Artikel 40 Verhaltensregeln

Art. 40 sieht ausführlichere Regeln als § 38a BDSG 2003 vor. Die Auswirkung auf die Praxis wird sich in Grenzen halten, da es bei einer Kann-Vorschrift bleibt und keine Pflicht begründet wird, Verhaltensregeln aufzustellen. Auch sind die in Art. 40 Abs. 5 ff. aufgestellten Verfahrensregeln und die in Abs. 4 i. V. m. Art. 41 vorgesehene Überwachungspflicht durch eine akkreditierte Stelle nicht dazu angetan, von der Aufstellung von Verhaltensregeln flächendeckend Gebrauch zu machen. Im nicht-öffentlichen Bereich werden sie wie in der Vergangenheit zu § 38a BDSG 2003 die Ausnahme bleiben. Soweit ersichtlich, haben nur der Gesamtverband der deutschen Versicherungswirtschaft (GdV) und der GeoBusiness Code of Conduct (CoC) des Vereins Selbstregulierung Informationswirtschaft e. V. (SRIW), jeweils gebilligt vom Berliner BfDI, Verhaltensregeln aufgestellt. Die Verhaltensregeln werden weitgehend theoretischer Natur bleiben (wohl zu zuversichtlich Vomhof in Auernhammer, DS-GVO/BDSG, 6. Aufl., Art. 40 Rdn. 5 und 6; ausführlich zu den Anreizen Krohm, PinG 2016, 205 ff. (208 f); kritisch hingegen Feiler/Forgó, DS-GVO, Art. 40 Rdn. 1). Fraglich bleibt, ob sie für den Datentransfer in ein Drittland eher relevant werden (so Vomhof, a. a. O., Rdn. 6; Fladung in Wybitul, DS-GVO, Art. 40 Rdn. 9;hierzu unten zu Abs. 3).