche Bedeutung zugekommen. So resultierte die Diskussion bei der Abfassung der Verhaltensregeln des Dialog Marketing Verbandes Österreich in einem wesentlichen Beitrag zum Abänderungsantrag zu § 151 GewO 1994 (neu) in welchem aufgrund der strengen Zweckbindung für Marketingzwecke und des damit einhergehenden geringen Gefährdungspotentials für nicht sensible Daten ein Opt-out-System vorgesehen7 und für sensible Daten eine relativ generell gehaltene Einwilligung zur Verwendung sensibler Daten für Marketingzwecke als ausreichend erachtet wurde.

3.

Rechtswirkungen von Verhaltensregeln ^

[4]

Durch die DSGVO wurde das Instrument der Verhaltensregeln deutlich gestärkt. Die Verhaltensregeln gem. Art. 40 DSGVO sind nun nicht mehr – wie bisher gem. § 6 Abs. 4 DSG 2000 – lediglich auf den Aspekt von «Treu und Glauben» begrenzt. Einerseits dienen Verhaltensregeln dazu, die Vorgaben der DSGVO branchenspezifisch zu präzisieren, andererseits kann die Einhaltung dieses Instruments der Selbstregulierung als Faktor bzw. Gesichtspunkt herangezogen werden, um die Einhaltung der DSGVO nachzuweisen.8 Die Einhaltung genehmigter Verhaltensregeln ist bei der Verhängung einer etwaigen Geldbuße gebührend zu berücksichtigen (Art. 83 Abs. 2 lit. j DSGVO).9 Davon zu unterscheiden ist freilich die Tatsachenfrage, ob die Verhaltensregeln im Einzelfall tatsächlich eingehalten wurden. Verhaltensregeln können darüber hinaus «geeignete Garantien» zur Datenübermittlung in ein Drittland oder an eine internationale Organisation darstellen (Art. 46 Abs. 2 lit. e DSGVO) und sind bei der Beurteilung der Auswirkungen eines beabsichtigten Verarbeitungsvorganges im Rahmen einer Datenschutz-Folgeabschätzung zu berücksichtigen (Art. 35 Abs. 8 DSGVO).

[5]

Für die Aufsichtsbehörde bewirken einmal genehmigte Verhaltensregeln (ungeachtet der konkurrierenden Zuständigkeit zwischen Überwachungsstelle und Aufsichtsbehörde für deren Einhaltung) eine (faktische) Selbstbindung,10 wodurch ein Maß an Rechtssicherheit erlangt wird, wie es für die DSGVO bemerkenswert ist.11

4.

Wer kann Verhaltensregeln ausarbeiten? ^

[6]

Gemäß dem Wortlaut der DSGVO können Verbände oder andere «Vereinigungen» die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten, was darauf hinweist, dass die vertretenen Verantwortlichen oder Auftragsverarbeiter entsprechende Gemeinsamkeiten aufweisen müssen. Hier ist in erster Linie an Branchenvereinigungen zu denken. Vereine die sich zu Verbänden zusammenschließen, sind ebenfalls vorlageberechtigt.12

[7]

Die DSB gibt dazu an, dass als Antragsteller insbesondere gesetzliche Interessenvertretungen (etwa Kammern oder Berufsverbände) oder private Verbände und Vereinigungen (etwa freiwillige Zusammenschlüsse) legitimiert sind, die bescheinigen können, dass sie eine relevante Anzahl von Verantwortlichen oder Auftragsverarbeitern vertreten. Im Umkehrschluss bedeutet dies, dass einzelne oder bloß wenige Verantwortliche oder Auftragsverarbeiter keine ausreichende Vertretungsrelevanz besitzen, um einen Antrag auf Genehmigung von Verhaltensregeln stellen zu können. Damit soll auch verhindert werden, dass unterschiedliche Verhaltensregeln innerhalb derselben Branche entworfen werden.13 Denkbar ist auch, Vereinigungen zum Zweck der Ausarbeitung von Verhaltensregeln zu gründen, wenn die Vereinigung (weiterhin) Beständigkeit aufweist.14

[8]

In der Literatur wird auch die Möglichkeit der Ausarbeitung von Verhaltensregeln für Konzerne bzw. Unternehmensgruppen befürwortet, sofern entsprechende Gemeinsamkeiten existieren,15 rein Unternehmensinterne Verhaltensregeln dürften jedoch nicht vorlagefähig sein.16

5.

Zulässiger Inhalt von Verhaltensregeln ^

[9]

Inhaltlich setzt die DSGVO den Verhaltensregeln grundsätzlich keine Grenzen, solange diese Präzisierungen enthalten. Die Verhaltensregeln können einen breiten oder aber auch einen eingeschränkten Bereich regeln, je nachdem, wo Präzisierungsbedarf gegeben ist. Präzisierungen können etwa zu folgenden Aspekten erfolgen (Art 40 Abs 2 DSGVO):

  • faire und transparente Verarbeitung
  • berechtigte Interessen des Verantwortlichen in bestimmten Zusammenhängen
  • Erhebung personenbezogener Daten
  • Pseudonymisierung personenbezogener Daten
  • Unterrichtung der Öffentlichkeit und der betroffenen Personen
  • Ausübung der Rechte betroffener Personen
  • Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist
  • Maßnahmen und Verfahren gem. den Art. 24 und 25 DSGVO und die Maßnahmen für die Sicherheit der Verarbeitung gem. Art. 32 DSGVO
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der Betroffenen
  • Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
  • außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und Betroffenen
[10]

Diese demonstrative17 Aufzählung enthält für die Praxis bedeutende Punkte, wie etwa die «berechtigen Interessen» des Verantwortlichen in bestimmten Zusammenhängen oder Präzisierungen hinsichtlich der notwendigen Transparenz von Verarbeitungen. Zudem kann auch eine Präzisierung der technischen und organisatorischen Maßnahmen erfolgen.

[11]

Verhaltensregeln müssen jedoch ausreichend auf die spezifischen Fragen und Probleme der Branche bzw. Gruppe eingehen und dafür auch ausreichend klare Lösungen vorsehen, wobei es zulässig ist sich auf einzelne Punkte zu beschränken.18 Sie müssen somit einen «gewissen»19 branchenspezifischen Mehrwert bieten20 und sind bei einer bloßen Wiederholung des Wortlautes der DSGVO, nicht genehmigungsfähig.21 Allgemeine Verweise («Soweit gemäß Art. 6 DSGVO zulässig») oder unpräzise Vorgaben («Die Speicherfristen richten sich nach der BAO») schaffen auch Sicht der DSB keinen relevanten Mehrwert.22 Unterschreitungen des Schutzniveaus der DSGVO sind ebenfalls nicht genehmigungsfähig.23

[12]

Hier ist auch zu berücksichtigen, dass ein Verfahren zur Genehmigung von Verhaltensregeln keine Einzelfallprüfung zum Gegenstand hat, sondern genehmigte Verhaltensregeln generell abstrakte Wirkung besitzen. Daher ist es nicht möglich, durch Verhaltensregeln bestimmte Verarbeitungsvorgänge/bestimmte Geschäftsmodelle allgemein für zulässig zu erklären («Die berechtigten Interessen des Verantwortlichen überwiegen»). Es muss stets genug Spielraum für die Beurteilung im Einzelfall übrigbleiben.24

6.

Der Genehmigungsprozess ^

[13]

Die Verhaltensregeln müssen ein mehrstufiges Verfahren bis zu ihrer Genehmigung durchlaufen. Nach Erarbeitung in Zusammenarbeit mit den relevanten Stakeholdern («maßgebliche Interessenträger») und nach erfolgter Einreichung gibt die zuständige Aufsichtsbehörde eine Stellungnahme dahingehend ab, ob sie den Entwurf für mit der DSGVO vereinbar hält und ausreichende Garantien geboten werden.25

[14]

Der ErwGr. 99 DSGVO weist darauf hin, dass während des Ausarbeitungsprozesses (oder bei der Änderung oder Erweiterung solcher Verhaltensregeln) Verbände und oder andere Vereinigungen die maßgeblichen Interessenträger und möglichst auch die betroffenen Personen konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigt werden sollen. Erfolgt diese Konsultation nicht, hat dies jedoch keine Rechtswidrigkeit zur Folge,26 kann jedoch das Genehmigungsverfahren erschweren.27

[15]

Sämtliche genehmigte Verhaltensregeln werden in ein Verzeichnis aufgenommen und veröffentlicht.28 Die DSB veröffentlicht genehmigte Verhaltensregeln auf ihrer Homepage sowie im Rechtsinformationssystem (RIS).29 Zudem nimmt der Europäische Datenschutzausschuss alle genehmigten Verhaltensregeln in ein Register auf und veröffentlicht diese.30 Sofern sich Verantwortliche und Auftragsverarbeiter genehmigten Verhaltensregeln unterwerfen, kann diese Außenwirkung jedenfalls werbewirksame Effekte mit sich bringen.31

[16]

Bei Antragstellung muss der Behörde ausdrücklich mitgeteilt werden, ob entworfene Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten abzielen («internationale Verhaltensregeln») oder ob die Verhaltensregeln sich in der Erfassung von inländischen Verarbeitungstätigkeiten erschöpfen («nationale Verhaltensregeln»). Dies ist insofern wichtig, als die DSB nationale Verhaltensregeln selbst genehmigen kann.32 Wenn sich die Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten beziehen, hat die angerufene Aufsichtsbehörde den Entwurf der Verhaltensregeln zusammen mit ihrer Stellungnahme zum Entwurf dem Europäischen Datenschutzausschuss vorzulegen, der ein Kohärenzverfahren durchführt (Art. 40 Art. 7 DSGVO).33

7.

Bindung an die Verhaltensregeln ^

[17]

Verhaltensregeln werden nicht mit ihrer Genehmigung verbindlich, sondern erst, wenn ihre Einhaltung etwa durch eine Satzung vorgeschrieben wird oder wenn eine freiwillige Selbstverpflichtung durch den Verantwortlichen oder Auftragsverarbeiter erfolgt.34 Die Teilnahme ist grundsätzlich fakultativ, weshalb sich Verantwortliche und Auftragsverarbeiter proaktiv den genehmigten Verhaltensregeln unterwerfen müssen. Nur die Unterwerfung unter genehmigte Verhaltensregeln, die durch eine akkreditierte Stelle überwacht werden, löst die oben genannten Wirkungen aus.35

[18]

Unklar ist, ob sich auch Nichtmitglieder den Verhaltensregeln eines Verbandes unterwerfen können.36 Als Auslegungshilfe befolgt werden können Verhaltensregeln jedoch jedenfalls stets auch von Nichtmitgliedern. Die DSB hat die Möglichkeit einer Unterwerfung unter Verhaltensregeln durch Nichtmitglieder, die der betreffende Branchenverband jedoch ablehnen kann, genehmigt.37 Problematisch kann dies in Bezug auf Tätigkeit und Finanzierung der Überwachungsstelle erscheinen.

8.

Überwachungsstelle und Sanktionen ^

[19]

Obwohl der Wortlaut von Art. 41 DSGVO das Gegenteil vermuten lässt, ist eine Stelle, welche die Einhaltung der Verhaltensregeln zu überwachen hat, zwingend vorgeschrieben.38 Überwachungsstellen sind in Art. 40 und 41 DSGVO geregelt. Diese legen fest, dass die Überwachung der Verhaltensregeln von einer Stelle durchgeführt werden kann, die über das geeignete Fachwissen verfügt und von der Aufsichtsbehörde akkreditiert worden ist.39 Eine Überwachungsstelle ist eine private Stelle, die mit der obligatorischen Überwachung der Verhaltensregeln betraut wird.40 Trotz des Bestehens einer Überwachungsstelle und der Möglichkeit alternative Streitbeilegungsverfahren durch Verhaltensregeln zu schaffen, bleiben die Befugnisse der Aufsichtsbehörde stets unangetastet.

8.1.

Stellung und Tätigkeit der Überwachungsstelle ^

[20]

Umstritten ist, ob eine Überwachungsstelle i.S.v. Art. 41 DSGVO gesondert einzurichten ist41 oder ob eine Überwachung auch durch eine andere externe Stelle, wie eine Aufsichtsbehörde42 oder den Verband selbst erfolgen kann.43 Hier ist u.E. nach dem Schutzzweck der Norm darauf zu achten, dass eine Einrichtung der Überwachungsstelle im Verband so erfolgt, dass durch die Gestaltung der Verfahren und begleitende Sicherheitsmechanismen die Objektivität der Überwachungsstelle nicht durch Interessenskonflikte kompromittiert ist.

[21]

Verhaltensregeln müssen geeignete Sanktionsregelungen für jene Fälle vorsehen, in denen Überwachungsstellen Verstöße gegen Verhaltensregeln feststellen. Dabei kann es sich etwa um vorläufige oder endgültige Ausschlüsse von den Verhaltensregeln handeln. Die Aufsichtsbehörde muss zusätzlich über solche Maßnahmen informiert werden.44

[22]

Unklar ist, ob zur Begründung der Rechte einer Überwachungsstelle bereits eine einseitige Verpflichtungserklärung ausreicht, oder ob eine vertragliche Konstruktion erforderlich ist.45

[23]

Die Überwachung durch die Überwachungsstelle muss geeignet sein, Verstöße gegen die Selbstverpflichtung aufzudecken, so kann etwa eine stichprobenartige Kontrolle vorgesehen werden. Eine Vor-Ort-Kontrolle ist nicht zwingend erforderlich und der Einsatz von qualifizierten Dritten, wie etwa Auditoren, zulässig.46

[24]

Die Überwachungsstelle muss unabhängig sein, worunter eine personelle, rechtliche oder wirtschaftliche Unabhängigkeit zu verstehen ist. Dies soll auch sicherstellen, dass kein «race-to-the-bottom», erfolgen kann.47 Gesellschaftsrechtliche, personelle oder sonstige wirtschaftliche Verbindungen zu den zu kontrollierenden Einrichtungen schaden dann nicht, wenn sichergestellt wird, dass keine Interessenkonflikte vorliegen.48 Eine erforderliche Finanzierung sollte dabei durch alle überwachten Verantwortlichen bzw. Auftragsverarbeiter erfolgen. Zudem muss die Überwachungsstelle das erforderliche datenschutzrechtliche und branchenspezifische Fachwissen aufweisen und ein gewisses technisches und organisatorisches Verständnis vorhanden sein.49

[25]

Es müssen Verfahren festgelegt sein, nach denen die Stelle die Konformität erheben und die Überwachung durchführen wird.50 Prüfschemata müssen dabei so detailliert sein, dass überprüfte Unternehmen erkennen können, welche Erfordernisse sie erfüllen müssen.51 Dabei könnten etwa umfangreiche detaillierte Checklisten erstellt und verwendet werden. Darüber hinaus müssen Kriterien festgelegt sein, nach denen die Auswahl der Verantwortlichen oder Auftragsverarbeiter bei der Durchführung der Prüf- und Überwachungskompetenz erfolgt.52 Die Überwachungsstelle muss zudem Strukturen und Verfahren festgelegt haben, mit denen sie Beschwerden in Zusammenhang mit den Verhaltensregeln nachgehen kann, wobei diese für betroffene Personen und die Öffentlichkeit transparent gemacht werden.

[26]

Sofern die Überwachungsstelle die gebotenen Maßnahmen gegen ein Unternehmen nicht ergreift oder die Aufsichtsbehörde nicht über ergriffene Maßnahmen in Kenntnis setzt, ist dies – gemäß Art. 83 Abs. 4 lit. c DSGVO mit einer Geldbuße bis zu € 10. Mio oder zwei Prozent des weltweiten Vorjahresumsatzes bedroht.

8.2.

Akkreditierung der Überwachungsstelle ^

[27]

Bei der Schaffung von Verhaltensregeln, kann nur eine durch die DSB akkreditierte Stelle als Überwachungsstelle ausgewählt werden. Künftige Überwachungsstellen müssen einen Antrag auf Akkreditierung stellen.53 Der Antrag muss die konkrete Bezeichnung der Verhaltensregeln oder des Bereichs von genehmigten Verhaltensregeln, für den die Akkreditierung erfolgen soll, beinhalten.54 Die genaueren Voraussetzungen dieser Akkreditierung werden nach Information der DSB voraussichtlich in der ersten Jahreshälfte 2019 mittels einer eigenen Akkreditierungs-Verordnung durch die DSB kundgemacht.55 Die Akkreditierungsvoraussetzungen müssen von der nationalen Aufsichtsbehörde dem Datenschutzausschuss übermittelt werden.56 Im Wege des Kohärenzverfahrens gemäß Art. 63 DSGVO hat der Europäische Datenschutz-Ausschuss Stellung zu beziehen. Umstritten ist, ob die Überwachungsstelle einen Sitz im entsprechenden Mitgliedstaat haben muss.57

[28]

Bereits vor Erlass der nationalen Akkreditierungs-Verordnung können Anträge auf die Genehmigung von Verhaltensregeln gestellt werden. Die DSB genehmigt Verhaltensregeln bis zu diesem Zeitpunkt nur unter der aufschiebenden Bedingung, dass die jeweilige Verhaltensstelle nachfolgend akkreditiert wird.58

[29]

Sofern eine Überwachungsstelle die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt, oder wenn die Stelle Maßnahmen ergreift, die nicht mit der DSGVO vereinbar sind, hat die Aufsichtsbehörde die Akkreditierung zu widerrufen.

9.

Förderungspflicht ^

[30]

Gemäß Art. 40 DSGVO sollen die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission die Ausarbeitung von Verhaltensregeln fördern, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.59 Diese Förderpflicht war bereits in der Datenschutz-Richtlinie vorgesehen.60 In Art. 57 Abs. 1 lit. m DSGVO wird den Aufsichtsbehörden explizit die Pflicht auferlegt, die Ausarbeitung von Verhaltensregeln zu fördern. Die Aufsichtsbehörden haben dabei Stellungnahmen abzugeben und Verhaltensregeln die ausreichende Garantien gemäß Art. 40 Abs. 5 DSGVO bieten, zu genehmigen.

[31]

In welcher Form die Aufsichtsbehörden bzw. die anderen in Art. 40 Abs. 1 DSGVO genannten Stellen, die Ausarbeitung von Verhaltensregeln zu fördern haben, legt die DSGVO jedoch nicht fest. Darunter wird die Schaffung eines Umfeldes zu verstehen sein, welches dafür sorgt, dass sich selbstregulatorische Verhaltensregeln zu einem wirksamen Instrument datenschutzrechtlicher Selbstkontrolle entwickeln können.61

[32]

Die Förderung der Ausarbeitung könnte grundsätzlich durch eine Vielzahl an Maßnahmen, wie etwa Beratungen62 oder eine vermehrte Öffentlichkeitsarbeit für die Erstellung von Verhaltensregeln durch die Aufsichtsbehörden, erfolgen. Auch sind finanzielle Unterstützungen,63 etwa in Form von Förderungen, denkbar. In der Literatur wurde diesbezüglich angeregt, dass von Seiten des Europäischen Datenschutzausschusses und der österr. DSB eine detailliertere Klarstellung erfolgen sollte, was von Entwürfen zu Verhaltensregeln erwartet werde und wie die Ausgestaltung zu erfolgen habe.64

10.

Aktueller Stand und Ausblick ^

[33]

Bislang65 wurden – nach Kenntnis der AutorInnen – sechs Verhaltensregeln bei der DSB eingereicht und ein Antrag – jener der ISPA (Internet Service Providers Austria) – «aufschiebend bedingt» genehmigt. Die bisherigen Praxiserfahrungen mit der österreichischen DSB zeigen auf, dass die DSB bislang unterschiedliche Vorgehensweisen gewählt hat und die Bandbreite von nicht näher begründeten Untersagungen einzelner Bestimmungen von Verhaltensregeln bis zu detaillierten Ausführungen inklusive der Erteilung Verbesserungsvorschlägen hinsichtlich von Inhalten in Verhaltensregeln reicht. Eine Problematik ist dabei, dass nicht nur die Einreichung von Verhaltensregeln,66 sondern vor allem der Erstellungsprozess von Verhaltensregeln in der Regel mit Kosten durch den Zukauf von Beratungsleistungen verbunden ist und daher (durchaus unpräjudizielle) Vorabgespräche bzw. Vorabbegutachtungen von Entwürfen sinnvoll wären, um unnötige Aufwendungen zu vermeiden.

[34]

Da Verfahren zur Genehmigung von Verhaltensregeln – anders als Beschwerdeverfahren – keine Einzelfallprüfung zum Gegenstand haben, sondern diese generell abstrakte Wirkung besitzen (und gerade keine allgemeine Genehmigung von Geschäftsmodellen in Form von Verhaltensregeln erfolgen kann),67 wären solche Vorgehensweisen uE von der Förderpflicht in Art. 40 und Art. 57 Abs. 1 lit. m DSGVO gedeckt.

[35]

Die bisherigen Erfahrungen zeigen auch, dass nicht nur auf der rechtlichen Ebene viele Aspekte zu berücksichtigen sind, sondern auch ausreichend viele Abstimmungsrunden und Feedbackschleifen durchzuführen sind, um die Meinung der Verbandsmitglieder im Zuge der Ausarbeitung ausreichend zu berücksichtigen. Verhaltensregeln können sich nur dann zu einem erfolgreichen Instrument der datenschutzrechtlichen Selbstregulierung entwickeln, wenn sie von der Zustimmung möglichst vieler Branchenmitglieder getragen werden.

[36]

Dabei ist die gemeinsame Erarbeitung jener Verarbeitungskonstellationen wesentlich, die Präzisionsbedarf aufweisen. Hier können Konstellationen zu Tage treten, in denen in manchen Bereichen bestimmte Regulierungen mangels ausreichender Homogenität von Verbandsmitgliedern nicht erarbeitet werden können.

  1. 1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
  2. 2 Vgl. ErwGr. 98 DSGVO.
  3. 3 Vgl. Paal in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 40 Rz 3.
  4. 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31.
  5. 5 Vgl. Art. 27 Abs. 1, RL 95/46/EG: Die Mitgliedstaaten und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemäßen Durchführung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen.
  6. 6 Vgl. Hötzendorfer in Gantschacher/Jelinek/Schmidl/Spanberger, DSGVO, 2017, Art. 40 Rz 2 m.w.N.
  7. 7 Vgl. Spohn/Nödl/Markowski in Feiler/Raschhofer (Hrsg.), Innovation und internationale Rechtspraxis, Praxisschrift für Wolfgang Zankl, 2009, S. 546.
  8. 8 Vgl. Feiler/Forgó, EU-DSGVO, 2017, Art. 40, Rz 1.
  9. 9 Vgl. auch Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874 (alle in diesem Beitrag zitierten Internetquellen wurden am 7. Januar 2019 zuletzt aufgerufen).
  10. 10 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 40 Rz 23; zur Frage der Rechtswirkungen und Selbstbindung siehe (für Deutschland) Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 40 ff.
  11. 11 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 1. Zur österreichischen Rechtslage siehe BERKA Grundrechte – Grundfreiheiten und Menschenrechte in Österreich, Springer, 1999, Rz 986; VfGH, VfSlg. 8375/1978.
  12. 12 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 14.
  13. 13 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  14. 14 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 13.
  15. 15 Vgl. Paal in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 40 Rz 11; Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40. Rz 13 unter Verweis auf Bergt/Bertemann in Koreng/Lachenmann (Hrsg.), Formularhandbuch Datenschutzrecht, S. 185.
  16. 16 Vgl. Paal in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 40 Rz 9, der die Vorlage von bloß unternehmensintern wirkenden Verhaltensregeln ablehnt.
  17. 17 Vgl. auch Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  18. 18 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 18.
  19. 19 Siehe dazu auch Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  20. 20 Vgl. Paal in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 40 Rz 15. Ebenso LEPPERHOFF, in: Gola, DS-GVO (Hrsg.), Art. 40 Rz 13.
  21. 21 Vgl. Bergt in Kühling/Buchner (Hrsg.), 2018, Art. 40 Rz 18.
  22. 22 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  23. 23 Vgl. Bergt in Kühling/Buchner (Hrsg.), 2018, Rz 17. Vgl. auch Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  24. 24 Vgl. Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  25. 25 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 40 Rz 25.
  26. 26 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 40 Rz 12 m.w.N; Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 24.
  27. 27 Vgl. Paal in Paal/Pauly (Hrsg.), DS-GVO, 2017, Art. 40 Rz 16.
  28. 28 Vgl. Art. 40 Abs. 6 DSGVO.
  29. 29 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  30. 30 Siehe Website des Europäischen Datenschutzausschusses: https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions_de.
  31. 31 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 2.
  32. 32 Vgl. auch Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  33. 33 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 30; Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  34. 34 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 8. So auch Wolff in Schantz/Wolff, (Hrsg.), Das neue Datenschutzrecht, 2017, S. 389 Rz 1283.
  35. 35 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  36. 36 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 40 Rz 17, der die Öffnung an Nichtmitglieder befürwortet.
  37. 37 ISPA – Internet Service Providers Austria, Datenschutzgrundverordnung – Code of Conduct für Internet Service Provider Version 1.0. v. 26.11.2018: Geltungsbereich: Diesen Verhaltensregeln können sich Internet Service Provider, welche öffentliche Kommunikationsnetze oder -dienste bereitstellen und über eine Allgemeingenehmigung im Sinne von § 15 TKG verfügen, unterwerfen.
  38. 38 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 20. Siehe auch Informationsschreiben der DSB: https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  39. 39 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 41 Rz 5.
  40. 40 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  41. 41 Vgl. Bergt in Kühling/Buchner, DS-GVO (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 22.
  42. 42 Vgl. Braunmühl in Plath (Hrsg.), BDSG/DS-GVO, 2016, Art. 40 Rz 13.
  43. 43 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 41 Rz 5.
  44. 44 Vgl. Lepperhoff in Gola (Hrsg), DS-GVO, 2018, Art. 41 Rz 8.
  45. 45 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Art. 40 Rz 22.
  46. 46 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 41, Rz 9.f.
  47. 47 Vgl. Bergt in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2018, Rz 22.
  48. 48 Vgl. Lepperhoff in Gola (Hrsg.), DS-GVO, 2018, Art. 41, Rz 16.
  49. 49 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 138.
  50. 50 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 138.
  51. 51 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 138.
  52. 52 Vgl. Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 41 Rz 18.
  53. 53 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 137.
  54. 54 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 140.
  55. 55 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  56. 56 Vgl. Art. 41 Abs. 3 DSGVO.
  57. 57 Verneinend Kröpfl, Datenschutzrechtliche Verhaltensregeln in Jahnel (Hrsg.), Datenschutzrecht, Jahrbuch 2018, S. 137.; aA Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 41 Rz 20.
  58. 58 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  59. 59 Vgl. dazu auch die Empfehlung 2003/361/EG der Kommission.
  60. 60 Vgl. ErwG 61 zu RL 1995/46/EG.
  61. 61 Vgl. Paal in Paal/Pauly (Hrsg.), DSGVO, 2017, Art. 40 Rz 5.
  62. 62 Vgl. Lepperhoff in Gola, DS-GVO, 2018, Art. 40 Rz 7.
  63. 63 Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 41 Rz 20.
  64. 64 Vgl. Kröpfl, Datenschutzrechtliche Verhaltensregeln, in Jahnel (Hrsg), Datenschutzrecht, Jahrbuch 2018, S. 140.
  65. 65 Stand, Jänner 2019.
  66. 66 Ein Antrag auf Genehmigung von Verhaltensregeln an die DSB löst eine Gebührenpflicht aus. Siehe dazu Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.
  67. 67 Informationsschreiben der DSB zum Thema Verhaltensregeln https://www.dsb.gv.at/documents/22758/844171/Verhaltensregeln.pdf/fb4e8d2d-6cbc-43fc-80b6-d91318b24874.