Was sind Verhaltensregeln und was sind ihre Vorteile?
Verhaltensregeln sind ein sektorspezifisches Compliance-Instrument, das zur ordnungsgemäßen Anwendung der DSGVO unter Berücksichtigung der betrieblichen Erfordernisse des betreffenden Sektors beiträgt.
Sie können ein nützliches und wirksames Governance-Instrument sein, indem sie eine detaillierte Beschreibung der Gesamtheit der angemessensten, rechtmäßigsten und ethischsten Verhaltensweisen in einem bestimmten Sektor liefern. Ein Sektor, der die Anforderungen von Verhaltensregeln erstellt und umsetzt, demonstriert seinen Willen, die DSGVO einzuhalten, und sendet ein positives Signal an die Kunden und Fachleute des Sektors.
Berufsverbände und -kammern oder andere Einrichtungen, die einen bestimmten Berufssektor vertreten, können Regeln erstellen, die den Unternehmen in diesem vertretenen Sektor helfen, die DSGVO wirksam einzuhalten.
Verhaltensregeln aufzubauen ist ein freiwilliger Schritt für jeden Vertreter eines bestimmten Berufssektors.
Auch der Beitritt der Branchenmitglieder zu den Verhaltensregeln ist ein freiwilliger Schritt. Die Verhaltensregeln sind jedoch ein rechtsverbindliches Instrument und für die Mitglieder, die sich ihnen anschließen, bindend. Diese werden regelmäßig von einer für diese Verhaltensregeln bestimmten und zugelassenen Überwachungsorganisation kontrolliert, um die Einhaltung der Anforderungen der Regeln zu überprüfen.
Verhaltensregeln können durch Musterverträge, Standardklauseln, auf die Bedürfnisse des Sektors zugeschnittene IT-Sicherheitsregeln und/oder bewährte Verfahren insbesondere für die Datenschutzhinweise ergänzt werden.
Verhaltensregeln müssen klar, verständlich und praktisch sein, mit einem Vokabular, das an den Sektor, dem sie gewidmet sind, angepasst ist. Die Regeln sollten in einer Weise dargestellt werden, die es der Überwachungsstelle erleichtert, die Einhaltung der Regeln zu kontrollieren. Darüber hinaus sollten die Regeln auch Informationen enthalten, die die Umsetzung und Überwachung der Anforderungen der Regeln durch seine Mitglieder erleichtern (z. B. durch Bereitstellung von Dokumentvorlagen, eines Implementierungsleitfadens, einer Überwachungsmethodik usw.).
Wer kann Verhaltensregeln ausarbeiten?
Verhaltensregeln müssen von einem Berufsverband oder einer Organisation, die einen bestimmten Berufszweig vertritt, ausgearbeitet werden, der/die nachweislich über umfassende Kenntnisse der betrieblichen Abläufe in diesem Wirtschaftszweig verfügt. Diese Organisation wird als "Eigentümer der Regeln" bezeichnet.
Was sind nationale Verhaltensregeln und was internationale Verhaltensregeln?
"Luxemburgische nationale Regeln" bezeichnen Verhaltensregeln, die sich auf Verarbeitungstätigkeiten beziehen, die in Luxemburg durchgeführt werden.
"Transnationale Regeln" bezeichnen Verhaltensregeln, die sich auf Verarbeitungstätigkeiten beziehen, die in mehreren Mitgliedsländern des Europäischen Wirtschaftsraums durchgeführt werden.
Was müssen Verhaltensregeln beinhalten?
Die vom Europäischen Datenschutzausschuss (EDSB) verabschiedeten Leitlinien enthalten Erläuterungen und Anforderungen, denen Verhaltensregeln entsprechen müssen. So müssen sie enthalten :
- Eine klare Beschreibung der Ziele der Verhaltensregeln und der Art und Weise, wie die Regeln die wirksame Anwendung der DSGVO für den betreffenden Sektor erleichtern werden;
- Operative praktische Lösungen und bewährte Verfahren, die die Mitglieder, die sich an die Verhaltensregeln halten, einführen können, um die Anforderungen der Verhaltensregeln zu erfüllen ;
- Mechanismen zur Überwachung der Anwendung der Verhaltensregeln durch seine Mitglieder, die die Überwachungsorganisation bei ihren Kontrollen anwenden wird ;
- Ausreichende Garantien: Die Eigentümer der Verhaltensregeln müssen nachweisen, dass Ihre Regeln angemessene und wirksame Garantien enthalten, um die Risiken für die Datenverarbeitung und die Rechte und Freiheiten von Personen zu mindern;
- Der Anwendungsbereich der Verarbeitung, der klar und präzise festlegt, auf welche Verarbeitungsvorgänge personenbezogener Daten er Anwendung findet und welche Kategorien von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern ihn einhalten müssen; dazu gehören auch die Probleme bei der Verarbeitung, die die Verhaltensregeln lösen sollen, und die praktischen Lösungen, die sie bieten sollen.
- Territorialer Anwendungsbereich: Der Entwurf der Verhaltensregeln muss angeben, ob die Regeln national oder transnational sind, und den Staat oder die Staaten nennen, in denen sie gelten werden. Wenn die Regeln länderübergreifend sind, muss eine Liste der zuständigen Behörden vorgelegt werden;
- Zuständige Behörde: Der Eigentümer der Verhaltensregeln sollte eine Erklärung für die Wahl der zuständigen Behörde abgeben;
- Governance: Der Entwurf der Verhaltensregeln sollte angeben, wie die Regeln von den Branchenmitgliedern eingehalten werden, wie die Beziehung zu der benannten Überwachungsorganisation aussieht und welche Kriterien für ihre Auswahl gelten, wie die Verhaltensregeln bei Bedarf aktualisiert werden (Änderungen der Rechtsvorschriften, die für die Branche relevant sind, Änderungen in der Branche usw.);
- Konsultation interessierter Branchenvertreter: Die Verhaltensregeln sollten die Bedürfnisse der Branche berücksichtigen, insbesondere durch die Durchführung von Austauschtreffen mit den Vertretern;
- Nationales Recht: Regel-Eigentümer müssen eine Bestätigung vorlegen, aus der hervorgeht, dass der Verhaltensregel-Entwurf mit dem geltenden nationalen Recht übereinstimmt;
- Benennung einer Überwachungsorganisation;
- Die Sprache der Verhaltensregeln, die der CNPD zur Annahme vorgelegt werden, kann Französisch, Deutsch oder Englisch sein.
Wie sieht der Genehmigungsprozess durch die CNPD aus?
Der Besitzer der Verhaltensregeln muss seinen Regelentwurf bei der CNPD einreichen. Der Regelentwurf kann durch einen Boten eingereicht werden, elektronisch an die folgende E-Mail-Adresse cdc@cnpd.lu oder per Post an die folgende Adresse gesendet werden:
CNPD – Service Conformité
15 Boulevard du Jazz
L-4370 Belvaux
Die CNPD als Aufsichtsbehörde führt eine informelle Überprüfung des Entwurfs der Verhaltensregeln durch, und es kann zu mehreren Gesprächen mit dem Besitzer der Regeln kommen, um zu prüfen, ob der Inhalt des Entwurfs den Anforderungen der DSGVO entspricht. Der Inhaber der Verhaltensregeln hat die Möglichkeit, Änderungen vorzunehmen und der CNPD eine neue Version vorzulegen.
In dieser Funktion gibt die CNPD eine Stellungnahme dazu ab, ob der Entwurf, die Änderung oder die Verlängerung der Regeln der DSGVO entspricht, und genehmigt den Entwurf, die Änderung oder die Verlängerung, wenn sie der Ansicht ist, dass er ausreichende geeignete Garantien bietet (Art. 40 Abs. 5 DSGVO).
Handelt es sich um transnationalen Verhaltensregeln, müssen diese von der CNPD an die anderen zuständigen Aufsichtsbehörden der anderen betroffenen Mitgliedsländer weitergeleitet werden, und der Eigentümer der Verhaltensregeln muss auch deren Bemerkungen/Anfragen berücksichtigen. Transnationale Verhaltensregeln werden auch Gegenstand einer Stellungnahme des EDSB gemäß der Anwendung des in der DSGVO vorgesehenen "Kohärenzmechanismus" (Artikel 63 der DSGVO) sein.
Der EDSB wird seine Stellungnahme dann der Europäischen Kommission vorlegen, die die allgemeine Anwendung der Verhaltensregeln im Europäischen Wirtschaftsraum gemäß den Bestimmungen der DSGVO ausspricht (Artikel 40 Absatz 8 und Artikel 40 Absatz 9 der DSGVO).
Was ist die Rolle der Überwachungsorganisation?
Die in den Verhaltensregeln benannte Überwachungsorganisation wird Kontrollen durchführen, um zu überprüfen, ob die Mitglieder, die sich den Verhaltensregeln anschließen, die Anforderungen der Regeln erfüllen. Die Überwachungsorganisation muss von der CNPD eine Zulassung erhalten.
Um eine Zulassung durch die CNPD zu erhalten, muss die Überwachungsorganisation die Anforderungen des "Verfahrens für die Zulassung von Überwachungsorganisationen für Verhaltensregeln" erfüllen. Diese Anforderungen ergeben sich aus den von der CNPD am 19. Dezember 2022 verabschiedeten Zulassungskriterien, die auf der Website der CNPD abrufbar sind.
Die Überwachungsorganisation, die eine Zulassung durch die CNPD erhalten möchte, muss das unten stehende Antragsformular ausfüllen (je nach Platz auf der Seite anpassen) und es gemäß dem unten beschriebenen Zulassungsverfahren an die CNPD senden (je nach Platz auf der Seite anpassen).