DSGVO Artikel 40 befasst sich ausdrücklich mit der Notwendigkeit für Organisationen, einen Verhaltenskodex – oder mehrere Verhaltenskodizes – zu entwerfen, der/die spezifisch für ihr Unternehmen ist/sind und auf die verschiedenen darin enthaltenen Rollen anwendbar ist/sind.
Unterstützende Kodizes können Szenarien wie die Verwendung personenbezogener Daten für Marketingzwecke oder Gesundheitszwecke umfassen.
Verhaltensregeln
- Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltenskodizes, die zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen und dabei die Besonderheiten der verschiedenen Verarbeitungssektoren und die besonderen Bedürfnisse von Kleinstunternehmen berücksichtigen , Kleine und mittelständische Unternehmen.
- Verbände und andere Gremien, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltenskodizes erstellen oder solche Kodizes ändern oder erweitern, um die Anwendung dieser Verordnung zu präzisieren, beispielsweise im Hinblick auf:
- (a) faire und transparente Verarbeitung;
- (b) die berechtigten Interessen, die die Verantwortlichen in bestimmten Kontexten verfolgen;
- (c) die Erhebung personenbezogener Daten;
- (d) die Pseudonymisierung personenbezogener Daten;
- (e) die Informationen, die der Öffentlichkeit und den betroffenen Personen zur Verfügung gestellt werden;
- (f) die Ausübung der Rechte der betroffenen Personen;
- (g) die Informationen und der Schutz von Kindern sowie die Art und Weise, wie die Zustimmung der Träger der elterlichen Verantwortung für Kinder eingeholt werden soll;
- (h) die in den Artikeln 24 und 25 genannten Maßnahmen und Verfahren sowie die in Artikel 32 genannten Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung;
- (i) die Meldung von Verstößen gegen den Schutz personenbezogener Daten an Aufsichtsbehörden und die Mitteilung solcher Verstöße gegen den Schutz personenbezogener Daten an betroffene Personen;
- (j) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen; oder
- (k) außergerichtliche Verfahren und andere Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte der betroffenen Personen gemäß den Artikeln 77 und 79.
- Verhaltenskodizes, die gemäß Absatz 5 dieses Artikels genehmigt wurden und gemäß Absatz 9 dieses Artikels allgemeine Gültigkeit haben, können neben der Einhaltung durch Verantwortliche oder Auftragsverarbeiter, die dieser Verordnung unterliegen, auch von Verantwortlichen oder Auftragsverarbeitern eingehalten werden, die dieser Verordnung nicht unterliegen Verordnung gemäß Artikel 3, um angemessene Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen gemäß den in Artikel 46 Absatz 2 Buchstabe e genannten Bedingungen bereitzustellen. Diese Verantwortlichen oder Auftragsverarbeiter müssen durch vertragliche oder andere rechtsverbindliche Instrumente verbindliche und durchsetzbare Verpflichtungen eingehen, um die entsprechenden Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
- Ein in Absatz 2 dieses Artikels genannter Verhaltenskodex muss Mechanismen enthalten, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder Auftragsverarbeiter, die sich zu ihrer Anwendung verpflichten, durchzuführen, ohne dass dies der Fall ist unbeschadet der Aufgaben und Befugnisse der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörden.
- Verbände und andere in Absatz 2 dieses Artikels genannte Einrichtungen, die beabsichtigen, einen Verhaltenskodex auszuarbeiten oder einen bestehenden Kodex zu ändern oder zu erweitern, müssen den Kodexentwurf, die Änderung oder Erweiterung der gemäß Artikel 55 zuständigen Aufsichtsbehörde vorlegen Die Aufsichtsbehörde gibt eine Stellungnahme dazu ab, ob der Kodexentwurf, die Änderung oder die Erweiterung mit dieser Verordnung im Einklang steht, und genehmigt den Kodexentwurf, die Änderung oder die Erweiterung, wenn sie zu dem Schluss kommt, dass er/sie ausreichende geeignete Garantien bietet.
- Wird der Kodexentwurf bzw. die Änderung oder Erweiterung gemäß Absatz 5 genehmigt und bezieht sich der betreffende Verhaltenskodex nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, registriert und veröffentlicht die Aufsichtsbehörde den Kodex.
- Bezieht sich ein Entwurf eines Verhaltenskodex auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, legt die gemäß Artikel 55 zuständige Aufsichtsbehörde ihn vor der Genehmigung des Entwurfs eines Verhaltenskodex, der Änderung oder Erweiterung im in Artikel 63 genannten Verfahren dem Ausschuss vor die eine Stellungnahme dazu abgibt, ob der Entwurf des Kodex, die Änderung oder Erweiterung dieser Verordnung entspricht oder in der in Absatz 3 dieses Artikels genannten Situation geeignete Garantien vorsieht.
- Bestätigt die in Absatz 7 genannte Stellungnahme, dass der Entwurf des Kodex, die Änderung oder Erweiterung mit dieser Verordnung im Einklang steht oder, in der in Absatz 3 genannten Situation, geeignete Garantien vorsieht, legt der Ausschuss seine Stellungnahme der Kommission vor.
- Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass der genehmigte Verhaltenskodex, die ihr gemäß Absatz 8 dieses Artikels vorgelegten Änderungen oder Erweiterungen in der Union allgemeine Gültigkeit haben. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 festgelegten Prüfverfahren erlassen.
- Die Kommission sorgt für eine angemessene Publizität der genehmigten Kodizes, für die gemäß Absatz 9 beschlossen wurde, dass sie allgemeine Gültigkeit haben.
- Der Vorstand führt alle genehmigten Verhaltenskodizes, Änderungen und Erweiterungen in einem Register zusammen und macht sie mit geeigneten Mitteln öffentlich zugänglich.
Verhaltensregeln
- Der Kommissar fördert die Ausarbeitung von Verhaltenskodizes, die zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen und dabei die Besonderheiten der verschiedenen Verarbeitungssektoren und die besonderen Bedürfnisse von Kleinst-, Klein- und Mittelunternehmen berücksichtigen.
- Verbände und andere Gremien, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltenskodizes erstellen oder solche Kodizes ändern oder erweitern, um die Anwendung dieser Verordnung zu präzisieren, beispielsweise im Hinblick auf:
- (a) faire und transparente Verarbeitung;
- (b) die berechtigten Interessen, die die Verantwortlichen in bestimmten Kontexten verfolgen;
- (c) die Erhebung personenbezogener Daten;
- (d) die Pseudonymisierung personenbezogener Daten;
- (e) die Informationen, die der Öffentlichkeit und den betroffenen Personen zur Verfügung gestellt werden;
- (f) die Ausübung der Rechte der betroffenen Personen;
- (g) die Informationen und der Schutz von Kindern sowie die Art und Weise, wie die Zustimmung der Träger der elterlichen Verantwortung für Kinder eingeholt werden soll;
- (h) die in den Artikeln 24 und 25 genannten Maßnahmen und Verfahren sowie die in Artikel 32 genannten Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung;
- (i) die Meldung von Verstößen gegen den Schutz personenbezogener Daten an den Datenschutzbeauftragten und die Mitteilung solcher Verstöße gegen den Schutz personenbezogener Daten an betroffene Personen;
- (j) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen; oder
- (k) außergerichtliche Verfahren und andere Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte der betroffenen Personen gemäß den Artikeln 77 und 79.
- Verhaltenskodizes, die gemäß Absatz 5 dieses Artikels genehmigt wurden und gemäß Absatz 9 dieses Artikels allgemeine Gültigkeit haben, können neben der Einhaltung durch Verantwortliche oder Auftragsverarbeiter, die dieser Verordnung unterliegen, auch von Verantwortlichen oder Auftragsverarbeitern eingehalten werden, die dieser Verordnung nicht unterliegen Verordnung gemäß Artikel 3, um angemessene Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen gemäß den in Artikel 46 Absatz 2 Buchstabe e genannten Bedingungen bereitzustellen. Diese Verantwortlichen oder Auftragsverarbeiter müssen durch vertragliche oder andere rechtsverbindliche Instrumente verbindliche und durchsetzbare Verpflichtungen eingehen, um die entsprechenden Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
- Ein in Absatz 2 dieses Artikels genannter Verhaltenskodex muss Mechanismen enthalten, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder Auftragsverarbeiter, die sich zu ihrer Anwendung verpflichten, durchzuführen, ohne dass dies der Fall ist die Aufgaben und Befugnisse des Kommissars beeinträchtigen.
- Verbände und andere in Absatz 2 dieses Artikels genannte Einrichtungen, die beabsichtigen, einen Verhaltenskodex auszuarbeiten oder einen bestehenden Kodex zu ändern oder zu erweitern, müssen den Kodexentwurf, die Änderung oder Erweiterung dem Kommissar vorlegen. Der Kommissar gibt eine Stellungnahme dazu ab, ob der Kodexentwurf, die Änderung oder die Erweiterung mit dieser Verordnung im Einklang steht, und genehmigt den Kodexentwurf, die Änderung oder die Erweiterung, wenn er zu dem Schluss kommt, dass er/sie ausreichende geeignete Schutzmaßnahmen bietet.
- Wenn der Kodexentwurf oder die Änderung oder Erweiterung gemäß Absatz 5 genehmigt wird, registriert und veröffentlicht der Kommissar den Kodex.
Artikel 40 der DSGVO verlangt von Organisationen, bei der Umsetzung von Verhaltenskodizes acht Hauptbereiche zu berücksichtigen:
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 40 (1), 40 (10), 40 (11), 40 (2)(a), 40 (2)(b), 40 (2)(c), 40 (2). )(d), 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2)(k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)
Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.
Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.
Dies beinhaltet:
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 40 (1) bis 40 (9) | ISO 27701 5.2.1 | Andere |
Durch die Kombination unserer Implementierungsstrategie „Adopt, Adapt, Add“ mit der ISMS.online-Plattform wird der Aufwand zur Erreichung der DSGVO-Compliance deutlich reduziert. Darüber hinaus gibt es eine Reihe leistungsstarker Funktionen, die Ihnen Zeit sparen.
Wir machen die Datenzuordnung einfach. Mit unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten behalten Sie ganz einfach den Überblick.
Erfahren Sie mehr von Buchung einer kurzen Demo.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Fordern Sie ein Angebot an
