NRW: Erste Überwachungsstelle für Verhaltensregeln akkreditiert
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 14.09.2022 zum ersten Mal eine Überwachungsstelle für Verhaltensregeln nach Artikel 41 Datenschutz-Grundverordnung (DSGVO) akkreditiert (Pressemitteilung).
Hilfreiches Instrument bei Auslegungsfällen
Die DSGVO sieht vor, dass sich Wirtschaftsbranchen selbst Verhaltensregeln zum Umgang mit personenbezogenen Daten auferlegen können, um so die DSGVO zu konkretisieren. Art. 40 Abs. 2 DSGVO legt die Bereiche fest, für welche konkrete Verhaltensvorgaben gemacht werden können. Dazu gehören beispielsweise die faire und transparente Verarbeitung sowie die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen. Diese Verhaltensregeln (Codes of Conduct, CoC) können dann von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Sie dienen dann als Handlungsorientierung für das Unternehmen. So kann erwünschtes Verhalten gefördert bzw. unerwünschte Handlungen minimiert werden. Darüber hinaus können Auslegungsfragen mithilfe solcher Vorgaben einfacher gelöst werden. Eine Vereinfachung der Prozesse führt in der Regel zusätzlich auch zu einer Kostenersparnis. Konkret betreffen die vom LDI NRW akkreditierten Verhaltensregeln Wirtschaftsauskunfteien sowie die die Konkretisierung von Prüf- und Löschfristen für personenbezogene Daten.
Kontrolle obliegt Privatwirtschaft
In Zukunft werde die Einhaltung der CoC dann von einer privaten Überwachungsstelle kontrolliert, die ebenfalls von der Datenschutzaufsichtsbehörde genehmigt wird. Diese Überwachungsstellen arbeiten nach Angabe der Behörde neutral und unabhängig. Sie seien extra dafür geschaffen worden, dass die Einhaltung der Datenschutzregeln von der Branche selbst überwacht wird.
Darüber hinaus hätten Bürger:innen nun eine zentrale Stelle, an die sie sich wenden können, wenn sie meinen, dass die Speicherung ihrer Daten unzulässig erfolgt. Die Überwachungsstelle kann dann auch eine Anpassung für alle an den Verhaltensregeln beteiligten Auskunfteien als Maßnahme herbeiführen.
Ausblick mit Chancen
Zusätzlich bleiben auch die staatlichen Datenschutzaufsichtsbehörden weiterhin zuständig. Das gilt sowohl für die Datenschutzaufsicht über Auskunfteien als auch für die Überwachungsstelle. Möglicherweise werden nun aber in Zukunft auch in anderen Branchen weitere Akkreditierungen folgen. Aus datenschutzrechtlicher Sicht ist es erfreulich, dass diese Möglichkeit zur Schaffung größerer Rechtssicherheit und Kontrolle nun erstmalig genutzt wurde.