Verhaltensregeln (sog. "Codes of Conduct" oder CoC) bieten Verantwortlichen und Auftragsverarbeitern die Möglichkeit, die Datenschutz-Grundverordnung für bestimmte Verarbeitungskontexte zu konkretisieren und durch die Anerkennung einer abstrakten Vorabprüfung der Datenschutzaufsicht zukommen zu lassen.
Anerkannte Verhaltensregeln bieten somit insbesondere in solchen Bereichen rechtliche und praktische Mehrwerte, in denen eine Vielzahl von verarbeitenden Stellen stets den gleichen Fragestellungen gegenüberstehen. Die Anerkennung durch die Datenschutzaufsicht hat zudem das Potential, insbesondere kleinen und mittelständischen Unternehmen (KMU) unnötige Ängste, Sorgen und letztlich Risiken bei der Implementierung zeitgemäßer Verarbeitungsprozesse zu nehmen. Diese Funktion des Compliance-Nachweises sieht auch die DS-GVO explizit vor, da die Einhaltung anerkannter Verhaltensregeln etwa gem. Art. 83 Abs. 2 Buchst. j) DS-GVO als Faktor bei der Bußgeldzumessung zu berücksichtigen ist.
Um einen aktiven Beitrag zur Harmonisierung der Implementierung der Datenschutz-Grundverordnung zu leisten, ist die GDD an verschiedenen Verhaltensregeln beteiligt.
Trusted Data Processor
Die von Experten der Verbände GDD e.V. und BvD e.V. erarbeitete Verhaltensregel „Trusted Data Processor“ schafft einheitliche Vorgaben für Auftragsverarbeiter gem. Art. 28 DS-GVO und leistet einen Beitrag zur mehr Rechtssicherheit im Verhältnis zwischen Verantwortlichen und ihren Dienstleistern.
Code of Conduct on the use of GDPR compliant pseudonymisation
Die aus dem Digital-Gipfel der Bundesregierung unter Beteiligung der GDD entstandene Verhaltensregel zur Pseudonymisierung konkretisiert einen angemessenen Management-Prozess für die Pseudonymisierung personenbezogener Daten. Er soll als sog. "transnationaler" Code of Conduct europaweit geltende Standards für die Pseudonymisierung personenbezogener Daten schaffen.