Die Datenschutz-Grundverordnung (DS-GVO) enthält zahlreiche unbestimmter Rechtsbegriffe und Abwägungserfordernisse, die im Rahmen der praktischen Umsetzung einer Konkretisierung bedürfen.
Nach Art. 40 Abs. 2 DS-GVO dürfen Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten. Der Entwurf der Verhaltensregeln kann dann der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vorgelegt werden. Nach Art. 40 Abs. 1 DS-GVO fördern die Mitgliedstaaten, die Aufsichtsbehörden sowie der Europäische Datenschutzausschuss und die Europäische Kommission die Ausarbeitung von Verhaltensregeln.
Genehmigte Verhaltensregeln drücken ein gemeinsames Verständnis des Antragstellers und der genehmigenden Aufsichtsbehörde darüber aus, wie in bestimmten Konstellationen mit personenbezogenen Daten in zulässiger Weise umgegangen werden kann. Sie können keine neue Rechtsgrundlage für eine Datenverarbeitung begründen. Sie können aber die teilweise sehr abstrakten Regelungen der DS-GVO bereichsspezifisch präzisieren und konkretisieren und so ihre Anwendbarkeit fördern. Verhaltensregeln können ferner die Aufgaben und Befugnisse der Aufsichtsbehörden nicht beschränken.