DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8g Vorschläge zur besseren Regelung (8G)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Vorschläge zur besseren Regelung DSGVO

    Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.

 

8.30. Neue Aufgaben für den Europäischen Datenschutzausschuss

Durch die bisher vorgeschlagenen Änderungen der Datenschutz-Grundverordnung wurden der Europäischen Datenschutzkommission drei Aufgaben hinzugefügt. Diese sollten in die Aufgabenliste des Ausschusses in Art. 70 Abs. 1 Datenschutz-Grundverordnung aufgenommen werden. Dabei können die Aufgabe der Sicherstellung der Einhaltung der datenschutzrechtlichen Systemgestaltungspflichten nach Art. 25 Abs. 1 Datenschutz-Grundverordnung und die datenschutzfreundlichen Vorgabepflichten nach Art. 25 Abs. 2 Datenschutz-Grundverordnung zu einer Aufgabe zusammengefasst werden. Im Standardtext wird empfohlen, die Buchstaben ea und fa hinzuzufügen:

 

  • „(ea) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahrengemäß  Buchstabe  e  des  vorliegenden  Absatzes  zur  näheren  Bestimmung  der interoperablen  Formate  für  eine  Übertragung  von  Daten  gemäß  Artikel  20Absatz 1 und 2;

 

  • “„(fa) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß  Buchstabe  e  des  vorliegenden  Absatzes  zur  näheren  technik-  und  bereichsspezifischen  Bestimmung  der  Pflicht  zu  Datenschutz  durch  Systemgestaltung  gemäß Artikel 25 Absatz 1und durch Voreinstellungen gemäß Artikel 25 Absatz 2;“

Diese Ergänzungen stellen die Konsistenz der Vorschriften sicher und stellen sicher, dass das Gremium auch zusätzliche Spezifikationen für die vorgeschlagenen Änderungen entwickelt und Empfehlungen zu spezifischen Designs ausspricht.

8.31. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Hersteller

Um die Integration der datenschutzrechtlichen Pflichten des Herstellers für den Verantwortlichen und den Auftragsverarbeiter zu vervollständigen und in der Praxis wirksam zu machen, hat die Datenschutzkonferenz empfohlen, den wirksamen gerichtlichen Rechtsbehelf des Art Bestimmungen in Art. 24 und Datenschutz-Grundverordnung Die Verpflichtungen nach Art. 25 werden erneuert. Der Vorschlag wurde unten angenommen.

Hierzu sollte Art. 79 Abs. 2 Datenschutz-Grundverordnung um Hersteller als mögliche Rechtsbehelfsgegner ergänzt werden:

  • „(2) Für Klagen gegen einen Verantwortlichen, oder gegen einen Auftragsverarbeiter oder gegen einen Hersteller  sind  die  Gerichte  des  Mitgliedstaats  zuständig,  in  dem  der Hersteller,  Verantwortliche  oder  der Auftragsverarbeiter  eine  Niederlassung  hat.  Wahlweise  können  solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, indem  die  betroffene  Person  ihren  Aufenthaltsort  hat,  es  sei  denn,  es handelt  sich  bei  dem  Verantwortlichen,  oder  dem  Auftragsverarbeiter oder dem Hersteller  um  eine  Behörde  eines  Mitgliedstaats,  die  in  Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.“

Durch diese Ergänzungen zu Art. 79 Abs. 2 Datenschutz-Grundverordnung können betroffene Personen auch Hersteller gesetzlich zur Einhaltung der Datenschutzpflichten verpflichten. In der Regel wird zuerst der Verantwortliche oder der Auftragsverarbeiter kontaktiert. Wenn sie der Ansicht sind, dass sie die berechtigten Bedürfnisse der betroffenen Person nicht erfüllen kann, weil es ihr technisch nicht möglich ist, kann die betroffene Person das Datenschutzsystem gem. Artikel 24 Absatz 4 Datenschutz-Grundverordnung ergibt sich aus den neuen gesetzlichen Vorgaben des Herstellers. Diese Option wird die wirksame Durchsetzung von Datenschutzgesetzen erheblich unterstützen.

8.32. Recht auf Schadensersatz gegen Herstelle

Die Datenschutzkonferenz hat auch vorgeschlagen, die Haftungs- und Schadensersatzbestimmungen des Artikels 82 Datenschutz-Grundverordnung auf Hersteller und deren Pflichten aus den Artikeln 24 und 25 Datenschutz-Grundverordnung auszudehnen. Es erhofft sich eine erfolgreiche Integration der Hersteller in die Datenschutzpflichten des Verantwortlichen und des Auftragsverarbeiters und kann in der Praxis effektiv umgesetzt werden. Diese Empfehlung wird im Folgenden übernommen. Dazu sollte Artikel 82 Datenschutz-Grundverordnung Absatz 7 ergänzen:

 

  • „(7) Beruht der Schaden ganz oder teilweise auf Handlungen oder Versäum-nissen des Herstellers, so haftet dieser gegenüber der betroffenen Person neben dem  Verantwortlichen  oder  Auftragsverarbeiter.  Er  haftet  auch  gegenüber dem Verantwortlichen und dem Auftragsverarbeiter.“

Dieser zusätzliche Absatz bewirkt, dass Betroffene, die durch die Verletzung der Datenschutzpflichten des Herstellers nach Art. 24 Abs. 4 und Art. 25 Abs. 1 Datenschutz-Grundverordnung einen neuen Schaden erlitten haben, diesen Anspruch auch gegen den Hersteller geltend machen können. Dies sorgt nicht nur für ein ausgewogenes Verhältnis zwischen Schadensursache und Schadensersatz, sondern hilft auch Herstellern, ihren Datenschutzpflichten nachzukommen. Die Tatsache der Verantwortung schafft zusätzliche Anreize für Hersteller, den Datenschutzpflichten nachzukommen. Der zusätzliche Absatz bringt auch eine Harmonie zwischen Datenschutz- und Produkthaftungsrecht.

8.33. Sanktionsverfahren

Um Hersteller, die ihre neu vorgeschlagenen Datenschutzpflichten missachten, mit Sanktionen belegen zu können, müssen die Sanktionsstandards der Datenschutzgrundverordnung ergänzt werden. Im Vorschlag zur Datenschutzkonferenz fehlt eine solche Bestimmung. Daher wird die Absicht der Datenschutzkonferenz im Folgenden vervollständigt und es wird empfohlen, die Formulierung ihres Vorschlags zu ergänzen, um Sanktionen gegen Hersteller zu verhängen. Zu diesem Zweck sind die Buchstaben c, d, e und h um Art. 83 Abs. 2 Datenschutz-Grundverordnung wie folgt zu ergänzen.

 

  • „c)  jegliche  von  dem  Verantwortlichen, oder  dem  Auftragsverarbeiter oder  dem  Hersteller  getroffenen  Maßnahmen  zur  Minderung  des  den betroffenen Personen entstandenen Schadens;

 

  1. d) Grad der  Verantwortung  des  Verantwortlichen,  oder  des  Auftragsverarbeiters oder des Herstellers  unter  Berücksichtigung  der  von  ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

 

  1. e) etwaige einschlägige  frühere  Verstöße  des  Verantwortlichen, oder des Auftragsverarbeiters oder des Herstellers; …

 

  1. h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche, oder der  Auftragsverarbeiter oder der Hersteller  den  Verstoß mitgeteilt hat;“

 

Aus dem gleichen Grund ist Abs. 3 des Art. 83 DSGVO wie folgt zu ergänzen:

 

  • „(3)  Verstößt  ein  Verantwortlicher, oder  ein  Auftragsverarbeiter oder der  Hersteller  bei  gleichen  oder  miteinander  verbundenen  Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen  dieser  Verordnung,  so  übersteigt  der  Gesamtbetrag  der  Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.;“

 

Schließlich ist  die  eigentliche  Sanktionsdrohung  in  Art. 83  Abs.4  lit a DSGVO  aufzunehmen.  Diese Regelung  sollte  auch  den  Verweis  auf  die spezifische Herstellerpflicht in Art. 24 Abs. 4 DSGVO-neu enthalten.

 

  • „a) die  Pflichten  der  Verantwortlichen, und  der Auftragsverarbeiter und der Hersteller gemäß den Artikeln 8, 11, 24 Absatz 4, 25 bis 39, 42und 43;“

Durch diese zusätzlichen Regelungen können Regulierungsbehörden spezifische Datenschutzpflichten der Hersteller gemäß Artikel 24 und 25 Datenschutz-Grundverordnung wirksam durchsetzen. Lediglich die Sanktionsandrohung in Art. 83 Datenschutz-Grundverordnung enthält die notwendigen Anreize für den Empfänger, seinen Verpflichtungen auch gegenüber wirtschaftlichen Anreizen, die dies nicht tun, nachzukommen. Insbesondere die Bestimmungen des Art. 83 Abs. 6 Datenschutz-Grundverordnung ermöglichen es den Regulierungsbehörden, ihnen neue Gestaltungsmöglichkeiten nach Art. 58 Datenschutz-Grundverordnung einzuräumen und auch den Herstellern die notwendige Aufmerksamkeit zu schenken. Um die Umsetzung der Datenschutzgrundverordnung zu unterstützen, die Transparenz des behördlichen Handelns zu erhöhen und ein einheitliches Vorgehen bei der Verhängung von Bußgeldern zu fördern, sollte die Aufsichtsbehörde Halbjahresstatistiken zu diesen Verfahren veröffentlichen. Dazu sollte Artikel 83 Datenschutz-Grundverordnung Absatz 10 ergänzen:

 

  • „(10)  Jede  Aufsichtsbehörde  veröffentlicht  einen  Monat  nach  Ablauf  jedes Halbjahres eine Statistik über die nach dieser Vorschrift durchgeführten Verfahren.“

Der weitere Absatz verbessert die Transparenz erheblich. Einerseits können sich Verbraucher davon überzeugen, Datenschutzgesetze effektiv durchzusetzen, andererseits kann der Verantwortliche besser vorhersagen, wie die extrem breiten Bußgelder der Datenschutzgrundverordnung in der Praxis umgesetzt werden.

Referenzen:

446 Siehe vergleichsweise Kapitel „Automatis. Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29

 

 

…  Weiterlesen:

9. DSGVO Beurteilung –  Zukunft Weiterentwicklung Datenschutz DSGVO

https://datenschutzbeauftragter-dsgvo.com/dsgvo-beurteilung-grosser-status-quo-mehrteiler-teil-9a-zukunft-weiterentwicklung-der-dsgvo-9a/