Vor kurzem hat die niederländische Datenschutzbehörde (AP) den „Data Pro Code“ genehmigt, den ersten Verhaltenskodex, der von der niederländischen Datenschutzbehörde im Rahmen der Datenschutz-Grundverordnung genehmigt wurde. Der Kodex wurde von der niederländischen Handelsgruppe für die digitale Industrie (NLdigital) ausgearbeitet, die 600 Mitglieder hat, darunter kleine und mittlere Unternehmen und Tech-Giganten, und soll Unternehmen im IKT-Sektor helfen, die in der EU-Datenschutzverordnung festgelegten Verpflichtungen einzuhalten.

Wer und warum

Der Kodex richtet sich direkt an IT-Unternehmen von KMU-Größe, die als Datenverarbeiter tätig sind. Jedes Unternehmen kann sich jedoch zertifizieren lassen, indem es den in Artikel 28 der Datenschutz-Grundverordnung (DSGVO) festgelegten Grundsatz einhält, der eine Ausarbeitung der Pflichten von Auftragsverarbeitern darstellt und für Verarbeitungstätigkeiten in den Niederlanden gilt.

Der Verhaltenskodex konzentriert sich auf folgende Punkte:

Der Kodex enthält eine „Data-Pro-Erklärung“, die verwendet werden kann, um Interessenten und Kunden an die Sicherheitsvorkehrungen für Daten zu erinnern. Jeroen Terstegge, ein bekannter Anwalt für Datenschutz und IAPP-Landesleiter für die Niederlande, sagte, dass KMUs die Erklärung als eine Standardsammlung „genehmigter“ Klauseln für ihre Datenverarbeitungsverträge (AVVs) verwenden könnten.

Er kann im Prinzip die Vertragsabschlüsse mit kleineren Auftragsverarbeitungsunternehmen vereinfachen. Andererseits betonte er, dass einige (umfangreichere) für die Verarbeitung Verantwortliche möglicherweise zögern, Vereinbarungen zu den im Kodex festgelegten Bedingungen zu unterzeichnen, vor allem, wenn bereits Durchsetzungsprogramme und Datenschutzbehörden eingerichtet worden sind.

Wann?

Seit der Einführung des Kodex im Mai 2019 wurden bereits Dutzende von Unternehmen akkreditiert. Die Wahl einer autonomen Aufsichtsbehörde durch den Verband ist ebenfalls von wesentlicher Bedeutung für das Funktionieren des Verhaltenskodex. Diese Aufsichtsbehörde wird nicht nur die Einhaltung des Kodex überwachen, sondern auch entscheiden, ob die angeschlossenen Parteien berechtigt sind, sich zu bewerben, Beschwerden zu bearbeiten und Verstöße zu untersuchen.

Danach muss der AP die Aufsichtsperson definieren und akkreditieren. Die Akkreditierungsanforderungen für diese Aufsichtsfunktion wurden vom AP ausgearbeitet und dem EDPB zur Genehmigung vorgelegt; eine Antwort wird noch vor Jahresende erwartet.

Verwandt

In diesem Zusammenhang hat die britische Datenschutzbehörde (ICO) am 9. September 2020 ein System zur Rechenschaftspflicht veröffentlicht, das Unternehmen dabei helfen soll, die geeigneten Maßnahmen und Aktionen zur Stärkung ihrer Compliance zu ermitteln. Die Struktur zeigt zehn Kategorien auf, wie Unternehmen ihre Verantwortung für jede Art von Daten zeigen sollten, einschließlich wichtiger Ziele und Wege, diese zu erreichen.

Was die Zukunft bringen könnte

Da die internationale Übermittlung personenbezogener Daten nach dem Fall Schrems II auf dem Prüfstand steht, könnten Verhaltenskodizes in Zukunft verstärkt zum Einsatz kommen. In Artikel 40 der Datenschutz-Grundverordnung ist festgelegt, dass diese Kodizes als Übermittlungsmechanismus verwendet werden sollten, bis sie von der Europäischen Kommission akzeptiert werden – wahrscheinlich als Ersatz für den außer Kraft gesetzten PrivacyShield und die problematischen SCCs. Es bleibt abzuwarten, da viele Verhaltenskodizes derzeit bei den AP und anderen nationalen Verwaltern angesiedelt sind, ob sie nicht nur in der Lage sein werden, KMU bei der Rechenschaftspflicht in Bezug auf den Datenschutz zu unterstützen, sondern auch eine potenzielle Rolle bei der Lösung internationaler Datenübertragungsprobleme spielen können.