Artikel 41 EU-DSGVO: Überwachung der genehmigten Verhaltensregeln

  1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde.

  2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie

    1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;

    2. Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;

    3. Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht; und

    4. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

  3. Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.

  4. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. 2Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung.

  5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.

  6. Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.

Kommentar zu Art. 41 DSGVO

Art. 41 DSGVO bezieht sich unmittelbar auf Art. 40 DSGVO. In diesem Artikel geht es um die sogenannten Verhaltensregeln, die von Verbänden und Vereinigungen zusätzlich zu den Regelungen im Gesetz aufgestellt werden können. So dürfen beispielsweise Anwaltskammern Datenschutzregeln speziell für Juristen aufstellen oder Versicherungsverbände genau auf die Versicherungsbranche zugeschnittene Normen.

Andererseits ergibt das Aufstellen solcher Verhaltensregeln natürlich wenig Sinn, wenn die Einhaltung dieser nicht überwacht wird. Aus diesem Grund erlaubt Art. 41 DSGVO, dass neben den Aufsichtsbehörden weitere Stellen zur Überwachung der Verhaltensregeln eingerichtet werden können.

Da jedoch bis heute sehr wenige zusätzliche Verhaltensregeln existieren, hat sich bisher entsprechend auch der Zuwachs an Überwachungsstellen in Grenzen gehalten. Zuständig bleiben in jedem Fall die jeweiligen Aufsichtsbehörden des Bundes bzw. der Länder.

Art. 41 DSGVO – Welche Stelle darf die Verhaltensregeln überwachen?


Die Überwachung der Verhaltensregeln kann nicht durch jedwede Stelle erfolgen. Vielmehr muss diese von der zuständigen Aufsichtsbehörde akkreditiert werden. Dies bedeutet, es wird zunächst überprüft, ob die jeweilige Stelle wirklich über die nötigen Kompetenzen verfügt, um Verhaltensregeln zu überprüfen. Wann dies der Fall ist, bestimmt Art. 41 DSGVO im zweiten Absatz:

Hiernach darf eine Akkreditierung beispielsweise dann erfolgen, wenn die Stelle nachgewiesen hat, dass sie unabhängig arbeitet, über das nötige Fachwissen im Bereich Datenschutz verfügt und kein Interessenskonflikt besteht.

Darüber hinaus muss die Stelle geeignete Verfahren entwickeln, um eine präzise Überwachung und Überprüfung der Einhaltung der Verhaltensregeln zu gewährleisten. Ferner muss sie Strukturen entwickeln, um es Betroffenen zu ermöglichen, sich über Datenschutzverletzungen zu beschweren, und diesen Beschwerden dann auch nachgehen.

Die Akkreditierung kann widerrufen werden, wenn oben genannte Voraussetzungen nicht mehr vorliegen. Zudem ist es nicht möglich, Überprüfungsstellen für öffentliche Stellen oder Behörden zu schaffen.

Was bedeutet Art. 41 DSGVO für Ihr Unternehmen?


Durch neu geschaffene, unabhängige Stellen, die die Einhaltung der Verhaltensregeln überwachen, wird keinesfalls die Zuständigkeit der Aufsichtsbehörden eingeschränkt. Sollte also eine weitere Stelle eingerichtet worden sein, die auch Ihre Firma überprüft, so müssen Sie sich im Falle eines nicht nur unerheblichen Datenschutzverstoßes unter Umständen gleich mit zwei Institutionen auseinandersetzen.

Aus diesem Grund sollten Sie stets ausführlich über Ihre Verarbeitungstätigkeiten und Datenschutzmaßnahmen Buch führen. Hierbei sind wir Ihnen gerne behilflich. Für weitere Informationen besuchen Sie https://www.datenschutzexperte.de/unsere-leistungen/verarbeitungsverzeichnis/.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr