DA+

Aufsatz : Ko-Regulierung vor einer neuen Blüte: Impulse für datenschutzspezifische Zertifizierungsverfahren und Verhaltensregelungen (2. Teil Verhaltensregeln) : aus der RDV 5/2016, Seite 240 bis 246

Lesezeit 21 Min.

Was der nationale Gesetzgeber über § 9a und 38a BDSG über Jahre in die Wege zu leiten versuchte, wird mittels der EU Datenschutz-Grundverordnung (DS-GVO) Wirklichkeit: Das künftige EU-Recht sieht einen Abschnitt zu Verhaltensregeln und Zertifizierung (Art. 40 – 43) vor. Hierdurch wird Verbänden und anderen Vereinigungen die Möglichkeit eingeräumt, Verhaltensregeln auszuarbeiten, zu ändern oder zu erweitern, um Datenschutzanwendungen in verschiedener Hinsicht zu präzisieren. Diese Verhaltensregeln können von der Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9). Inwieweit Verhaltensregeln von Datenschutz-Zertifizierungsverfahren abzugrenzen sind, ist ebenso von Interesse wie Formen ihrer Umsetzung. Die Fokusgruppe Datenschutz der Plattform 6 „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ des Nationalen IT-Gipfels möchte Leitlinien für die Pseudonymisierung personenbezogener Daten, als besonders praxisrelevanten Bereich für eine Datenschutzanwendung, definieren, die in eine eigene Verhaltensregel im Sinne der DS-GVO münden können.

I. Einleitung

Im Gegensatz zu den Zertifizierungsverfahren im Datenschutz haben die Verhaltensregeln bereits über Art. 27 Einzug in die EU-Datenschutzrichtlinie 95/46/EG (EU-Datenschutzrichtlinie) gehalten, um eine ordnungsgemäße Durchführung der einzelstaatlichen Vorschriften nach Maßgabe der Besonderheiten eines einzelnen Bereichs zu berücksichtigen. Entsprechend sieht § 38a BDSG vor, dass Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten können. Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.

Die DS-GVO knüpft an die Impulse der EU-Datenschutzrichtlinie an und schafft über Art. 41 – 42 gesetzliche Grundlagen für die Erarbeitung, Änderung oder Erweiterung von Verhaltensregeln. Art. 40 Abs. 1 DS-GVO enthält dabei – wie schon sein Pendant für die Zertifizierung – den Appell an Mitgliedstaaten, Aufsichtsbehörden, Datenschutzausschuss und Kommission, die Ausarbeitung solcher Verhaltensregeln nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstuntunternehmen sowie kleinen und mittleren Unternehmen zu fördern. Wie bereits im Zuge der Analyse der Zertifizierungsverfahren[1] sollen zunächst bestehende Ansätze für Verhaltensregeln dargestellt werden, bevor eine vertiefte Darstellung nach der DS-GVO und Möglichkeiten ihrer Umsetzung erfolgt.

II. Bestehende Ansätze für Verhaltensregeln

Initiativen hinsichtlich der Erarbeitung von Verhaltensregeln, auch als „Code of Conduct“ bezeichnet, bestehen auf europäischer Ebene, allerdings kann deren Verbreitung als gering eingestuft werden. So widmete sich die International Air Transportation Association (IATA) früh nach Gültigkeit der EU-Datenschutzrichtlinie den einheitlichen Regeln im Datenschutz bei den grenzüberschreitenden Datenflüssen im internationalen Luftverkehr bei der Beförderung von Personen und Fracht. Allerdings wurde dieses Dokument nie als Verhaltenskodex im Sinne des Art. 27 Abs. 3 der EU-Datenschutzrichtlinie finalisiert und kam damit nicht über das Stadium einer Vorlage für die Erstellung von Verhaltensregeln hinaus.[2] Weiter gediehen ist der Vorstoß der Federation of European Direct and Interactive Marketing (FEDMA), verbindliche Verhaltensregeln aufzustellen. So postuliert der „European Code of Practice for the use of personal data in direct marketing“[3] Regeln für einen Umgang mit personenbezogenen Daten beim Direktmarketing, die nach Auffassung der Artikel-29-Datenschutzgruppe als im Einklang mit der EU-Datenschutzrichtlinie bzw. der Richtlinie 2002/58/EG anzusehen sind.[4] Ferner ermöglichten die Regeln einen hinreichenden und zu fordernden Mehrwehrt.[5] Auch dem Bereich des Direktmarketings zuordnenbar ist das IAB Europe EU Framework for Online Behavioural Advertising[6], das jedoch nie den Grad einer gemeinschaftlich anerkannten Verhaltensregel erlangt hat.[7] Auch der in jüngerer Vergangenheit entwickelte Code of Conduct der Cloud Select Industry Group (C-SIG), der sich mit einheitlichen Vorgaben für den Datenschutz beim Cloud Computing befasst, konnte die europäische Hürde der Artikel 29-Datenschutzgruppe aufgrund rechtlicher Bedenken sowie mangelndem Mehrwehrt noch nicht nehmen.[8]

Auf nationaler Ebene ist der Code of Conduct der Versicherungswirtschaft („Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“) hervorzuheben[9], der unter Federführung des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) und im Einvernehmen mit den Mitgliedsunternehmen entwickelt wurde. Diesen Verhaltensregeln liegt nicht nur die Zustimmung der zuständigen Aufsichtsbehörden der Mitgliedsverbände des GDV zugrunde, sondern auch die Genehmigung des Berliner Beauftragten für Datenschutz und Informationsfreiheit als die für den GDV zuständige Aufsichtsbehörde gemäß § 38a BDSG. Die Verhaltensregeln sollen den bestehenden rechtlichen Rahmen ergänzen und konkretisieren und Gewähr bieten, dass Datenschutz- und Datensicherheitsbelange bei der Gestaltung und Bearbeitung von Produkten und Dienstleistungen berücksichtigt werden. Um die Datenverarbeitung aller beigetretenen Unternehmen zu regeln, sind sie möglichst allgemeingültig formuliert[10]. Sollen Verhaltensregeln daher für möglichst viele beitretende Organisationen gelten, dürfte ein konkreter Anforderungskatalog bezüglich technisch-organisatorischer Maßnahmen beispielsweise schwierig umzusetzen sein.

Als jüngeres Beispiel einer genehmigten Verhaltensregel dient der GeoBusiness Code of Conduct – Verhaltensregel zur Geodatennutzung durch Wirtschaftsunternehmen[11], ein von der Selbstregulierung in der Informationswirtschaft (SRIW e. V.) beantragter Verhaltenskodex, damit die wirtschaftliche Nutzung von Geodaten öffentlicher Stellen durch Unternehmen nach einer anerkannten Selbstverpflichtungserklärung für den Umgang mit den Geodaten erfolgen kann. Charakteristisch für den Kodex ist der verpflichtende Einsatz eines Datenschutzmanagementsystems sowie angemessener technisch-organisatorischer Maßnahmen. Die überschaubare Anzahl von Verhaltensregeln auf nationaler und europäischer Ebene sowie zahlreiche gescheiterte Initiativen zeigen, dass der bestehende Rahmen für solche Instrumente der Selbstregulierung noch nicht Anreiz genug ist bzw. es an Rechtsklarheit bei der Erstellung und Anwendung mangelt.

III. Verhaltensregeln nach der DS-GVO

1. Rechtlicher Rahmen

Telos der „Verhaltensregeln 2.0“ in der DS-GVO ist die Präzisierung der Anwendung der rechtlichen Vorgaben, resultierend aus den oftmals zu findenden generalklauselartigen Formulierungen. Art. 40 Abs. 2 DS-GVO bietet dabei eine nicht abschließende Liste für mögliche Präzisierungen durch Verbände oder andere Vereinigungen, so unter anderem bezüglich einer fairen und transparenten Verarbeitung, berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen, den Betroffenenrechten, der Datensicherheit, der Übermittlung personenbezogener Daten an Drittländer und der Pseudonymisierung. Verantwortliche und Auftragsverarbeiter mit ausschließlichem Sitz in einem Drittland, die nicht in den Anwendungsbereich der DS-GVO fallen, mithin weder Betroffenen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten in der EU beobachten, können sich genehmigten und für allgemeingültig erklärten Verhaltensregeln unterwerfen, um eine Garantie für die Übermittlung personenbezogener Daten in das jeweilige Drittland zu bieten (vgl. Art. 40 Abs. 3 S. 1 DSGVO). Wie bereits die Zertifizierungsverfahren, erfordern auch die Verhaltensregeln die Überwachung der Einhaltung ihrer Bestimmungen, was die Frage nach der Abgrenzbarkeit der beiden Instrumente aufwirft (vgl. II. 4.). Der beispielhafte Katalog möglicher Präzisierungen zeigt, dass Verhaltensregelungen über die Impulse der Kommission[12] hinausgehen können. Denkbar sind damit auch Verhaltensregelungen für Auftragsdatenverarbeiter[13] ebenso wie für gemeinsam für die Verarbeitung Verantwortliche beispielsweise. Die als redaktionelles Versehen einzustufende Begrenzung auf verantwortliche Stellen in Art. 27 Abs. 2 der EU-Datenschutzrichtlinie bzw. § 38 Abs. 1 BDSG entfällt unter der DS-GVO, die Auftragsverarbeiter ausdrücklich in den Geltungsbereich der Verhaltensregeln mit einbezieht (Art. 40 Abs. 2 S. 1 DS-GVO). Verhaltensregeln sollen überdies den besonderen Risiken einer Verarbeitung Rechnung tragen, die als wahrscheinlich gelten (ErwG 98 S. 2). Der risikoorientierte Ansatz ist dabei ein prägendes Merkmal der DS-GVO. Inhaltliche Anforderungen an Verhaltensregeln stellt die DS-GVO im Übrigen nicht.

2. Überwachung

Art. 40 Abs. 4 DS-GVO enthält den unabdingbaren Appell, Verfahren für eine Überwachung der Verhaltensregeln vorzusehen. Eine Konkretisierung der Vorgaben an eine Überwachung erfolgt in Art. 41 DS-GVO, wobei sich diese an die überwachende Stelle richten, die bei der zuständigen Datenschutz-Aufsichtsbehörde zu akkreditieren ist.

Entweder die die Verhaltensregeln erlassende Organisation selbst oder eine unabhängige und fachkundige Stelle überwacht die Einhaltung der Verhaltensregeln (Art. 41 Abs. 1 DS-GVO). Die Akkreditierung ist – wie schon im Rahmen der Zertifizierungsverfahren – mit der Erfüllung besonderer Anforderungen verbunden. Fachkunde, Unabhängigkeit, eine regelmäßige Überprüfung der Einhaltung und Anwendung der Vorgaben der Verhaltensregeln werden dabei ebenso gefordert wie das Vorhandensein eines transparenten Umgangs mit Beschwerden und ein Ausschluss von Interessenskonflikten. Ferner ist die Anwendbarkeit der Verhaltensregeln beim Verantwortlichen oder Auftragsverarbeiter zu prüfen. Ob hiermit eine realistische Möglichkeit der Umsetzung vorgesehen ist oder gar eine besondere Praxistauglichkeit der Regeln gefordert wird, ergibt sich aus dem Gesetzeswortlaut nicht unmittelbar. Aus Gründen der gewünschten Verbreitung von Verhaltensregeln auf europäischer Ebene werden auch strengere Vorgaben als die in der DS-GVO geforderten formuliert werden könnten, so lange diese bei den Datenverarbeitern in irgend einer Form angewendet bzw. umgesetzt werden können. Die Differenzierung zwischen Einhaltung und Anwendung zeigt auch, dass ein Datenverarbeiter sein Handeln an den Verhaltensregeln auszurichten hat. Hier wird wiederum der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO Rechnung zu tragen sein, die über eine bloße Einhaltung gesetzlicher Vorgaben hinausgeht und eine nachvollziehbare Anwendung solcher Anforderungen fordert. Im Übrigen werden keine besonderen Vorgaben an die Form der Überwachung gestellt. Folglich wäre der Einsatz von Fragebögen wie im Rahmen des EU-U.S. Privacy Shield ebenso denkbar, wie die Durchführung von Vor-Ort-Kontrollen. Durch die Gleichschaltung mit den Anforderungen an eine zu akkreditierende Stelle bei den Zertifizierungsverfahren wird ersichtlich, dass Brüssel im Rahmen der überwachenden Stelle keine „Zertifizierung light“ bezweckte.

3. Anerkennung durch die Aufsicht

Ein entwickelter Kodex ist der Aufsichtsbehörde vorzulegen, die für den Verband bzw. die Vereinigung gem. Art. 55 DS-GVO zuständig ist. Die weitere Ausgestaltung des Verfahrens auf nationaler Ebene, bedingt durch eine föderale Struktur, wird durch die DS-GVO nicht beantwortet. Hier wären ergänzende Regelungen, wie die Zusammenarbeit zwischen den Aufsichtsbehörden der Länder – immerhin sollen Verhaltensregeln eine breite Verbreitung genießen – wünschenswert. Die zuständige Behörde prüft sodann den Kodex auf Vereinbarkeit mit der DS-GVO. Ist dies der Fall und enthalten die Verhaltensregeln ausreichende Garantien, erfolgt eine Aufnahme in das Verzeichnis für Verhaltensregeln bei der Aufsicht und eine Veröffentlichung (Art. 40 Abs. 6 DS-GVO).

Sobald mit den erarbeiteten Regeln erhebliche Auswirkungen für eine bedeutende Zahl Betroffener in mehreren Mitgliedstaaten einhergehen, ist vor der Genehmigung das Kohärenzverfahren gem. Art. 63 zu durchlaufen (Art. 40 Abs. 7 DS-GVO). Hierbei gibt der Europäische Datenschutzausschuss seine Stellungnahme ab, ob der Kodex im Einklang mit der DS-GVO steht und die geforderten Garantien bietet. Auch hierbei wird nach erfolgter Anerkennung über ein öffentlich zugängliches Register Transparenz gewahrt (Art. 40 Abs. 11 DS-GVO). Rechtsfolgen einer Anerkennung durch die zuständige Aufsicht – mit oder ohne Einbeziehung des Europäischen Datenschutzausschusses – werden durch die DS-GVO nicht formuliert.

4. Abgrenzung zu Zertifizierungsverfahren

Während die Verhaltensregeln hinsichtlich einer ordnungsgemäßen Anwendung beitragen (Art. 40 Abs. 1 DS-GVO), sollen Zertifizierungsverfahren einen Nachweis für die Einhaltung der DS-GVO erbringen (Art. 42 Abs. 1 DS-GVO). Der europäische Gesetzgeber verfolgt daher grundsätzlich zwei unterschiedliche Ziele: Zum einen sollen Unklarheiten bei der Anwendung der DS-GVO mithilfe der Verhaltensregeln beseitigt werden. Hierdurch bedient man sich entsprechender Initiativen von Verbänden und Vereinigungen. Die Zertifizierungsverfahren hingegen zielen auf einen Nachweis einer nach der DS-GVO ordnungsgemäßen Datenverarbeitung ab. D.h. hier wird der Versuch unternommen, Datenschutzkonformität sichtbar zu machen, um das Vertrauen in eine Datenverarbeitung zu stärken – ein wichtiger Leitgedanke der DS-GVO gegenüber Verantwortlichen und Betroffenen. Dieses Sichtbarmachen zeigt sich im Rahmen der Zertifizierungsverfahren auch dadurch, dass ein Verantwortlicher oder Auftragsverarbeiter gegenüber der Prüfstelle alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung zu stellen und ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Ver arbeitungstätigkeiten zu gewähren hat (Art. 42 Abs. 6 DS-GVO). Die Verhaltensregeln hingegen werden nicht durch den Gedanken attestierter Rechtskonformität getragen. Sie wollen einer Rechtsunsicherheit begegnen und konkrete Szenarien durchleuchten. Anforderungen an die Überprüfbarkeit von Datenverarbeitern sind dort nicht enthalten. Hinsichtlich der Rechtsfolgen genehmigter Verhaltensregeln, denen sich ein Verantwortlicher oder Auftragsverarbeiter unterwirft, bedarf es keiner Klarstellung, dass solche Stellen weiterhin vollumfänglich zur Einhaltung der DS-GVO verpflichtet sind, immerhin möchten diese zu ihrer ordnungsgemäßen Anwendung beitragen. Allerdings sollen eingehaltene Verhaltensregeln bei der Verhängung einer Geldbuße durch eine Aufsichtsbehörde berücksichtigt werden (Art. 83 Abs. 2 Buchst. j), was als Anreiz für eine Erarbeitung verstanden werden sollte.

Trotz der unterschiedlichen Zielsetzung liegt beiden Instrumenten ein gemeinsamer Gedanke zugrunde: Es bedarf eines Anforderungskatalogs – im besten Fall auch bei der Zertifizierung öffentlich zugänglich –, um Hinweise für eine datenschutzkonforme Umsetzung der DS-GVO zu geben. Im Sinne eines gestuften Modells wären die Verhaltensregeln als wichtige Grundlage für ein Zertifizierungsverfahren zu sehen. Auf Basis dieses Anforderungskatalogs würden dann Anforderungen an das Verfahren um Überwachung und Durchsetzung formuliert werden. Die besondere Wertigkeit von Zertifizierungsverfahren manifestiert sich in der DS-GVO jedoch hauptsächlich in Gestalt der getroffenen Aussagen der unabhängigen Prüfer hinsichtlich der Datenschutzkonformität der Datenverarbeitung. Denn sowohl bei den Zertifizierungsverfahren als auch bei den Verhaltensregeln werden Anforderungen an die überwachende Stelle gestellt, die im Kern deckungsgleich sind. Hier wäre es wünschenswert, die besondere Bedeutung der Zertifizierung durch strengere Vorgaben an die Zertifizierungsstelle hervorzuheben, beispielsweise durch die Formulierung besonderer Anforderungen an eingeschaltete Prüfer oder die Definition eindeutiger Kriterien für mögliche Interessenskonflikte von Prüfer und Zertifizierungsstelle sowie die Veröffentlichung der Prüfkriterien zugunsten der Allgemeinheit.

5. Rolle der Kommission

Die Kommission wird erst spät in die Prüfung bzw. Genehmigung von Verhaltensregeln einbezogen. Primäre Anlaufstelle bleibt die zuständige Aufsichtsbehörde, die mit ihrer Fachkunde eine Genehmigungsfähigkeit solcher Regeln aussprechen kann. Betreffen Verhaltensregeln mehrere Mitgliedstaaten, legt die genehmigende Aufsicht diese Regeln dem Datenschutzausschuss im Rahmen des Kohärenzverfahrens nach Art. 63 DS-GVO vor. Erst wenn der Datenschutzausschuss die Regeln als im Einklang stehend mit der DS-GVO sieht bzw. diese ausreichende Garantien für einen Drittlandstransfer bieten (Art. 40 Abs. 3), leitet er seine Stellung nahme an die Kommission weiter. Sie kann sodann – muss aber nicht – im Rahmen eines Durchführungsakts[14] beschließen, dass die Verhaltensregeln allgemeine Gültigkeit in der Union besitzen sollen. Welche Inhalte einer Verhaltensregel die Kommission zu einer Erhebung hin zu einer Allgemeingültigkeit veranlassen könnten, ergibt sich aus der DS-GVO nicht. Bei der Entscheidungsfindung ist das Ausschussverfahren nach Art. 93 Abs. 2 DS-GVO vorgesehen, das gemäß der Vorgaben der Verordnung (EU) Nr. 182/2011 durch die Mitgliedstaaten kontrolliert wird. Dies umfasst jedoch kein transparentes Verfahren für die Öffentlichkeit, was bereits in der Entscheidungsfindung zum EU-U.S. Privacy Shield zu einer eingeschränkten Nachvollziehbarkeit geführt hat. Hierbei wären transparente Gründe für eine Allgemeingültigkeit wünschenswert.

Die (Rechts)folgen einer Allgemeingültigkeit werden weder in der DS-GVO noch im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) normiert. Grundsätzlich sollen Durchführungsrechtsakte, in deren Bahnen die Entscheidung über eine Allgemeingültigkeit erfolgt, einheitliche Bedingungen für bindende Rechtsakte der EU schaffen. Ihnen ist kein Gesetzgebungsakt immanent. Ob ein Verstoß gegen für allgemeingültig erklärte Verhaltensregeln damit gleichzeitig einen Verstoß gegen die DS-GVO bedeutet, ist damit noch ungeklärt. Die Klärung dieser Frage wird im Zuge einer Einzelfalluntersuchung einer Verhaltensregel erfolgen müssen, nämlich ob diese den Rahmen der DS-GVO konkretisiert – was dann für einen Verstoß sprechen würde – oder ob gar strengere Vorgaben festgelegt wurden, was dann wiederum nicht zwingend für einen Verstoß sprechen muss.

IV. Anforderungen an Verhaltensregeln

Die DS-GVO hält sich mit der Formulierung konkreter Anforderungen an Verhaltensregeln weitestgehend zurück. Der gewünschte Beitrag zur ordnungsgemäßen Anwendung der DS-GVO wird in Art. 40 Abs. 2 DS-GVO lediglich dergestalt ergänzt, dass Vorschläge für mögliche Präzisierungen gemacht werden. Diese Vorschläge sind beispielhafter Natur und enthalten keine inhaltlichen Anforderungen an eine Verhaltensregel.

Es liegt folglich nahe, den Blick über die DS-GVO hinaus zu richten, um Hinweise für konkrete Anforderungen an Verhaltensregeln zu erhalten. Hier helfen zunächst Aussagen der Artikel-29-Datenschutzgruppe bei der Beurteilung erarbeiteter Verhaltensregeln (vgl. II.). Im Übrigen enthält die Richtlinie 2006/123/EG über Dienstleistungen im Binnenmarkt in Art. 37 wie schon die DS-GVO – die allgemeine Aufforderung an Mitgliedstaaten, in Zusammenarbeit mit der Kommission begleitende Maßnahmen vorzunehmen, um insbesondere Berufsverbände, -organisationen und -vereinigungen zu ermutigen, auf Gemeinschaftsebene im Einklang mit dem Gemeinschaftsrecht Verhaltenskodizes auszuarbeiten. Darüber hinaus werden über Erwägungsgrund 114 the matische Vorschläge für Verhaltensregeln im Dienstleistungssektor gemacht, so sollten je nach Art der einzelnen Berufe Bestimmungen über die kommerzielle Kommunikation in den reglementierten Berufen sowie die Standesregeln der reglementierten Berufe enthalten sein, die insbesondere die Wahrung der Unabhängigkeit, der Unparteilichkeit und des Berufsgeheimnisses gewährleisten. D.h. hier wird ein ähnlicher Ansatz wie bei der DS-GVO verfolgt, indem mögliche Themen für eine Verhaltensregel vorgeschlagen werden. Die Generaldirektion für Dienstleistungen der Europäischen Union hat in diesem Zusammenhang kleinere Hinweise für inhaltliche Rahmenbedingungen von Verhaltensregeln veröffentlicht, um dem Förderungsgedanken des Art. 37 der Richtlinie 2006/123/EG nachzukommen und diesen weiter zu konkretisieren.[15] Den Ausgangspunkt der Ausführungen bildet die ebenso wichtige wie selbstverständliche Feststellung, dass Verhaltensregeln im Einklang mit Europäischem Recht stehen müssen. Aus Sicht des Datenschutzes bedeutet dies, dass solche Regeln sich an Art. 7 und 8 der EUGrundrechtecharta sowie Art. 16 des Vertrags über die Arbeitsweise der EU (AEUV) ebenso zu messen haben werden wie an der DS-GVO als sekundärem Recht. Ein Unterschreiten der gesetzlichen Anforderungen wird sich mit dem Wortlaut des Art. 40 abs. 2 DS-GVO nicht vereinbaren lassen. Verbände und andere Vereinigungen sollten jedoch nicht daran gehindert sein, strenge Anforderungen in ihren Verhaltensregeln zu formulieren. So besagt bereits Erwägungsgrund 115 der Richtlinie 2006/123/EG, dass die Mitgliedstaaten nicht daran gehindert sind, im Einklang mit dem Gemeinschaftsrecht rechtliche Maßnahmen im Zuge der Erarbeitung von Verhaltensregeln zu erlassen, oder die nationalen Berufsverbände, einen stärkeren Schutz in ihren nationalen Verhaltenskodizes vorzusehen. Die Vereinbarkeit mit europäischem Recht ist dabei stets zu berücksichtigen.[16]

Mit Blick auf die Aufsichtsbehörden für den Datenschutz auf nationaler Ebene ergeben sich weitere Erkenntnisse für die Erarbeitung von Verhaltensregeln. So genügt es nach Auffassung des Hessischen Datenschutzbeauftragten im Zuge der Prüfung von Verhaltensregeln eines Sportverbandes nicht, den Wortlaut der einschlägigen datenschutzrechtlichen Regelungen wiederzugeben.[17] Vielmehr müsse ein „Mehrwert“ gegeben sein, d.h. die Verhaltensregel muss die abstrakten gesetzlichen Regelungen branchenspezifisch bzw. kontextbezogen konkretisieren, so dass typische Anwendungsfälle in dem betreffenden Bereich erläutert sind. Eine im Übrigen selbstverständliche Klarstellung, die im in Art. 40 Abs. 2 DS-GVO formulierten Präzisierungsgedanken ihr Pendant findet.

V. Möglichkeiten der Ausgestaltung nach der DS-GVO

Gemäß des in der DS-GVO verfolgten Konkretisierungsansatzes bei den Verhaltensregeln muss der jeweilige Regelungskatalog in der Lage sein, die teilweise generischen Anforderungen der DS-GVO zu präzisieren. Dass damit ein Mehrwehrt verbunden sein muss, ergibt sich aus dem Gesetzestext nicht unmittelbar, wird jedoch aufgrund der Äußerungen der Artikel-29-Datenschutzgruppe, der nationalen Aufsichtsbehörden sowie dem Sinn und Zweck solcher Regeln unumgänglich sein. Ferner müssen die Regeln im Einklang mit der DS-GVO stehen, was gerade bei strittigen Sachverhalten und dem Wirken des neuen Datenschutz-Regimes auf europäischer Ebene ab dem 25.05.2018 eine Herausforderung darstellen wird.

Um eine wichtige Vorarbeit für neue Verhaltensregeln zu leisten und die Bedeutung solcher Präzisierungen der DSGVO aus Sicht des Datenschutzes zu stärken, hat sich die Fokusgruppe Datenschutz im Rahmen des Nationalen ITGipfels der Thematik zugewendet.[18] Im Sinne des gesetzgebe rischen Auftrags nach einer Präzisierung wurde die Pseu donymisierung personenbezogener Daten als Szenario aus gewählt, das auch einen ausreichenden Mehrwert für Datenverarbeiter bieten kann. Die Bedeutung der Pseudonymisierung für die Wirtschaft ergibt sich an zahlreichen Stellen der DS-GVO selbst. Zum einen hat die Pseudonymisierung überhaupt Einzug in das europäische Regelwerk gehalten, was mit Blick auf bestehende Datenschutzgesetze der Mitgliedstaaten keine Selbstverständlichkeit ist. Denn weder die EU-Datenschutzrichtlinie noch die Konvention Nr. 108 kennen diese Art des Datums, im Gegensatz zum anonymen Datum in Abgrenzung zur persönlichen Information. Auch im internationalen Kontext hat die Pseudonymisierung bis dato nicht die Bedeutung erlangt, die sie einzunehmen in der Lage ist. Gerade hier werden wichtige Abgrenzungen zu anonymen Daten, im Kontext US-amerikanischer Datenverarbeiter auch als „none personally identifiable information (non-PII)“ referenziert, vorgenommen werden müssen.

Neben der Begriffsdefinition des Art. 4 Abs. 5 DS-GVO als eine Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen zum Schutz vor Re-Identifizierung unterliegen, fördert die DSGVO die Pseudonymisierung durch eine Ermächtigungsfunktion. Art. 6 Abs. 4 DS-GVO ermöglicht die Zweckänderung einer Datenverarbeitung ohne gesonderte Einwilligung des Betroffenen, vorausgesetzt der neue Zweck ist mit dem der ursprünglichen Datenerhebung vereinbar. Im Rahmen der „Kompatibilitätsprüfung“ hat der Verantwortliche Garantien zu berücksichtigen, die auch in einer Verschlüsselung oder Pseudonymisierung liegen können (vgl. Art. 6 Abs. 4 Buchst. e DS-GVO). Damit hat die Pseudonymisierung als zunächst technisch-organisatorische Maßnahme unmittelbare Auswirkungen auf die Zulässigkeit einer Datenverarbeitung, so beispielsweise im Zuge einer Big Data Anwendung.

Neben der erwähnten Ermächtigungsfunktion fällt der Pseudonymisierung eine besondere Schutzfunktion zugunsten des Betroffenen zu, die seine unmittelbare Identifizierung verhindert. Entsprechend sind Pseudonyme technischorganisatorisch zu schützen, wobei ihre Aufhebung zu einer Verletzung des Schutzes personenbezogener Daten im Sinne der Art. 33 und 34 DS-GVO führt (vgl. ErwG 75). Wertvolle Hinweise, wie eine technisch-organisatorische Absicherung vonstatten gehen kann, finden sich bereits in einem White Paper[19] der European Privacy Advisory Group (EPAG) zu sog. „Key-Coded Data“, die den Pseudonymen gleichgesetzt werden. Hierbei wird auch betont, dass die Einbindung eines vertrauensvollen Dritten hinsichtlich der Pseudonymisierung der Daten bzw. der Speicherung des Schlüssels zum Entschlüsseln des jeweiligen Pseudonyms nicht von der Implementierung technisch-organisatorischer Maßnahmen entbindet, zumal eine Verknüpfung von erhobenen Klardaten und den Pseudonymen nicht auszuschließen ist. Hinweise hinsichtlich adäquater technischer Mittel für die Pseduonymisierung finden sich im besagten White Paper nicht, was durch die Komplexität solcher Verfahren sowie deren Abhängigkeit von den zugrunde liegenden Klardaten erklärt werden kann. Nichtsdestotrotz möchte die Fokusgruppe auch mögliche Werkzeuge für eine Pseudonymisierung evaluieren. Hierbei können Pseudonymisierungstechniken aus der IT-Sicherheit, so beispielsweise im Bereich des Abuse Managements, von Telekommunikationsanbietern genutzt werden. Die im Frühjahr begonnene Tätigkeit der Fokusgruppe soll bis zum Nationalen IT-Gipfel 2017 beendet sein.

VI. Fazit

Verhaltensregeln und Zertifizierungsverfahren verfolgen unterschiedliche Zielsetzungen, haben aber eine gemeinsame und wichtige Basis, die die Frage nach Vor- und Nachteilen in den Hintergrund treten lässt: Ein Prüfkatalog, der Hinweise für eine Umsetzung der DS-GVO liefert und der zuständigen Aufsicht vorzulegen ist. Stellen, die ihren Schwerpunkt auf einer Nachweisbarkeit ihrer rechtskonformen Datenverarbeitung legen, werden die Mühen eines Prüfverfahrens durch unabhängige Prüfer nicht scheuen. Entsprechend werden Dienstleister auf dem Markt ihre Leistung als Zertifizierungsanbieter gestalten, möchten sie eine vertrauenswürdige Aussage hinsichtlich einer datenschutzkonformen Datenverarbeitung eines Verantwortlichen oder Auftragsverarbeiters treffen wollen. Verbände oder Vereinigungen, die Datenverarbeiter vertreten, werden hingegen bemüht sein, ihren Mitgliedern Unterstützung bezüglich der konkreten Umsetzung der gesetzlichen Vorgaben zu geben oder gar das gesetzliche Schutzniveau zu steigern, was nicht nur bei Verarbeitungen „kritischer“ Daten interessant sein dürfte, sondern aufgrund der allgemeinen Formulierungen der DS-GVO mit Blick auf eine notwendige Rechts sicherheit für Datenverarbeiter zwingend notwendig sein wird. Zu bemängeln ist der fehlende Mut des europä ischen Gesetzgebers, den Förderungsgedanken von Zertifizierungsverfahren und Verhaltensregeln mit weiteren gesetzgeberischen Maßnahmen als der Berücksichtigung im Rahmen der Verhängung von Geldbußen zu unterstützen. Hier wäre die Formulierung konkreter Rechtsfolgen ebenso denkbar gewesen wie eine verstärkte Integration der Datenschutz-Aufsicht bereits in der Entwicklungsphase von Verhaltensregeln oder Prüfkatalogen von Zertifizierungsverfahren. Nichtsdestotrotz sind verstärkte Initiativen für solche Verfahren nach Anwendung der DS-GVO zu erwarten – immerhin werden diese nun auf einem einheitlichen Recht basieren und Millionen von Verantwortlichen und Auftragsverarbeitern in der EU betreffen können.

Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Fachhochschule Köln, Mitherausgeber der Fachzeitschrift RDV sowie Vorstandsvorsitzender der GDD e.V., Bonn. Er ist Mitglied der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des nationalen IT-Gipfels der Bundesgierung und leitet dort die Fokusgruppe Datenschutz.

Steffen Weiß, LL.M. Repräsentant Internationales bei der GDD und aktiver Mitarbeiter des europäischen Datenschutz-Dachverbands CEDPO. Er ist Mitglied der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des Nationalen IT-Gipfels und engagiert sich dort u.a. in der Fokusgruppe Datenschutz. Er studierte Rechtswissenschaften an der Universität Heidelberg und erlangte den akademischen Grad des Master of Laws über seine Teilnahme am European Legal Informatics Study Programme mit Stationen in Hannover und Buenos Aires. Vor seiner Tätigkeit bei der GDD war er Berater in Sachen Datenschutz für öffentliche und nicht-öffentliche Stellen. Er hält regelmäßig Vorträge zu datenschutzrechtlichen Themen auf nationalem und internationalem Terrain. Ferner ist er seit 2015 Lehrbeauftragter für Datenschutz an der FH Wedel.

[1] Schwartmann/Weiß, RDV 2016, 68

[2] Vgl. Artikel 29-Datenschutzgruppe, WP 49, S. 3.

[3]  Http://www.fedma.org/fileadmin/documents/SelfReg_Codex/FEDMACodeEN.pdf

[4] Artikel 29-Datenschutzgruppe, WP 174, S. 3.

[5] Artikel 29-Datenschutzgruppe, WP 174, S. 4: „Der vorgelegte Kodex muss ausreichende Qualität und Kohärenz aufweisen und ausreichenden Mehrwert liefern, insbesondere muss er ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet sein, für die er gelten soll, und für diese Fragen und Probleme ausreichend klare Lösungen bieten.“

[6]Http://www.edaa.eu/wp-content/uploads/2012/10/2013-11-11-IABEurope-OBA-Framework_.pdf.

[7] Zu den Gründen siehe auch Artikel 29-Datenschutzgruppe, WP 188.

[8] Artikel 29-Datenschutzgruppe, WP 232.

[9] GDV, Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft, abrufbar unter http://www.gdv.de/wp-content/uploads/2013/03/GDV_Code-of-Conduct_Datenschutz_2012.pdf.

[10] S. GDV a.a.O., S. 2.

[11]Http://www.geobusiness.org/GEOBUSINESS/Redaktion/DE/Downloads/geobusiness-code-of-conduct.pdf.

[12] Vgl. Artikel 38 des Entwurfs der Kommission KOM (2012) 11 endgültig.

[13] So beispielsweise der Datenschutzstandard für Auftragsdatenverarbeiter „DS-BvD-GDD-01“.

[14] Zu den Durchführungsrechtsakten Schwartmann/Weiß, RDV 2016, 68, 72

[15] Directorate-General for Internal Market and Services, Enhancing the quality of service in the Internal Market: The role of European codes of conduct, abrufbar unter http://ec.europa.eu/internal_market/services/docs/services-dir/codeconduct/the_role_of_european_codes_of_conduct_en.pdf.

[16] Vgl. Directorate-General for Internal Market and Services a.a.O., S. 11

[17] 31. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten vom 11.12.2003, Ziff. 4.

[18]Http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/NationalerITGipfel/Plattform-Sicherheit-Schutz-Vertrauen/plattform-sicherheitschutz-vertrauen_node.html.

[19]Http://www.epag-thinktank.eu/docs/whitepapers/EPAG_Whitepaper_Key_Coded_Data.pdf.