Verhaltensregeln
Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können gemäß Art. 40 DSGVO Verhaltensregeln ("Codes of Conduct") ausarbeiten und einen Antrag auf Genehmigung dieser Verhaltensregeln bei der Datenschutzbehörde stellen. Die Datenschutzbehörde gibt zu den beantragten Verhaltensregeln eine Stellungnahme ab oder genehmigt diese mit Bescheid.
Hier geht es zum Verzeichnis der genehmigten Verhaltensregeln!
Fragen und Antworten zum Thema Verhaltensregeln
Stand: 7.2.2024
- Was sind datenschutzrechtliche Verhaltensregeln?
- Wer kann Verhaltensregeln ausarbeiten?
- Welchen Inhalt können Verhaltensregeln haben?
- Welche Wirkung hat die Teilnahme an Verhaltensregeln?
- In welcher Form werden Verhaltensregeln genehmigt und veröffentlicht?
- Was sind Überwachungsstellen?
- Welche Anforderungen werden an eine solche Überwachungsstelle gestellt?
- Kann es mehrere Überwachungsstellen für dieselben Verhaltensregeln geben?
- Wie funktioniert die Überwachung, wenn mehrere Überwachungsstellen für die Überwachung von denselben Verhaltensregeln akkreditiert sind?
- In welcher Form hat die Berichtspflicht einer Überwachungsstelle zu erfolgen?
- Wo erhalte ich weiterführende Informationen zu diesem Thema?
- Besteht die Möglichkeit, Verhaltensregeln vor Einleitung eines förmlichen Verfahrens zu besprechen?
1. Was sind datenschutzrechtliche Verhaltensregeln?
Das Rechtsinstrument der „Verhaltensregeln“ war bereits ansatzweise im Datenschutzgesetz 2000 geregelt, spielte in der Praxis jedoch eine bisher untergeordnete Rolle.
Die Systematik der Datenschutz-Grundverordnung (DSGVO) geht insgesamt von einer durchaus weitreichenden Selbstverantwortung von Verantwortlichen (aber auch Auftragsverarbeiter) aus und sieht mit der Schaffung von Verhaltensregeln („Codes of conduct“) gemäß Art. 40 DSGVO nunmehr eine Methode zur Selbstregulierung vor, um Rechtsunsicherheiten im Zusammenhang mit der DSGVO und der Verarbeitung personenbezogener Daten innerhalb einer spezifischen Branche zu beseitigen.
Verhaltensregeln stellen Leitlinien einer guten Datenschutzpraxis dar und können die datenschutzrechtliche Verhaltensweise von Verantwortlichen und Auftragsverarbeiter einer bestimmten Branche standardisieren. Die Ausarbeitung von Verhaltensregeln soll vor allem den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen dienen.
2. Wer kann Verhaltensregeln ausarbeiten?
Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können einen Antrag auf Genehmigung von branchenspezifischen Verhaltensregeln bei der Datenschutzbehörde stellen. Als Antragsteller („Inhaber der Verhaltensregeln“) insbesondere legitimiert sind somit
- gesetzliche Interessenvertretungen (etwa Kammern oder Berufsverbände) oder
- private Verbände und Vereinigungen (etwa freiwillige Zusammenschlüsse), die bescheinigen können, dass sie eine relevante Anzahl von Verantwortlichen oder Auftragsverarbeiter vertreten.
Im Umkehrschluss bedeutet dies, dass einzelne oder bloß wenige Verantwortliche oder Auftragsverarbeiter keine ausreichende Vertretungsrelevanz besitzen, um einen Antrag auf Genehmigung von Verhaltensregeln stellen zu können. Damit soll auch verhindert werden, dass unterschiedliche Verhaltensregeln innerhalb derselben Branche entworfen werden.
Ferner muss ausdrücklich mitgeteilt werden, ob die entworfenen Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten abzielen („internationale Verhaltensregeln“) oder ob die Verhaltensregeln sich in der Erfassung von inländischen Verarbeitungstätigkeiten erschöpfen („nationale Verhaltensregeln“).
Während im zweiten Fall die Datenschutzbehörde die Genehmigung von Verhaltensregeln selbst erteilen kann, muss bei einem Antrag auf Genehmigung „internationaler Verhaltensregeln“ der Entwurf vor Genehmigung dem Europäischen Datenschutzausschuss vorgelegt werden.
3. Welchen Inhalt können Verhaltensregeln haben?
Der mögliche Inhalt von Verhaltensregeln ist nicht abschließend vorgegeben. Nach Art. 40 Abs. 2 kann die Anwendung der DSGVO jedenfalls in folgenden Bereichen präzisiert werden:
- faire und transparente Verarbeitung;
- die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
- Erhebung personenbezogener Daten;
- Pseudonymisierung personenbezogener Daten;
- Unterrichtung der Öffentlichkeit und der betroffenen Personen;
- Ausübung der Rechte betroffener Personen;
- Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
- die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
- die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
- außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
Verhaltensregeln können und sollen dabei durchaus strengere Regelungen als die DSGVO selbst vorsehen, ein Unterschreiten des Datenschutzniveaus sowie die Einschränkung von Betroffenenrechten außerhalb der Vorgaben der DSGVO ist jedoch unzulässig. Dabei ist insbesondere zu berücksichtigen, dass ein Verfahren zur Genehmigung von Verhaltensregeln keine Einzelfallüberprüfung wie ein Beschwerdeverfahren zum Gegenstand hat, sondern genehmigte Verhaltensregeln generell abstrakte Wirkung besitzen.
Es ist daher nicht möglich, einen bestimmten Verarbeitungsvorgang (etwa ein Geschäftsmodell, das die Datenweitergabe gegen Entgelt vorsieht) ganz allgemein für zulässig zu erklären („Die berechtigten Interessen des Verantwortlichen überwiegen jedenfalls“); es muss Spielraum für eine Beurteilung im Einzelfall gelassen werden.
Darüber hinaus darf sich der Inhalt von Verhaltensregeln nicht überwiegend in der bloßen Wiedergabe der DSGVO oder des DSG erschöpfen, sondern soll im Ergebnis einen gewissen branchenspezifischen Mehrwert schaffen. Bloß allgemeine Verweise („Soweit gemäß Art. 6 DSGVO zulässig“) oder unpräzise Vorgaben („Die Speicherfristen richten sich nach der BAO“) schaffen keinen relevanten Mehrwert.
4. Welche Wirkung hat die Teilnahme an Verhaltensregeln?
Mit Unterwerfung unter Verhaltensregeln sind mehrere Wirkungen verbunden.
So
- indiziert die Teilnahme an Verhaltensregeln etwa die Erfüllung der Pflichten eines Verantwortlichen (Art. 24 Abs. 3 und Art. 32 Abs. 3 DSGVO),
- können Verhaltensregeln „geeignete Garantien zur Datenübermittlung in ein Drittland oder an eine internationale Organisation darstellen (Art. 46 Abs. 2 lit. e DSGVO),
- sind Verhaltensregeln bei der Beurteilung der Auswirkungen eines beabsichtigten Verarbeitungsvorganges im Rahmen einer Datenschutz-Folgeabschätzung zu berücksichtigen (Art. 35 Abs. 8 DSGVO) und
- wird die Teilnahme an Verhaltensregeln bei einer etwaigen Geldbuße gebührend berücksichtigt (Art. 83 Abs. 2 lit. j).
Zu beachten ist jedoch, dass nicht jeder Angehörige einer Branche mit Genehmigung von branchenspezifischen Verhaltensregeln automatisch an diesen Verhaltensregeln teilnimmt.
Eine Teilnahme ist fakultativ, weshalb sich Verantwortliche und Auftragsverarbeiter proaktiv den genehmigten Verhaltensregeln unterwerfen müssen. Nur die ausdrückliche Unterwerfung unter genehmigten Verhaltensregeln, die durch eine akkreditierte Stelle überwacht werden, löst die oben genannten Wirkungen aus.
5. In welcher Form werden Verhaltensregeln genehmigt und veröffentlicht?
Die Datenschutzbehörde genehmigt Verhaltensregeln mit Bescheid und veröffentlicht diese auf ihrer Website.
Es gilt zu beachten, dass ein Antrag auf Genehmigung von Verhaltensregeln an die Datenschutzbehörde jedenfalls – dh. auch im Falle einer Zurückziehung – eine Gebührenpflicht auslöst. Bitte stellen Sie daher nicht unüberlegt einen Antrag auf Genehmigung von Verhaltensregeln.
6. Was sind Überwachungsstellen?
Ein wesentliches Kriterium von Verhaltensregeln ist die obligatorische Überwachung von Verhaltensregeln. Es müssen daher Verfahren vorgesehen sein, die es einer Überwachungsstelle („monitoring body“) ermöglichen, die Bewertung sowie die regelmäßige Überprüfung der Einhaltung von Verhaltensregeln durchzuführen. Ebenso muss die Unterwerfung unter sowie der Ausschluss von Verhaltensregeln reguliert sein.
Eine Überwachungsstelle ist eine private Stelle, die unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde mit dieser obligatorischen Überwachung betraut wird. Zu beachten ist jedoch, dass nur eine durch die Datenschutzbehörde akkreditierte Stelle als Überwachungsstelle eingesetzt werden kann. Eine Überwachungsstelle muss daher zunächst einen Antrag auf Akkreditierung stellen.
Zur effizienten Abwicklung der Verfahren ist es grundsätzlich sinnvoll, dass sich Antragsteller auf Genehmigung von Verhaltensregeln und Antragsteller, die die Akkreditierung einer entsprechenden Überwachungsstelle beantragen, koordinieren und zeitgleich ihre Anträge bei der Datenschutzbehörde einbringen.
Eine Überwachungsstelle kann organisatorisch von den Inhabern von Verhaltensregeln getrennt sein (externe Überwachungsstelle) oder als Teil der Organisation des Inhabers von Verhaltensregeln eingerichtet werden (interne Überwachungsstelle). Im letzteren Fall muss der Datenschutzbehörde nachgewiesen werden, dass die Entscheidungsträger der Überwachungsstelle ihre Tätigkeit ohne Einflussnahme durch die Führung des Verbands oder der Vereinigung ausüben können.
7. Welche Anforderungen werden an eine solche Überwachungsstelle gestellt?
Die Anforderungen an eine solche Akkreditierung wurden auf nationaler Ebene gemäß Art. 40 Abs. 3 DSGVO, Art. 57 Abs. 1 lit. p DSGVO und § 21 Abs. 3 DSG in der Überwachungsstellenakkreditierungs-Verordnung (ÜStAkk-V), BGBl. II Nr. 264/2019 idgF. konkretisiert.
Die ÜStAkk-V ist abrufbar unter:
https://www.dsb.gv.at/verordnungen-in-osterreich
8. Kann es mehrere Überwachungsstellen für dieselben Verhaltensregeln geben?
Die Datenschutzbehörde geht in Einklang mit den Leitlinien des Europäischen Datenschutzausschusses (siehe Frage 11) derzeit davon aus, dass es für dieselben branchenspezifischen Verhaltensregeln dem Grunde nach mehrere Überwachungsstellen geben kann. Wichtig ist jedoch, dass die Inhaber von Verhaltensregeln und akkreditierte Überwachungsstellen in der Lage sein müssen, bei der Umsetzung der Verhaltensregeln in gutem Einvernehmen zusammenzuarbeiten.
Daher geht die Datenschutzbehörde davon aus, dass die Akkreditierung als Überwachungsstelle nur unter der Voraussetzung möglich ist, dass
- die Inhaber von Verhaltensregeln (siehe Frage 2) sich nicht gegen die Akkreditierung einer spezifischen Überwachungsstelle aussprechen, oder
- ausdrücklich ihre Unterstützung für nur einen anderen Akkreditierungswerber bekunden.
Die Entscheidung darüber, ob es für spezifische Verhaltensregeln mehrere Überwachungsstellen geben kann, liegt somit bei den Inhabern von Verhaltensregeln (vgl. dazu mit näherer Begründung den Bescheid der Datenschutzbehörde vom 28. September 2020, GZ: 2020-0.605.768, abrufbar im RIS).
Die Inhaber der Verhaltensregeln haben daher in den jeweiligen Verhaltensregeln anzugeben, welche Überwachungsstelle mit der Überwachung betraut werden soll und ob hierfür grundsätzlich auch mehrere Überwachungsstellen in Betracht kommen.
9. Wie funktioniert die Überwachung, wenn mehrere Überwachungsstellen für die Überwachung von denselben Verhaltensregeln akkreditiert sind?
Sofern zwei oder mehr Überwachungsstellen mit der Überwachung von spezifischen Verhaltensregeln betraut sind, haben die Teilnehmer (also jene Verantwortliche oder Auftragsverarbeiter, die sich den Verhaltensregeln unterwerfen) anzugeben, welcher Überwachungsstelle sie sich unterwerfen.
Diese Angabe kann in der Unterwerfungserklärung erfolgen, die die Teilnehmer abzugeben haben.
Damit sollen Kompetenzkonflikte zwischen Überwachungsstellen vermieden werden.
10. In welcher Form hat die Berichtspflicht einer Überwachungsstelle zu erfolgen?
Gemäß § 8 Abs. 1 ÜStAkk-V hat eine Überwachungsstelle der Datenschutzbehörde (neben weiteren Berichtspflichten) jährlich bis zum 31. März einen schriftlichen Bericht über die im vorangegangenen Jahr erfolgten Tätigkeiten vorzulegen.
Die Bestimmung des § 8 Abs. 1 ÜStAkk-V sieht keine näheren Vorgaben hinsichtlich Form und Inhalt für einen solchen Bericht vor. Die nähere Gestaltung des Berichts obliegt daher grundsätzlich der jeweiligen Überwachungsstelle.
Die Datenschutzbehörde setzt jedoch voraus, dass in den Berichten jedenfalls die im Berichtszeitraum durchgeführten Überwachungsverfahren (§ 5 ÜStAkk-V), Streitbeilegungsverfahren (§ 6 ÜStAkk-V) und allfällig getroffene Maßnahmen (§ 7 ÜStAkk-V) aufgelistet werden.
11. Wo erhalte ich weiterführende Informationen zu diesem Thema?
Weiterführende Informationen sind in den Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679 des Europäischen Datenschutzausschusses zu finden.
Die genannten Leitlinien sind abrufbar unter:
https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_edsa.html
12. Besteht die Möglichkeit, Verhaltensregeln vor Einleitung eines förmlichen Verfahrens zu besprechen?
Eine konkrete und verbindliche Stellungnahme zu Verhaltensregeln kann nur im Rahmen eines anhängigen Genehmigungsverfahrens abgegeben werden.
Es besteht aber die Möglichkeit, informell an die Datenschutzbehörde heranzutreten, um Grundsatzfragen zu besprechen (Gegenstand der Verhaltensregeln, grundsätzliche Struktur des Dokuments, Ablauf des Verfahrens). Diesbezüglich kann eine Anfrage an dsb-IV@dsb.gv.at gerichtet werden.