DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8f Vorschläge zur besseren Regelung (8F)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Vorschläge zur besseren Regelung DSGVO
Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.
8.27. Informationspflichten bei gemeinsamer Verantwortlichkeit
Um sicherzustellen, dass im Falle einer gemeinsamen Verantwortung für die Datenverarbeitung die vollständigen Informationen, die der gemeinsam Verantwortliche der betroffenen Person zu erteilen hat, tatsächlich bereitgestellt werden, sollte die Datenschutz-Grundverordnung im Wortlaut von Art. 26 Abs. 1 S. 2 klar genannt werden Satz, dass der Verantwortliche verpflichtet ist, ihre Angaben zu koordinieren, um eine vollständige Information der betroffenen Person zu gewährleisten:
- „(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Formfest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, um eine lückenlose Information der betroffenen Person zu gewährleisten, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“
Die Ergänzung legt den Grad der Abstimmung zwischen den Mitverantwortlichen fest: Sie müssen so zusammenarbeiten, dass ihre jeweiligen Informationen keine Informationslücken beim zuständigen Personal verursachen. Darüber hinaus wird gemäß Art. 83 Abs. 5 b Datenschutz-Grundverordnung sichergestellt, dass auch alle Mitverantwortlichen für die Erfüllung dieser Anforderung verantwortlich sind. Wenn die Informationen unvollständig sind oder nicht bereitgestellt werden, können Ihnen wirksame Sanktionen auferlegt werden.
8.28. Berücksichtigung der Risiken eines Kindes in der Datenschutz-Folgenabschätzung
Um der Tatsache Rechnung zu tragen, dass personenbezogene Daten von Kindern in jeder Datenschutz-Folgenabschätzung verarbeitet werden, sollte Art. 35 Abs. 1 und 7 Datenschutz-Grundverordnung um folgende Sachverhalte ergänzt werden:
- „(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, insbesondere durch die Verarbeitung personenbezogener Daten eines Kindes, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vor-genommen werden.“
- (7) Die Folgenabschätzung enthält zumindest Folgendes:
- a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1, die in besonderer Weise berücksichtigt, wenn es sich um die personenbezogenen Daten eines Kindes handelt, und
- d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener, insbesondere von Kindern, Rechnung getragen wird.“
Darüber hinaus wurde der Vorschlag zur Änderung der Artikel 21, 25 und 34 der Datenschutz-Grundverordnung fortgesetzt und auf Datenschutz-Folgenabschätzungen ausgeweitet. Hier geht es auch darum, die Rechte und Freiheiten von Kindern zu stärken, sicherzustellen, dass Kinder im Standardtext klar erwähnt werden und dass die Verantwortlichen die Rechte und Freiheiten von Kindern wirklich berücksichtigen. Die neuen Inhalte in Art. 35 Datenschutz-Grundverordnung gehen über die Klarstellungen und konkreten Verpflichtungen zur besonderen Berücksichtigung von Kindern bei der Durchführung von Datenschutz-Folgenabschätzungen hinaus, die bis hin zur Definition von Risikoanalysen und Schutzmaßnahmen reichen.
8.29. Befugnisse der Aufsichtsbehörden gegenüber Herstellern
Um die Einhaltung ihrer Pflichten gegenüber den Herstellern durchsetzen zu können, benötigen die Regulierungsbehörden Befugnisse, um ihnen wirksame Maßnahmen anordnen zu können, die noch nicht erwähnt wurden. Im Vorschlag zur Datenschutzkonferenz fehlt eine solche Bestimmung. Im Folgenden wird daher die Absicht der Datenschutzkonferenz vervollständigt und ergänzende Formulierungen zu ihrem Vorschlag vorgeschlagen. Aus diesem Grund reicht es aus, den Hersteller in die Zulassungsbestimmungen des Art. 58 Abs. 1 a und d sowie 2 a, b und d Datenschutz-Grundverordnung einzubeziehen und diese Regelungen wie folgt zu ergänzen:
- „(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
- a) den Verantwortlichen, den Auftragsverarbeiter, und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters und den Hersteller anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, …
- d) den Verantwortlichen, oder den Auftragsverarbeiter oder den Hersteller auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, …
- (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
- a) einen Verantwortlichen, oder einen Auftragsverarbeiter oder einen Hersteller zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraus-sichtlich gegen diese Verordnung verstoßen,
- b) einen Verantwortlichen, oder einen Auftragsverarbeiter oder einen Hersteller zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
- d) den Verantwortlichen, oder den Auftragsverarbeiter oder einen Hersteller anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, … .“
Diese Ergänzungen sind nach Art. 24 und 25 Datenschutz-Grundverordnung zur wirksamen Umsetzung der Herstellerpflichten erforderlich. Sie sind das unvermeidliche Ergebnis einer schwerwiegenden Verpflichtung der Hersteller, ihren eigenen Datenschutzpflichten nachzukommen. Andererseits sollten die oben genannten fünf Befugnisse auch ausreichend sein, um ausreichende Anreize für Hersteller zu setzen, ihren Verpflichtungen nachzukommen – ebenso wie die Möglichkeit, entsprechendes Personal zu sanktionieren und Maßnahmen zu ergreifen.
Referenzen:
446 Siehe vergleichsweise Kapitel „Automatis. Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29
… Weiterlesen:
8g. DSGVO Beurteilung – VORSCHLÄGE zur Neu-Regelung
Beurteilung Großer Status Quo Mehrteiler/ Teil-8g Vorschläge zur besseren Regelung (8G)
[…] Vor DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8e Vorschläge zur besseren Regelung […]