DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8f Vorschläge zur besseren Regelung (8F)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Vorschläge zur besseren Regelung DSGVO

    Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.

 

8.27. Informationspflichten bei gemeinsamer Verantwortlichkeit

Um sicherzustellen, dass im Falle einer gemeinsamen Verantwortung für die Datenverarbeitung die vollständigen Informationen, die der gemeinsam Verantwortliche der betroffenen Person zu erteilen hat, tatsächlich bereitgestellt werden, sollte die Datenschutz-Grundverordnung im Wortlaut von Art. 26 Abs. 1 S. 2 klar genannt werden Satz, dass der Verantwortliche verpflichtet ist, ihre Angaben zu koordinieren, um eine vollständige Information der betroffenen Person zu gewährleisten:

 

  • „(1) Legen zwei  oder  mehr  Verantwortliche  gemeinsam  die  Zwecke der  und  die  Mittel  zur  Verarbeitung  fest,  so  sind  sie  gemeinsam  Verantwortliche.  Sie  legen  in  einer  Vereinbarung  in  transparenter  Formfest,  wer  von  ihnen  welche  Verpflichtung  gemäß  dieser  Verordnung erfüllt,  insbesondere  was  die  Wahrnehmung  der  Rechte  der  betroffenen  Person  angeht,  und  wer  welchen  Informationspflichten  gemäß den Artikeln 13 und 14 nachkommt, um eine lückenlose Information der betroffenen  Person  zu  gewährleisten, sofern  und  soweit  die  jeweiligen Aufgaben  der  Verantwortlichen  nicht  durch  Rechtsvorschriften  der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“

Die Ergänzung legt den Grad der Abstimmung zwischen den Mitverantwortlichen fest: Sie müssen so zusammenarbeiten, dass ihre jeweiligen Informationen keine Informationslücken beim zuständigen Personal verursachen. Darüber hinaus wird gemäß Art. 83 Abs. 5 b Datenschutz-Grundverordnung sichergestellt, dass auch alle Mitverantwortlichen für die Erfüllung dieser Anforderung verantwortlich sind. Wenn die Informationen unvollständig sind oder nicht bereitgestellt werden, können Ihnen wirksame Sanktionen auferlegt werden.

8.28. Berücksichtigung der Risiken eines Kindes in der Datenschutz-Folgenabschätzung

Um der Tatsache Rechnung zu tragen, dass personenbezogene Daten von Kindern in jeder Datenschutz-Folgenabschätzung verarbeitet werden, sollte Art. 35 Abs. 1 und 7 Datenschutz-Grundverordnung um folgende Sachverhalte ergänzt werden:

  • „(1)  Hat  eine  Form  der  Verarbeitung,  insbesondere  bei  Verwendung neuer  Technologien,  aufgrund  der  Art,  des  Umfangs,  der  Umstände und  der  Zwecke  der  Verarbeitung,  insbesondere  durch  die  Verarbeitung personenbezogener  Daten  eines  Kindes,  voraussichtlich  ein  hohes  Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen  Verarbeitungsvorgänge  für  den  Schutz  personenbezogener  Daten durch.  Für  die  Untersuchung  mehrerer  ähnlicher  Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vor-genommen werden.“

 

  • (7) Die Folgenabschätzung enthält zumindest Folgendes:
  1. a) eine systematische  Beschreibung  der  geplanten  Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

 

  1. b) eine Bewertung  der  Notwendigkeit  und  Verhältnismäßigkeit  der Verarbeitungsvorgänge in Bezug auf den Zweck;

 

  1. c) eine Bewertung  der  Risiken  für  die  Rechte  und  Freiheiten  der  betroffenen  Personen  gemäß  Absatz  1,  die  in  besonderer  Weise  berücksichtigt,  wenn  es  sich  um  die  personenbezogenen  Daten  eines  Kindes  handelt, und

 

  1. d) die zur  Bewältigung  der  Risiken  geplanten  Abhilfemaßnahmen, einschließlich   Garantien,   Sicherheitsvorkehrungen   und   Verfahren, durch  die  der  Schutz  personenbezogener  Daten  sichergestellt  und  der Nachweis  dafür  erbracht  wird,  dass  diese  Verordnung  eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen  und  sonstiger  Betroffener,  insbesondere  von  Kindern,  Rechnung getragen wird.“

Darüber hinaus wurde der Vorschlag zur Änderung der Artikel 21, 25 und 34 der Datenschutz-Grundverordnung fortgesetzt und auf Datenschutz-Folgenabschätzungen ausgeweitet. Hier geht es auch darum, die Rechte und Freiheiten von Kindern zu stärken, sicherzustellen, dass Kinder im Standardtext klar erwähnt werden und dass die Verantwortlichen die Rechte und Freiheiten von Kindern wirklich berücksichtigen. Die neuen Inhalte in Art. 35 Datenschutz-Grundverordnung gehen über die Klarstellungen und konkreten Verpflichtungen zur besonderen Berücksichtigung von Kindern bei der Durchführung von Datenschutz-Folgenabschätzungen hinaus, die bis hin zur Definition von Risikoanalysen und Schutzmaßnahmen reichen.

8.29. Befugnisse der Aufsichtsbehörden gegenüber Herstellern

Um die Einhaltung ihrer Pflichten gegenüber den Herstellern durchsetzen zu können, benötigen die Regulierungsbehörden Befugnisse, um ihnen wirksame Maßnahmen anordnen zu können, die noch nicht erwähnt wurden. Im Vorschlag zur Datenschutzkonferenz fehlt eine solche Bestimmung. Im Folgenden wird daher die Absicht der Datenschutzkonferenz vervollständigt und ergänzende Formulierungen zu ihrem Vorschlag vorgeschlagen. Aus diesem Grund reicht es aus, den Hersteller in die Zulassungsbestimmungen des Art. 58 Abs. 1 a und d sowie 2 a, b und d Datenschutz-Grundverordnung einzubeziehen und diese Regelungen wie folgt zu ergänzen:

 

  • „(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

 

  1. a) den Verantwortlichen,  den  Auftragsverarbeiter, und  gegebenenfalls den  Vertreter  des  Verantwortlichen  oder  des  Auftragsverarbeiters und den  Hersteller  anzuweisen,  alle  Informationen  bereitzustellen,  die  für die Erfüllung ihrer Aufgaben erforderlich sind, …

 

  1. d) den Verantwortlichen, oder den Auftragsverarbeiter oder den Hersteller auf einen vermeintlichen  Verstoß  gegen  diese  Verordnung  hinzuweisen, …

 

  • (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

 

  1. a) einen Verantwortlichen, oder  einen  Auftragsverarbeiter oder  einen Hersteller zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraus-sichtlich gegen diese Verordnung verstoßen,

 

  1. b) einen Verantwortlichen, oder  einen  Auftragsverarbeiter oder  einen Hersteller zu  verwarnen,  wenn  er  mit  Verarbeitungsvorgängen  gegen diese Verordnung verstoßen hat,

 

  1. d) den Verantwortlichen, oder den Auftragsverarbeiter oder einen Hersteller anzuweisen, Verarbeitungsvorgänge  gegebenenfalls  auf  bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, … .“

Diese Ergänzungen sind nach Art. 24 und 25 Datenschutz-Grundverordnung zur wirksamen Umsetzung der Herstellerpflichten erforderlich. Sie sind das unvermeidliche Ergebnis einer schwerwiegenden Verpflichtung der Hersteller, ihren eigenen Datenschutzpflichten nachzukommen. Andererseits sollten die oben genannten fünf Befugnisse auch ausreichend sein, um ausreichende Anreize für Hersteller zu setzen, ihren Verpflichtungen nachzukommen – ebenso wie die Möglichkeit, entsprechendes Personal zu sanktionieren und Maßnahmen zu ergreifen.

 

Referenzen:

446 Siehe vergleichsweise Kapitel „Automatis. Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29

 

 

…  Weiterlesen:

8g. DSGVO Beurteilung –   VORSCHLÄGE zur Neu-Regelung

Beurteilung Großer Status Quo Mehrteiler/ Teil-8g Vorschläge zur besseren Regelung (8G)