Es ist so weit! Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat zum ersten Mal eine Überwachungsstelle für Verhaltensregeln nach Art. 41 DSGVO akkreditiert. Viereinhalb Jahre nach Anwendbarkeit der DSGVO kommt es damit zu einer deutschlandweiten Premiere. Was hat es damit auf sich?
Der Inhalt im Überblick
Was sind Verhaltensregeln?
Verhaltensregeln, meist auch „Codes of Conduct“ (CoC) genannt, sind im Wirtschaftsleben nichts Ungewöhnliches. Sie dienen als verbindliche Vorgaben innerhalb einer Branche und sind damit ein wichtiger Faktor im Rahmen der Selbstregulierung. Dabei haben diese per se nicht zwangsläufig mit Datenschutz zu tun, sondern können allgemeine Vorgänge und Prozesse betreffen. Wenn es aber um Datenschutz geht, kommen die Vorschriften der DSGVO ins Spiel. Nach Art. 40 DSGVO können Berufsverbände und vergleichbare Vereinigungen Verhaltensregeln erstellen, welche dazu beitragen sollen, dass Unternehmen die Vorgaben der DSGVO besser umsetzen können.
Nach Art. 41 DSGVO können die Aufsichtsbehörden unabhängige Stellen mit der Überwachung der Einhaltung dieser Regeln beauftragen. Dabei können die Verhaltensregeln zum Beispiel konkrete Vorgaben sowohl für Verantwortliche als auch für Auftragsverarbeiter machen. Dabei soll gemäß Art. 40 Abs. 3 DSGVO besonderes Augenmerk auf die spezifischen Belange der betroffenen Personen, welche von der Datenverarbeitung in der jeweiligen Branche berührt sind, gelegt werden.
Was kann geregelt werden?
Art. 40 Abs. 2 DSGVO legt die Bereiche fest, für welche konkrete Verhaltensvorgaben gemacht werden können. Die folgende Aufzählung ist nicht abschließend, da die DSGVO ausdrücklich klarstellt, dass dies nur Beispiele sind:
- faire und transparente Verarbeitung
- die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen
- Erhebung personenbezogener Daten
- Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- Ausübung der Rechte betroffener Personen
- die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
Die Akkreditierung nach Art. 41 DSGVO ist im Übrigen nicht zu verwechseln mit der Zertifizierung nach Art. 42 DSGVO. Dabei geht es um die Möglichkeit für Unternehmen nachweisen zu können, dass man personenbezogene Daten im Einklang mit der DSGVO verarbeitet. Bislang gibt es in Deutschland hierzu immer noch keine akkreditierten Zertifizierungsstellen (Art. 43 DSGVO), sodass der lange Weg hierzu noch nicht Ende ist.
Vorteile von Verhaltensregeln
Die Vorteile solcher Verhaltensregeln für Unternehmen liegen eigentlich auf der Hand. Verbindliche Vorgaben schaffen im Regelfall einfachere Prozesse, da z. B. Auslegungsfragen zu einzelnen Vorschriften standardisiert werden können. Vereinfachung dürfte dabei auch immer eine Kostenersparnis bedeuten. Darüber hinaus können branchenspezifische Anforderungen im Bereich der Datenverarbeitung besser berücksichtigt werden, als wenn die Unternehmen als „Einzelkämpfer“ mit ggf. unterschiedlichen Herangehensweisen auftreten. Zudem können Verhaltensregeln auch dazu beitragen, das Vertrauen von betroffenen Personen – meist Verbrauchern – in eine ganze Branche erheblich zu erhöhen.
Umso erstaunlicher, dass sich in Deutschland bislang nur die Branche der Wirtschaftsauskunfteien verbindliche Verhaltensregeln geschaffen hat. Hier haben sie sich aber sicherlich grundsätzlich als sinnvoll erwiesen. Die Datensammlungen von Schufa & Co. waren schon öfter Gegenstand von gerichtlichen Verfahren. Konkret ging es meist darum, wie lange personenbezogene Daten von Schuldnern gespeichert werden, vor allem im Anschluss an ein Insolvenzverfahren einschließlich der Restschuldbefreiung. Deutsche Gerichte kamen hier regelmäßig zu unterschiedlichen Ergebnissen, die Vorgehensweise der Auskunfteien war aber meist sehr ähnlich.
Überwachungsstelle nimmt Arbeit auf
Die nun beauftragte Überwachungsstelle ist daher auch nur für die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25.05.2018“ zuständig. In der heutigen Pressemitteilung zeigte sich die oberste Datenschützerin Nordrhein-Westfalens, Frau Bettina Gayk, sehr erfreut:
„Ich freue mich, dass die Wirtschaft diese Möglichkeit der Selbstregulierung nutzt, weil so wichtige Fragen von Bürger*innen zur Speicherdauer ihrer Daten direkt von einer zentralen Stelle geklärt werden können und sich das Datenschutzniveau durch die Überwachung des Codes verbessern kann.“
Dabei stellt Frau Gayk ebenfalls heraus, dass Überwachungsstellen neutral und unabhängig tätig sind. Sie seien
„extra dafür geschaffen worden, dass die Einhaltung der Datenschutzregeln von der Branche selbst überwacht wird.“
Als Überwachungsstelle wurde die TIGGES DCO GmbH mit Sitz in Düsseldorf akkreditiert. Diese hat nach Angaben der Landesdatenschutzbeauftragten bereits ihre Arbeit aufgenommen. Die Überwachungsstelle soll u. a. eine Anlaufstelle für alle Verbraucher sein, die der Ansicht sind, dass eine Wirtschaftsauskunftei ihre personenbezogenen Daten unrechtmäßig verarbeitet. Dabei kommt der Überwachungsstelle im Streitfall auch eine Vermittlerfunktion zu.
Erfreulich für den Datenschutz
Was heißt das nun genau? Wird in Sachen Datenschutz nun alles besser und sicherer? Das wird sich zeigen müssen, insbesondere vor dem Hintergrund, dass diese Akkreditierung eine Art „Pilotprojekt“ darstellt. Aus datenschutzrechtlicher Sicht ist es aber erfreulich, dass sich in dem Bereich der Akkreditierung endlich etwas tut. Es bleibt natürlich abzuwarten, wie sich dies auf die Arbeitsweise der Wirtschaftsauskunfteien auswirken wird. Über allem wacht weiterhin die jeweilige Aufsichtsbehörde – übrigens nicht nur die in Nordrhein-Westfalen.
Vielleicht wird die erstmalige Akkreditierung nun auch weitere Branchen motivieren, eigene Verhaltensregeln zu bestimmen. Je mehr verbindliche Vorgaben bestehen, desto größer dürfte auch die Chance sein, Datenschutz und vor allem dessen Umsetzung transparent zu gestalten. Dies würde langfristig uns allen zugutekommen.
