DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8g Vorschläge zur besseren Regelung (8G)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Vorschläge zur besseren Regelung DSGVO
Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.
8.30. Neue Aufgaben für den Europäischen Datenschutzausschuss
Durch die bisher vorgeschlagenen Änderungen der Datenschutz-Grundverordnung wurden der Europäischen Datenschutzkommission drei Aufgaben hinzugefügt. Diese sollten in die Aufgabenliste des Ausschusses in Art. 70 Abs. 1 Datenschutz-Grundverordnung aufgenommen werden. Dabei können die Aufgabe der Sicherstellung der Einhaltung der datenschutzrechtlichen Systemgestaltungspflichten nach Art. 25 Abs. 1 Datenschutz-Grundverordnung und die datenschutzfreundlichen Vorgabepflichten nach Art. 25 Abs. 2 Datenschutz-Grundverordnung zu einer Aufgabe zusammengefasst werden. Im Standardtext wird empfohlen, die Buchstaben ea und fa hinzuzufügen:
- „(ea) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahrengemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der interoperablen Formate für eine Übertragung von Daten gemäß Artikel 20Absatz 1 und 2;
- “„(fa) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren technik- und bereichsspezifischen Bestimmung der Pflicht zu Datenschutz durch Systemgestaltung gemäß Artikel 25 Absatz 1und durch Voreinstellungen gemäß Artikel 25 Absatz 2;“
Diese Ergänzungen stellen die Konsistenz der Vorschriften sicher und stellen sicher, dass das Gremium auch zusätzliche Spezifikationen für die vorgeschlagenen Änderungen entwickelt und Empfehlungen zu spezifischen Designs ausspricht.
8.31. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Hersteller
Um die Integration der datenschutzrechtlichen Pflichten des Herstellers für den Verantwortlichen und den Auftragsverarbeiter zu vervollständigen und in der Praxis wirksam zu machen, hat die Datenschutzkonferenz empfohlen, den wirksamen gerichtlichen Rechtsbehelf des Art Bestimmungen in Art. 24 und Datenschutz-Grundverordnung Die Verpflichtungen nach Art. 25 werden erneuert. Der Vorschlag wurde unten angenommen.
Hierzu sollte Art. 79 Abs. 2 Datenschutz-Grundverordnung um Hersteller als mögliche Rechtsbehelfsgegner ergänzt werden:
- „(2) Für Klagen gegen einen Verantwortlichen, oder gegen einen Auftragsverarbeiter oder gegen einen Hersteller sind die Gerichte des Mitgliedstaats zuständig, in dem der Hersteller, Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, indem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen, oder dem Auftragsverarbeiter oder dem Hersteller um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.“
Durch diese Ergänzungen zu Art. 79 Abs. 2 Datenschutz-Grundverordnung können betroffene Personen auch Hersteller gesetzlich zur Einhaltung der Datenschutzpflichten verpflichten. In der Regel wird zuerst der Verantwortliche oder der Auftragsverarbeiter kontaktiert. Wenn sie der Ansicht sind, dass sie die berechtigten Bedürfnisse der betroffenen Person nicht erfüllen kann, weil es ihr technisch nicht möglich ist, kann die betroffene Person das Datenschutzsystem gem. Artikel 24 Absatz 4 Datenschutz-Grundverordnung ergibt sich aus den neuen gesetzlichen Vorgaben des Herstellers. Diese Option wird die wirksame Durchsetzung von Datenschutzgesetzen erheblich unterstützen.
8.32. Recht auf Schadensersatz gegen Herstelle
Die Datenschutzkonferenz hat auch vorgeschlagen, die Haftungs- und Schadensersatzbestimmungen des Artikels 82 Datenschutz-Grundverordnung auf Hersteller und deren Pflichten aus den Artikeln 24 und 25 Datenschutz-Grundverordnung auszudehnen. Es erhofft sich eine erfolgreiche Integration der Hersteller in die Datenschutzpflichten des Verantwortlichen und des Auftragsverarbeiters und kann in der Praxis effektiv umgesetzt werden. Diese Empfehlung wird im Folgenden übernommen. Dazu sollte Artikel 82 Datenschutz-Grundverordnung Absatz 7 ergänzen:
- „(7) Beruht der Schaden ganz oder teilweise auf Handlungen oder Versäum-nissen des Herstellers, so haftet dieser gegenüber der betroffenen Person neben dem Verantwortlichen oder Auftragsverarbeiter. Er haftet auch gegenüber dem Verantwortlichen und dem Auftragsverarbeiter.“
Dieser zusätzliche Absatz bewirkt, dass Betroffene, die durch die Verletzung der Datenschutzpflichten des Herstellers nach Art. 24 Abs. 4 und Art. 25 Abs. 1 Datenschutz-Grundverordnung einen neuen Schaden erlitten haben, diesen Anspruch auch gegen den Hersteller geltend machen können. Dies sorgt nicht nur für ein ausgewogenes Verhältnis zwischen Schadensursache und Schadensersatz, sondern hilft auch Herstellern, ihren Datenschutzpflichten nachzukommen. Die Tatsache der Verantwortung schafft zusätzliche Anreize für Hersteller, den Datenschutzpflichten nachzukommen. Der zusätzliche Absatz bringt auch eine Harmonie zwischen Datenschutz- und Produkthaftungsrecht.
8.33. Sanktionsverfahren
Um Hersteller, die ihre neu vorgeschlagenen Datenschutzpflichten missachten, mit Sanktionen belegen zu können, müssen die Sanktionsstandards der Datenschutzgrundverordnung ergänzt werden. Im Vorschlag zur Datenschutzkonferenz fehlt eine solche Bestimmung. Daher wird die Absicht der Datenschutzkonferenz im Folgenden vervollständigt und es wird empfohlen, die Formulierung ihres Vorschlags zu ergänzen, um Sanktionen gegen Hersteller zu verhängen. Zu diesem Zweck sind die Buchstaben c, d, e und h um Art. 83 Abs. 2 Datenschutz-Grundverordnung wie folgt zu ergänzen.
- „c) jegliche von dem Verantwortlichen, oder dem Auftragsverarbeiter oder dem Hersteller getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
- d) Grad der Verantwortung des Verantwortlichen, oder des Auftragsverarbeiters oder des Herstellers unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
- e) etwaige einschlägige frühere Verstöße des Verantwortlichen, oder des Auftragsverarbeiters oder des Herstellers; …
- h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche, oder der Auftragsverarbeiter oder der Hersteller den Verstoß mitgeteilt hat;“
Aus dem gleichen Grund ist Abs. 3 des Art. 83 DSGVO wie folgt zu ergänzen:
- „(3) Verstößt ein Verantwortlicher, oder ein Auftragsverarbeiter oder der Hersteller bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.;“
Schließlich ist die eigentliche Sanktionsdrohung in Art. 83 Abs.4 lit a DSGVO aufzunehmen. Diese Regelung sollte auch den Verweis auf die spezifische Herstellerpflicht in Art. 24 Abs. 4 DSGVO-neu enthalten.
- „a) die Pflichten der Verantwortlichen, und der Auftragsverarbeiter und der Hersteller gemäß den Artikeln 8, 11, 24 Absatz 4, 25 bis 39, 42und 43;“
Durch diese zusätzlichen Regelungen können Regulierungsbehörden spezifische Datenschutzpflichten der Hersteller gemäß Artikel 24 und 25 Datenschutz-Grundverordnung wirksam durchsetzen. Lediglich die Sanktionsandrohung in Art. 83 Datenschutz-Grundverordnung enthält die notwendigen Anreize für den Empfänger, seinen Verpflichtungen auch gegenüber wirtschaftlichen Anreizen, die dies nicht tun, nachzukommen. Insbesondere die Bestimmungen des Art. 83 Abs. 6 Datenschutz-Grundverordnung ermöglichen es den Regulierungsbehörden, ihnen neue Gestaltungsmöglichkeiten nach Art. 58 Datenschutz-Grundverordnung einzuräumen und auch den Herstellern die notwendige Aufmerksamkeit zu schenken. Um die Umsetzung der Datenschutzgrundverordnung zu unterstützen, die Transparenz des behördlichen Handelns zu erhöhen und ein einheitliches Vorgehen bei der Verhängung von Bußgeldern zu fördern, sollte die Aufsichtsbehörde Halbjahresstatistiken zu diesen Verfahren veröffentlichen. Dazu sollte Artikel 83 Datenschutz-Grundverordnung Absatz 10 ergänzen:
- „(10) Jede Aufsichtsbehörde veröffentlicht einen Monat nach Ablauf jedes Halbjahres eine Statistik über die nach dieser Vorschrift durchgeführten Verfahren.“
Der weitere Absatz verbessert die Transparenz erheblich. Einerseits können sich Verbraucher davon überzeugen, Datenschutzgesetze effektiv durchzusetzen, andererseits kann der Verantwortliche besser vorhersagen, wie die extrem breiten Bußgelder der Datenschutzgrundverordnung in der Praxis umgesetzt werden.
Referenzen:
446 Siehe vergleichsweise Kapitel „Automatis. Entscheidung im Einzelfall“
447 Zu dem die automatisierte Entscheidung vorbereitenden Profiling
448 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
449 Siehe vergleichsweise Regelungsvorschläge Punkt 30.
450 Siehe vergleichsweise Regelungsvorschläge Punkt 31.
451 Siehe vergleichsweise Kapitel „Datenschutz durch Systemgestaltung“
452 Siehe vergleichsweise Kapitel. „Verarbeitung der Daten von Kindern“
453 Siehe vergleichsweise Fortentwicklung Datenschutzrecht Punkt 3.1.
454 Siehe vergleichsweise Kapitel „Effektive Datenschtzaufsicht“
455 Siehe vergleichsweise Kapitel „Verarbeitung der Daten von Kindern“
456 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung.
457 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
458 Siehe vergleichsweise Regelungsvorschläge Punkt 33.
459 Siehe vergleichsweise Regelungsvorschläge Punkt 31 und 32.
460 Siehe vergleichsweise Handlungsbedarf Punkt 5.
461 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
462 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
463 Siehe vergleichsweise Regelungsvorschläge Punkt 25.
464 Siehe vergleichsweise Regelungsvorschläge Punkt 24.
465 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.
466 Siehe vergleichsweise Regelungsvorschläge Punkt.24.
467 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25
468 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und.25.
469 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f
470 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 25.
471 Siehe vergleichsweise Regelungsvorschläge Punkt 24 und 29
… Weiterlesen:
9. DSGVO Beurteilung – Zukunft Weiterentwicklung Datenschutz DSGVO
Hinterlasse einen Kommentar