DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8e Vorschläge zur besseren Regelung (8E)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Vorschläge zur besseren Regelung DSGVO

    Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.

 

8.22. Protokollierung der Datenübertragungen und der Empfänger

Um bei der Informationseinholung der betroffenen Person mit den Empfängern personenbezogener Daten kommunizieren zu können, ist der Verantwortliche verpflichtet, die Empfänger und die ihnen übermittelten Daten zu erfassen. Um diese Verpflichtung zu begründen, muss Art. 24 Abs. 1 Datenschutz-Grundverordnung um einen neuen zweiten Satz ergänzt werden:

 

  • „(1)  Der  Verantwortliche  setzt  unter  Berücksichtigung  der  Art,  des Umfangs,  der  Umstände  und  der  Zwecke  der  Verarbeitung  sowie  der unterschiedlichen  Eintrittswahrscheinlichkeit  und  Schwere  der  Risiken  für  die  Rechte  und  Freiheiten  natürlicher  Personen  geeignete technische  und  organisatorische  Maßnahmen  um,  um  sicherzustellen und  den  Nachweis  dafür  erbringen  zu  können,  dass  die  Verarbeitung gemäß dieser Verordnung erfolgt. Er protokolliert die Übertragungen personenbezogener Daten an Dritte und deren Empfänger. Diese Maßnahmenwerden erforderlichenfalls überprüft und aktualisiert.“

Der bisher verwendete Satz 2 wird zum neuen Satz 3. Durch die Hinzufügung eines neuen Satzes 2 wurde die Dokumentationspflicht des Verantwortlichen um einen für die Herstellung von Transparenz äußerst relevanten Faktor erweitert. Nur auf Grundlage der Aufzeichnung der Übermittlung personenbezogener Daten können die Rechte der betroffenen Person gegenüber dem Empfänger wirksam durchgesetzt werden.

8.23. Nichtabdinbarkeit der Rechte der betroffenen Person

Um die Rechte betroffener Personen vor rechtlichen Beschränkungen oder Ausschlüssen zu schützen, sollte deren Unumkehrbarkeit klar angegeben werden. Für solche Regelungen verweisen wir auf § 6 Abs. 1 Verbinden Sie sich mit dem alten BDSG. Er sollte als neuer Absatz 3 in Artikel 23 der Datenschutz-Grundverordnung aufgenommen werden:

 

  • „(3)  Die  Rechte  der  betroffenen  Person  auf  Auskunft  (Artikel  15),  Berichtigung  (Artikel  16),  Löschung  (Artikel  17),  Einschränkung  (Artikel  18),  Datenübertragung  (Artikel  20)  oder  Widerspruch  (Artikel  21)  können  nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.“

 

Durch die Hinzufügung eines neuen Absatzes 3 wird verhindert, dass der Verantwortliche seine wirtschaftliche Macht missbraucht, um die Rechte der betroffenen Person zur Unterstützung ihrer Datenverarbeitung einzuschränken oder auszuschließen. Dies unterstreicht die Aufgabe der Datenschutz-Grundverordnung, die Grundrechte und Grundfreiheiten der betroffenen Personen zu schützen.

8.24. Pflichten für Hersteller

Da die Verantwortlichen in vielen Fällen ohne die Unterstützung der Hersteller von IT-Produkten und -Verfahren den datenschutzrechtlichen Pflichten nach Art. 24 ff. Datenschutz-Grundverordnung nicht nachkommen können, ist es erforderlich, für diese eigenständige Datenschutzpflichten zu etablieren und diese zu bündeln abgeglichen und mit denen des Verantwortlichen zusammengeführt. Dazu hat die Datenschutzkonferenz empfohlen, den Begriff Hersteller im Rahmen des Art. 4 des neuen Art. 27 Datenschutz-Grundverordnung nach dem EU-Produkthaftungsgesetz zu definieren und den Hersteller nach Art. 24 Datenschutz-Grundverordnung zu zertifizieren. Der Vorschlag wurde unten angenommen. Dementsprechend sollte Art. 4 Datenschutz-Grundverordnung durch einen neuen Art. 27 ergänzt werden, der wie folgt lautet:

  • „27.  ‚Hersteller‘  den  Hersteller  im  Sinne  von  Artikel  3  der  Richtlinie85/374/EWG des Rates vom 25. Juli 1985 zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte. Nr. 16 Buchstabe a gilt entsprechend. Soweit er über Zwecke und Mittel  der  Datenverarbeitung  entscheidet,  ist  der  Hersteller  auch  Verantwortlicher im Sinne der Nr. 7.“

 

Für Kapitel IV DSGVO sollte die Überschrift lauten:

„Verantwortlicher und Auftragsverarbeiter ,Hersteller“

 

und Art. 24 DSGVO die ergänzte Überschrift erhalten:

„Verantwortung des für die Verarbeitung Verantwortlichen und des Herstellers“.

 

Außerdem sollte Art. 24 DSGVO um einen neuen Abs. 4 ergänzt werden:

  • „(4) Der Hersteller entwickelt und gestaltet seine Produkte, Dienste und Anwendungen unter  Berücksichtigung  des  Rechts  auf  Datenschutz  und  des Standes  der  Technik  so,  dass  er  sicherstellt,  dass  Verantwortliche  und  Auftragsverarbeiter  in  der  Lage  sind,  ihren  Datenschutzpflichten  nachzukommen,  ohne  unzumutbare  Änderungen  an  diesen  Produkten,  Diensten  und Anwendungen  vornehmen  zu  müssen.  Er unterstützt sie  bei  der  Erstellung des  Verzeichnisses  von  Verarbeitungstätigkeiten  (Art. 30),  bei  der  Meldung einer  Verletzung  des  Schutzes  personenbezogener  Daten  (Art. 33)  und  beider Benachrichtigung betroffener Personen (Art.34), indem er ihnen auf An-frage alle dazu notwendigen Informationen bereitstellt. “

 

Beachten Sie den neuen Artikel 27 in Artikel 4 der DSGVO, um sicherzustellen, dass im Datenschutzrecht dieselbe Herstellerterminologie verwendet wird wie in den Produkthaftungsrichtlinien. Dies ermöglicht den Zugriff auf Literatur zur Rechtsprechung und zum Produkthaftungsrecht und definiert klar den Gegenstand der datenschutzrechtlichen Pflichten des Herstellers. Der neue Absatz in Art. 24 Datenschutz-Grundverordnung stellt grundsätzlich klar, dass sich die Supportpflicht des Herstellers aus der Verpflichtung des Verantwortlichen für die Nutzung der Informationstechnologie des Herstellers ergibt. Dies trägt dazu bei, der Verantwortung des Verantwortlichen in der Praxis gerecht zu werden und grundlegende Datenschutzrechte gemäß Artikel 8 GRCh durchzusetzen. Viele Nutzer der Informationstechnologie haben auch ihre Rolle als Verantwortliche reduziert: Anstrengungen werden dort verursacht, wo die Gestaltungsfähigkeit vorhanden ist, sie tragen also auch die Verantwortung für die Umsetzung. Bei Nichterfüllung übernimmt die Datenschutzkonferenz diese Verpflichtung des Herstellers in den vorgeschlagenen Änderungen zu Art. 79 und Art. 82 Datenschutz-Grundverordnung zum Schadensersatz. Der neue Absatz 4 erwähnt die Leistung aller datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter, die vom Hersteller umzusetzen sind. Dies gilt für alle Pflichten, einschließlich der Pflicht zur Wahrnehmung aller Betroffenenrechte, insbesondere der technisch bedingten Pflichten zum Schutz der Daten durch Systemgestaltung und Voreinstellungen gemäß Art gemäß der Datenschutz-Grundverordnung. Artikel 32 der Datenschutz-Grundverordnung.

8.25. Datenschutz durch Systemgestaltung

Auch wenn in Art. 24 Abs. 4 Datenschutz-Grundverordnung der Hersteller nun nicht mehr als Empfänger der Verpflichtung zur datenschutzkonformen Gestaltung des Systems bezeichnet wird, kann es rechtliche und politische Notwendigkeiten geben, den Hersteller explizit in die der Wortlaut von Artikel 25. Zu diesem Zweck und falls die vorgeschlagene Ergänzung des Art. 24 Datenschutz-Grundverordnung in Art. 4 nicht umgesetzt wird, wird empfohlen, nachfolgend Art. 25 Abs. 1 Datenschutz-Grundverordnung zu ergänzen. Um die besonderen Risiken von Kindern bei der datenschutzgerechten Gestaltung des Systems angemessen zu berücksichtigen, sollte Artikel 25 Absatz 1 Datenschutz-Grundverordnung um folgende Sachverhalte ergänzt werden:

  • „(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der  Verarbeitung  verbundenen  Risiken  für die  Rechte  und  Freiheiten  natürlicher  Personen,  insbesondere  für  Kinder, trifft der Verantwortliche und der Hersteller von Datenverarbeitungssystemen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung  als  auch  zum  Zeitpunkt  der  eigentlichen  Verarbeitung  geeignete  technische  und  organisatorische  Maßnahmen  —  wie  z.  B. Pseudonymisierung —,  die  dafür  ausgelegt  sind,  die  Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen  Garantien  in  die  Verarbeitung  aufzunehmen,  um  den
  • Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Erhöhung bedeutet, den Rechten und Freiheiten von Kindern bei der Systemgestaltung besondere Aufmerksamkeit zu schenken. Die Ergänzung hat im Wesentlichen eine klärende Funktion, die jedoch vor dem Hintergrund der in der Vergangenheit unzureichenden Berücksichtigung von Kindern bei der Systemgestaltung notwendig geworden ist. Weitere Risiken und konkrete Anwendungen der Regelungen sind notwendig und werden im Rahmen risikoorientierter regulatorischer Überarbeitungen diskutiert.

8.26. Datenschutz durch Voreinstellungen

Um die Wirksamkeit datenschutzfreundlicher Voreinstellungen gemäß Art. 25 Abs. 2 Datenschutz-Grundverordnung zu verbessern und die datenschutzfeindlichen Gestaltungsmöglichkeiten des Verantwortlichen einzuschränken, wird statt der Anpassung der Voreinstellungen an frei definierbare Zwecke die Vorgabe Auf dieser Grundlage ist die Spezifikation der technischen Funktionen erforderlich, um die wesentlichen Dienste für das jeweilige Personal bereitzustellen. Dazu muss dem Standardtext ein neuer Satz hinzugefügt werden2. Die bisherigen Sätze 2 und 3 werden zu den Sätzen 3 und 4. Um den besonderen Risiken von Kindern bei den datenschutzfreundlichen Voreinstellungen Rechnung zu tragen, sollte in den neuen Satz 5 zusätzlich Art. 25 Abs. 2 Datenschutz-Grundverordnung um folgenden Sachverhalt ergänzt werden:

 

  • „(2) Der  Verantwortliche  trifft  geeignete  technische  und  organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene  Daten,  deren  Verarbeitung  für  den  jeweiligen  bestimmten Verarbeitungszweck erforderlich ist. Zu berücksichtigen ist die Ausprägung des Verarbeitungszwecks,  nach der so wenig  personenbezogene Daten  wie  möglich verarbeitet werden.  Diese Verpflichtung gilt  für  die Menge  der  erhobenen  personenbezogenen  Daten,  den  Umfang  ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere  sicherstellen,  dass  personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten  Zahl  von  natürlichen  Personen  zugänglich  gemacht werden. Die Voreinstellungen  berücksichtigen insbesondere die Schutzbedürftigkeit von Kindern.“

Der neue Satz 2 zeigt den Nachteil, dass zum einen der Grundsatz der Datensparsamkeit (Satz 1) sowie der Grundsatz der Datenvermeidung als notwendige Faktoren für die Auswahl von Voreinstellungen und für die Gestaltung gefördert wurde. Ausgangspunkt ist eine bestimmte vorab festgelegte funktionale Notwendigkeit, beispielsweise die Erbringung einer vertraglich vereinbarten Leistung. Neben der subjektiven Notwendigkeit des letztlich vom Verantwortlichen entschiedenen Zwecks wird auch die objektive Notwendigkeit relevant. Die Hinzufügung eines neuen fünften Satzes hat ebenso wie die Hinzufügung von Art. 25 Abs. 1 Datenschutz-Grundverordnung die Rechte und Freiheiten von Kindern gestärkt, indem die Notwendigkeit des Schutzes von Kindern im Standardtext klar erwähnt wird und eine klarstellende Wirkung hat.

 

Referenzen:

446 Siehe vergleichsweise Kapitel „Automatische Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29

 

 

…  Weiterlesen:

8f. DSGVO Beurteilung –   VORSCHLÄGE zur Neu-Regelung

Beurteilung Großer Status Quo Mehrteiler/ Teil-8f Vorschläge zur besseren Regelung (8F)