Verhaltensregeln i.S.d. DS-GVO
Personenbezogene Daten dürfen entsprechend Art. 44 DS-GVO nur nach bestandener Zwei-Stufen-Prüfung in Drittländer übermittelt werden.
Auf der ersten Stufe sind die sonstigen Bestimmungen der DS-GVO, wie insbesondere die nach Artt. 6 und 9 DS-GVO erforderlichen Rechtsgrundlagen, zu befolgen. Auf der zweiten Stufe sind die Vorgaben des Kapitel V DS-GVO zu beachten:
Der Transfer in ein Drittland ohne Angemessenheitsbeschluss nach Art. 45 DS-GVO ist nur rechtmäßig, sofern geeignete Garantien vorgesehen sind und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs. 1 DS-GVO.
Genehmigte Verhaltensregeln stellen neben Binding Corporate Rules und Standardvertragsklauseln ebensolche Garantien dar (Art. 46 Abs. 2 lit. e) DS-GVO). Der Leitfaden des EDSA soll eine praktische Anleitung bieten, für unter anderem den Inhalt solcher Verhaltensregeln, den Prozess ihrer Annahme und die beteiligten Akteure sowie über die Anforderungen und Garantien, die für einen Drittlandtransfer erforderlich sind.
Präzisierung durch EDSA
(Die folgenden Randnummern beziehen sich auf die oben bezeichneten Leitlinien des EDSA)
Inhaber der Verhaltensregeln (Code Owner) können Verbände und Vereinigungen i.S.d. Art. 40 Abs. 2 DS-GVO sein, die Verhaltensregeln ausarbeiten, ändern oder erweitern (Rn. 16).
Inhaltlich müssen entsprechend den Leitlinien die folgenden Elemente berücksichtigt werden (Rn. 12):
- Wesentliche Grundsätze, Rechte und Pflichten, die sich für die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter aus der DSGVO ergeben
- Garantien, die für den Kontext der Übermittlung spezifisch sind (z. B. in Bezug auf die Frage der Weiterübermittlung, Rechtskonflikte im Drittland)
Eine entsprechende Checkliste mit Mindestinhalten ist in Abschnitt 6 der Leitlinien zu finden.
Die Verhaltensregeln können entsprechend dem EDSA erst dann als geeignete Garantie für eine Drittlandübermittlung angesehen werden, wenn diese sowohl durch die zuständige Aufsichtsbehörde genehmigt als auch durch die EU-Kommission für allgemein gültigerklärt werden. Die genauen Schritte werden im Anhang der Leitlinien bildlich dargestellt.
Ausblick
Die Verhaltensregeln i.S.d. Art. 40 DS-GVO finden bislang als Instrument für den Schutz personenbezogener Daten im grenzüberschreitenden Datentransfer keine große Beachtung. Dies wird auch an einem Report der IAAP EY (“Privacy Governance Report”) deutlich. Entsprechend greift mit 97 % (Mehrfachauswahl der ergriffenen Garantien möglich) die überwiegende Mehrheit auf die Standardvertragsklausen zurück. Demgegenüber stehen die Verhaltensregeln bei 7 % (Entweder als alleiniges Instrument, oder in der Kombination mit beispielsweise den Standardvertragsklauseln). Ob der von der EDSA angenommene Leitfaden dazu beiträgt, die Verhaltensregeln weiter in den Vordergrund zu rücken wird sich noch zeigen müssen.