Artikel 31 EU-DSGVO: Zusammenarbeit mit der Aufsichtsbehörde
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Art. 31 DSGVO:
Der Art. 31 DSGVO behandelt das Verhältnis zwischen Aufsichtsbehörden und Verantwortlichen, Auftragsverarbeitern und deren Vertretern.
Gemäß Art. 31 DSGVO haben der Verantwortliche, der Auftragsverarbeiter und ggf. dessen Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen zu arbeiten.
Vor der DSGVO gab es im BDSG-alt ähnliche Vorschriften für öffentliche Stellen, die eine Unterstützungspflicht inne hatten. Nicht-öffentliche Stellen hatten jedoch nur eine Auskunftspflicht. Der Art. 31 DSGVO hat hauptsächlich deklaratorische Funktion, da die Pflicht zur Zusammenarbeit sich schon aus anderen spezielleren Normen ergibt, sowie aus der Funktion und Zuständigkeit der Aufsichtsbehörde. Daher bleibt eine weitere Zusammenarbeit wie nach der BDSG-Lage erhalten, jedoch werden nun die Auftragsverarbeiter unmittelbar in die Pflicht gestellt.
Somit ergibt sich hieraus, dass nicht-öffentliche Stellen zukünftig weiterhin in der Pflicht sind mit den Aufsichtsbehörden zusammen zu arbeiten. Insbesondere sind nun auch die Auftragsverarbeiter von dieser Pflicht erfasst.
Kommentar zu Art. 40 EU DSGVO
In Art. 40 DSGVO geht es darum, dass im Bereich Datenschutz nicht nur Organe der Gesetzgebung Regelungen aufstellen können. Gewisse „Verhaltensregeln“ können vielmehr auch von im Gesetz genannten Institutionen entwickelt werden. Dies soll dazu führen, dass die recht allgemein formulierten Normen der EU-DSGVO oder des deutschen Datenschutzgesetzes verständlicher werden und besser auf die jeweilige Branche bezogen angewendet werden können. Sie sollen konkretere Anweisungen beinhalten und so Rechtssicherheit vermitteln. Zudem soll die Selbstregulierung der Wirtschaft gefördert werden.
Art. 40 DSGVO – Wer kann Verhaltensregeln zu welchen Themen aufstellen?
Adressaten des Art. 40 DSGVO sind Verbände und andere Vereinigungen. Gemeint sind hier also etwa Berufsverbände wie der Bundesverband der Deutschen Industrie, Gewerkschaften, Kammern, Datenschutzvereine etc. In Deutschland hat sich etwa der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) eigene Verhaltensregeln gegeben.
Die Themen der Verhaltensregeln sind nicht abschließend in Art. 40 Absatz 2 DSGVO genannt. Verbände und andere Vereinigungen können also beispielsweise die Art der Erhebung von personenbezogenen Daten oder den Schutz der Rechte von Betroffenen präzisieren.
Müssen Sie die Verhaltensregeln ebenfalls beachten?
Dies kommt zunächst darauf an, wer die Verhaltensregeln aufgestellt hat. War dies beispielsweise ein Interessenverband der Versicherungswirtschaft und ist Ihr Unternehmen im Bereich Hausbau oder Großhandel tätig, ist Ihre Branche nicht betroffen, so dass die Regeln nicht für Ihre Firma gelten. Vermittelt Ihre Firma jedoch z. B. Versicherungen, wären Sie verpflichtet die Verhaltensregeln des Interessenverbandes der Versicherungswirtschaft einzuhalten. Würde speziell Ihr Interessenverband Verhaltensregeln aufstellen, so kann auch Ihr Unternehmen betroffen sein. Deshalb gilt es zu überblicken, ob Ihr Betrieb zum Adressatenkreis der Regeln zählt, was normalerweise der Fall sein wird.
Obschon es aufgrund des aufwändigen Verfahrens eher selten zu Veröffentlichungen kommt, sind neue Verhaltensregeln stets im Auge zu behalten. Auch dies übernimmt ein Datenschutzbeauftragter für Sie.