Die Harmonisierung bietet enorme Chancen für die Wirtschaft, insbesondere für grenzüberschreitend tätige Unternehmen, da in der gesamten Europäischen Union die gleichen Regeln gelten; der hohe Abstraktionsgrad der Datenschutz-Grundverordnung stellt die Wirtschaft jedoch auch vor Rechtsunsicherheit.
Von hoher Bedeutung sind daher die Mechanismen, die die Wirtschaft befähigen, eigeninitiativ zur Konkretisierung der Datenschutz-Grundverordnung beizutragen. Die Instrumente der Verhaltensregeln, so genannte Codes of Conduct, und der Datenschutz-Zertifizierung werden durch die Datenschutz-Grundverordnung gestärkt und dienen als wichtiges Mittel zur Schaffung von Rechtssicherheit. Sie sind ein wichtiger Aspekt, um Datenschutz-Konformität nachzuweisen und hierdurch Vertrauen zu schaffen. Die Aufsichtsbehörden sind in die Ausarbeitung von Verhaltensregeln und der Zertifizierungskriterien eng einzubinden und genehmigen diese, so dass es sich um Instrumente der „regulierten“ Selbstregulierung handelt. Genehmigte Verhaltensregeln und Zertifizierungsmechanismen können Teil geeigneter Garantien für Datenübermittlung in Drittländer sein (Artikel 46 Absatz 2 Buchstabe e) und f) Datenschutz-Grundverordnung).
Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den Europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom Europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überwachung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.
Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder – im Falle eines EU-weiten Europäischen Datenschutzsiegels – durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).
Für den in der Praxis sehr bedeutsamen Bereich der Auftragsverarbeitung im Rahmen von Cloud Computing steht mit dem Trusted Cloud Datenschutz Profil für Cloud-Dienste (TCDP) ein Zertifizierungsstandard auf der Basis des geltenden Bundesdatenschutzgesetzes zur Verfügung, von dem Anbieter und Nutzer von Cloud-Diensten gleichermaßen profitieren. Der Prüfstandard wurde im Rahmen des Technologieprogramms “Trusted Cloud” des Bundesministeriums für Wirtschaft und Energie entwickelt und wird durch die Stiftung Datenschutz verwaltet. Durch das vom Bundesministerium für Wirtschaft und Energie geförderte Forschungsprojekt AUDITOR wird der Standard derzeit an die Datenschutz-Grundverordnung angepasst und fortentwickelt. Ziel des Projektes ist insbesondere die Erstellung eines durch den Europäischen Datenschutzausschuss nach Artikel 42 Absatz 5 Datenschutz-Grundverordnung genehmigten Kriterienkatalogs für die Zertifizierung und die Entwicklung eines Prüf- und Zertifizierungsverfahrens.