DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8e Vorschläge zur besseren Regelung (8E)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Vorschläge zur besseren Regelung DSGVO
Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.
8.22. Protokollierung der Datenübertragungen und der Empfänger
Um bei der Informationseinholung der betroffenen Person mit den Empfängern personenbezogener Daten kommunizieren zu können, ist der Verantwortliche verpflichtet, die Empfänger und die ihnen übermittelten Daten zu erfassen. Um diese Verpflichtung zu begründen, muss Art. 24 Abs. 1 Datenschutz-Grundverordnung um einen neuen zweiten Satz ergänzt werden:
- „(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Er protokolliert die Übertragungen personenbezogener Daten an Dritte und deren Empfänger. Diese Maßnahmenwerden erforderlichenfalls überprüft und aktualisiert.“
Der bisher verwendete Satz 2 wird zum neuen Satz 3. Durch die Hinzufügung eines neuen Satzes 2 wurde die Dokumentationspflicht des Verantwortlichen um einen für die Herstellung von Transparenz äußerst relevanten Faktor erweitert. Nur auf Grundlage der Aufzeichnung der Übermittlung personenbezogener Daten können die Rechte der betroffenen Person gegenüber dem Empfänger wirksam durchgesetzt werden.
8.23. Nichtabdinbarkeit der Rechte der betroffenen Person
Um die Rechte betroffener Personen vor rechtlichen Beschränkungen oder Ausschlüssen zu schützen, sollte deren Unumkehrbarkeit klar angegeben werden. Für solche Regelungen verweisen wir auf § 6 Abs. 1 Verbinden Sie sich mit dem alten BDSG. Er sollte als neuer Absatz 3 in Artikel 23 der Datenschutz-Grundverordnung aufgenommen werden:
- „(3) Die Rechte der betroffenen Person auf Auskunft (Artikel 15), Berichtigung (Artikel 16), Löschung (Artikel 17), Einschränkung (Artikel 18), Datenübertragung (Artikel 20) oder Widerspruch (Artikel 21) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.“
Durch die Hinzufügung eines neuen Absatzes 3 wird verhindert, dass der Verantwortliche seine wirtschaftliche Macht missbraucht, um die Rechte der betroffenen Person zur Unterstützung ihrer Datenverarbeitung einzuschränken oder auszuschließen. Dies unterstreicht die Aufgabe der Datenschutz-Grundverordnung, die Grundrechte und Grundfreiheiten der betroffenen Personen zu schützen.
8.24. Pflichten für Hersteller
Da die Verantwortlichen in vielen Fällen ohne die Unterstützung der Hersteller von IT-Produkten und -Verfahren den datenschutzrechtlichen Pflichten nach Art. 24 ff. Datenschutz-Grundverordnung nicht nachkommen können, ist es erforderlich, für diese eigenständige Datenschutzpflichten zu etablieren und diese zu bündeln abgeglichen und mit denen des Verantwortlichen zusammengeführt. Dazu hat die Datenschutzkonferenz empfohlen, den Begriff Hersteller im Rahmen des Art. 4 des neuen Art. 27 Datenschutz-Grundverordnung nach dem EU-Produkthaftungsgesetz zu definieren und den Hersteller nach Art. 24 Datenschutz-Grundverordnung zu zertifizieren. Der Vorschlag wurde unten angenommen. Dementsprechend sollte Art. 4 Datenschutz-Grundverordnung durch einen neuen Art. 27 ergänzt werden, der wie folgt lautet:
- „27. ‚Hersteller‘ den Hersteller im Sinne von Artikel 3 der Richtlinie85/374/EWG des Rates vom 25. Juli 1985 zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte. Nr. 16 Buchstabe a gilt entsprechend. Soweit er über Zwecke und Mittel der Datenverarbeitung entscheidet, ist der Hersteller auch Verantwortlicher im Sinne der Nr. 7.“
Für Kapitel IV DSGVO sollte die Überschrift lauten:
„Verantwortlicher und Auftragsverarbeiter ,Hersteller“
und Art. 24 DSGVO die ergänzte Überschrift erhalten:
„Verantwortung des für die Verarbeitung Verantwortlichen und des Herstellers“.
Außerdem sollte Art. 24 DSGVO um einen neuen Abs. 4 ergänzt werden:
- „(4) Der Hersteller entwickelt und gestaltet seine Produkte, Dienste und Anwendungen unter Berücksichtigung des Rechts auf Datenschutz und des Standes der Technik so, dass er sicherstellt, dass Verantwortliche und Auftragsverarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen, ohne unzumutbare Änderungen an diesen Produkten, Diensten und Anwendungen vornehmen zu müssen. Er unterstützt sie bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30), bei der Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33) und beider Benachrichtigung betroffener Personen (Art.34), indem er ihnen auf An-frage alle dazu notwendigen Informationen bereitstellt. “
Beachten Sie den neuen Artikel 27 in Artikel 4 der DSGVO, um sicherzustellen, dass im Datenschutzrecht dieselbe Herstellerterminologie verwendet wird wie in den Produkthaftungsrichtlinien. Dies ermöglicht den Zugriff auf Literatur zur Rechtsprechung und zum Produkthaftungsrecht und definiert klar den Gegenstand der datenschutzrechtlichen Pflichten des Herstellers. Der neue Absatz in Art. 24 Datenschutz-Grundverordnung stellt grundsätzlich klar, dass sich die Supportpflicht des Herstellers aus der Verpflichtung des Verantwortlichen für die Nutzung der Informationstechnologie des Herstellers ergibt. Dies trägt dazu bei, der Verantwortung des Verantwortlichen in der Praxis gerecht zu werden und grundlegende Datenschutzrechte gemäß Artikel 8 GRCh durchzusetzen. Viele Nutzer der Informationstechnologie haben auch ihre Rolle als Verantwortliche reduziert: Anstrengungen werden dort verursacht, wo die Gestaltungsfähigkeit vorhanden ist, sie tragen also auch die Verantwortung für die Umsetzung. Bei Nichterfüllung übernimmt die Datenschutzkonferenz diese Verpflichtung des Herstellers in den vorgeschlagenen Änderungen zu Art. 79 und Art. 82 Datenschutz-Grundverordnung zum Schadensersatz. Der neue Absatz 4 erwähnt die Leistung aller datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter, die vom Hersteller umzusetzen sind. Dies gilt für alle Pflichten, einschließlich der Pflicht zur Wahrnehmung aller Betroffenenrechte, insbesondere der technisch bedingten Pflichten zum Schutz der Daten durch Systemgestaltung und Voreinstellungen gemäß Art gemäß der Datenschutz-Grundverordnung. Artikel 32 der Datenschutz-Grundverordnung.
8.25. Datenschutz durch Systemgestaltung
Auch wenn in Art. 24 Abs. 4 Datenschutz-Grundverordnung der Hersteller nun nicht mehr als Empfänger der Verpflichtung zur datenschutzkonformen Gestaltung des Systems bezeichnet wird, kann es rechtliche und politische Notwendigkeiten geben, den Hersteller explizit in die der Wortlaut von Artikel 25. Zu diesem Zweck und falls die vorgeschlagene Ergänzung des Art. 24 Datenschutz-Grundverordnung in Art. 4 nicht umgesetzt wird, wird empfohlen, nachfolgend Art. 25 Abs. 1 Datenschutz-Grundverordnung zu ergänzen. Um die besonderen Risiken von Kindern bei der datenschutzgerechten Gestaltung des Systems angemessen zu berücksichtigen, sollte Artikel 25 Absatz 1 Datenschutz-Grundverordnung um folgende Sachverhalte ergänzt werden:
- „(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen, insbesondere für Kinder, trifft der Verantwortliche und der Hersteller von Datenverarbeitungssystemen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den
- Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
Erhöhung bedeutet, den Rechten und Freiheiten von Kindern bei der Systemgestaltung besondere Aufmerksamkeit zu schenken. Die Ergänzung hat im Wesentlichen eine klärende Funktion, die jedoch vor dem Hintergrund der in der Vergangenheit unzureichenden Berücksichtigung von Kindern bei der Systemgestaltung notwendig geworden ist. Weitere Risiken und konkrete Anwendungen der Regelungen sind notwendig und werden im Rahmen risikoorientierter regulatorischer Überarbeitungen diskutiert.
8.26. Datenschutz durch Voreinstellungen
Um die Wirksamkeit datenschutzfreundlicher Voreinstellungen gemäß Art. 25 Abs. 2 Datenschutz-Grundverordnung zu verbessern und die datenschutzfeindlichen Gestaltungsmöglichkeiten des Verantwortlichen einzuschränken, wird statt der Anpassung der Voreinstellungen an frei definierbare Zwecke die Vorgabe Auf dieser Grundlage ist die Spezifikation der technischen Funktionen erforderlich, um die wesentlichen Dienste für das jeweilige Personal bereitzustellen. Dazu muss dem Standardtext ein neuer Satz hinzugefügt werden2. Die bisherigen Sätze 2 und 3 werden zu den Sätzen 3 und 4. Um den besonderen Risiken von Kindern bei den datenschutzfreundlichen Voreinstellungen Rechnung zu tragen, sollte in den neuen Satz 5 zusätzlich Art. 25 Abs. 2 Datenschutz-Grundverordnung um folgenden Sachverhalt ergänzt werden:
- „(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Zu berücksichtigen ist die Ausprägung des Verarbeitungszwecks, nach der so wenig personenbezogene Daten wie möglich verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Die Voreinstellungen berücksichtigen insbesondere die Schutzbedürftigkeit von Kindern.“
Der neue Satz 2 zeigt den Nachteil, dass zum einen der Grundsatz der Datensparsamkeit (Satz 1) sowie der Grundsatz der Datenvermeidung als notwendige Faktoren für die Auswahl von Voreinstellungen und für die Gestaltung gefördert wurde. Ausgangspunkt ist eine bestimmte vorab festgelegte funktionale Notwendigkeit, beispielsweise die Erbringung einer vertraglich vereinbarten Leistung. Neben der subjektiven Notwendigkeit des letztlich vom Verantwortlichen entschiedenen Zwecks wird auch die objektive Notwendigkeit relevant. Die Hinzufügung eines neuen fünften Satzes hat ebenso wie die Hinzufügung von Art. 25 Abs. 1 Datenschutz-Grundverordnung die Rechte und Freiheiten von Kindern gestärkt, indem die Notwendigkeit des Schutzes von Kindern im Standardtext klar erwähnt wird und eine klarstellende Wirkung hat.
Referenzen:
446 Siehe vergleichsweise Kapitel „Automatische Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29
… Weiterlesen:
8f. DSGVO Beurteilung – VORSCHLÄGE zur Neu-Regelung
Beurteilung Großer Status Quo Mehrteiler/ Teil-8f Vorschläge zur besseren Regelung (8F)
[…] 8.22. rotokollierungen (Datenübertragungen u. Empfänger). (zu Beitrag 8E) […]