DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8c Vorschläge zur besseren Regelung (8C)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Vorschläge zur besseren Regelung DSGVO

    Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.

 

8.13. Information über Profiling

Um die betroffene Person bei jeder Datenerhebung, die auch zu Analysezwecken erhoben wird, umfassend über dieses zusätzliche Risiko der Datenverarbeitung zu informieren, sollte Art. 13 Abs. 2 Datenschutz-Grundverordnung durch einen neuen g und Art. 14 Abs. 2 Datenschutz-Grundverordnung ersetzt werden hat den gleichen h Ergänzung.

 

  • „g/h) die Verwendung der Daten für Profiling sowie dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck.“

Diese Zusätze erhöhen die Transparenz der Verarbeitung. Insbesondere sollte die betroffene Person die möglichen Folgewirkungen der Verarbeitung durch Analyse klar erkennen können. Der Konsument soll leichter entscheiden können, ob er die Analyse wünscht oder toleriert und die dieser Entscheidung entsprechende Dienstleistung auswählen können.

8.14. Informationserleichterung

Einerseits, um dem Verantwortlichen bei der Datenerhebung im täglichen Kontakt (vorwiegend im nicht-digitalen Umfeld) die Verarbeitung der betroffenen Personen zu erleichtern und die notwendige Transparenz für betroffene Personen zu gewährleisten, die Auskunft über deren Verarbeitung. Um einen Datenmissbrauch in dieser und anderen Situationen zu verhindern, hat die Datenschutzkonferenz eine Bestimmung in Artikel 13 der Datenschutz-Grundverordnung vorgeschlagen, die nachfolgend übernommen wird. Dementsprechend sollte Artikel 13 der Datenschutz-Grundverordnung um einen neuen Absatz 5 ergänzt werden.

 

  • „(5) Die Informationen nach den Absätzen 1 und 2 werden nur auf Verlangen der  betroffenen  Person  mitgeteilt,  soweit  der  Verantwortliche  Datenverarbeitungen  vornimmt,  die  der  Betroffene  nach  den  konkreten  Umständen erwartet oder erwarten muss und

 

  1. sowohl die Offenlegung von Daten gegenüber anderen Stellen als auch die Übermittlung in Drittländer ausgeschlossen sind,

 

  1. keine Daten verarbeitet werden, die unter Artikel 9 fallen,

 

  1. die Daten nicht zu Zwecken der Direktwerbung verarbeitet werden und

 

  1. weder Profiling noch automatisierte Entscheidungsfindungen stattfinden. Die betroffene Person ist auf diese Möglichkeit hinzuweisen.“

Der neue Absatz vermeidet zu viele unnötige Informationen und entlastet die üblichen nicht-digitalen Verbindungen, die von der Bürokratie gefordert werden, eliminiert aber gleichzeitig eine riskante Datenverarbeitung. Sie können jederzeit Informationen anfordern.

8.15. Auskunft über Empfänger

Um ausreichende Informationen über den Empfänger personenbezogener Daten zu gewährleisten, um dem Betroffenen eine Klageerhebung zu ermöglichen oder zumindest deutlich zu erleichtern, sollte und soll der neue Satz in Art. 24 Abs. 1 Datenschutz-Grundverordnung 2 die Aufzeichnungspflicht vorsehen die Übermittlung und der Empfänger gemäß dem Wortlaut des Art. 15 Abs. 1 c Datenschutz-Grundverordnung – gemäß § 13 n.F. 1 lit e Datenschutz-Grundverordnung und Art. 14 Abs. 1 lit f Datenschutz-Grundverordnung – können leicht angepasst werden:

 

  • „c)  die  Empfänger,  soweit  sie  bestimmbar  sind,  oder  Kategorien  von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt  worden  sind  oder  noch  offengelegt  werden,  insbesondere  bei Empfängern  in  Drittländern  oder  bei  internationalen  Organisationen; “

Der neue Inhalt stellt sicher, dass der Verantwortliche allen ihm bekannten Empfängern den Namen und die Kontaktdaten der betreffenden Person mitteilen muss. Um ihm ein allgemeines Verständnis von Sender und Empfänger zu vermitteln, sieht der neue Satz 2 des Art. 24 Abs. 1 Datenschutz-Grundverordnung die Verpflichtung zur Erfassung von Sender und Empfänger vor.

 

8.16. Auskunft über automatisierte Entscheidungsverfahren

Zur Beilegung von Streitigkeiten über den Umfang der Angaben, die der Verantwortliche für eine automatische Entscheidungsfindung bereitstellen muss, dient der Rechtstext in Art. 15 Abs. 1 lit f und Art. 14 Datenschutz-Grundverordnung Informationspflichten in lit.g. Abs. 2 zu spezifizieren:

 

  • „h)  das  Bestehen  einer  automatisierten  Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik einschließlich der Kriterien für die Entscheidung und ihre Gewichtung sowie die Tragweite und die angestrebten und möglichen rechtlichen  und  tatsächlichen  Auswirkungen  einer  derartigen  Verarbeitung für die betroffene Person. “

Die Änderung erweitert auch die vorgeschlagene Änderung der Informationspflicht des Verantwortlichen auf das Recht auf Auskunft. Dies schafft Konsistenz in der Rechtestruktur der Betroffenen und schließt die Schutzlücke, die entstehen könnte, wenn die Erweiterung nicht umgesetzt wird. Im Folgenden wird eine separate Verordnung zur Analyse vorgeschlagen. Die Streichung von „gemäß Artikel 22 Absätze 1 und 4“ erfolgt auch deshalb, weil diese Formulierung Verwirrung stiften würde, das bedeutet die Informationspflicht gilt nur für Datenverarbeitungen auf Grundlage der Absätze 1 und 4 und gilt nicht für Datenverarbeitungen aufgrund zu den Absätzen 1 und 4. Datenverarbeitung gemäß Absatz 4. Bestimmungen 2 und 3.

 

8.17. Auskunft über Profiling

Damit die betroffene Person bei jeder Verarbeitung der Daten zur Analyse ausreichende Rechte hat, dieses zusätzliche Risiko zu erhalten, Artikel 15 Absatz 1 Datenschutz-Grundverordnung – Informationen nach Artikel 13 Absatz 2 und Artikel 14 Absatz 2 Datenschutz-Grundverordnung . Die Verpflichtung wird ganz ergänzt durch der Buchstabe i.

  • „i)  die  Verwendung  der  Daten  für  Profiling  sowie  dessen  Umfang,  Inhalt, Zielsetzung und Verwendungszweck.“

Durch diese Änderung wird die vorgeschlagene Verordnung zu Artikel 13 Absatz 2 hinzugefügt. Art. 2 und Art. 14 Abs. 2 der Datenschutzgrundverordnung schaffen dem Komplementär das Auskunftsrecht. Auch hier gilt es, Konsistenz herzustellen und Schutzlücken zu vermeiden.

 

8.18. Recht auf eine Kopie

Die meisten Streitigkeiten betreffen das Vervielfältigungsrecht nach Artikel 15 Absatz 1. 3 Datenschutz-Grundverordnung sollten Regelungen neu gefasst werden:

 

  • „Der Verantwortliche stellt auf Antrag der betroffenen Person eine Kopie der personenbezogenen Daten,  die  Gegenstand  der  Verarbeitung  sind und in einem  Datensatz  zusammengefasst  sind  oder  zusammengefasst  werden können, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur  Verfügung  zu  stellen,  sofern sie nichts anderes angibt. “

Der neue Inhalt schafft Rechtsklarheit für Vervielfältigungsrechte. Dies macht die Verwaltung von Vervielfältigungsrechten in der Praxis einfach. Der Zusatz „auf Wunsch der betroffenen Person“ ermöglicht es der betroffenen Person, ihr Auskunftsrecht besser auszuüben, andererseits erleichtert es dem Verantwortlichen durch die eindeutige Angabe der Erwartungen der betroffenen Person die Erfüllung anderer Pflichten. Durch den Zusatz „und ist oder kann in einem Datensatz zusammengefasst werden“ wird die Aussage auf die betroffene Person fokussiert, die die Daten konkret verarbeitet oder der Anfrage zugrunde liegen kann.

 

8.19. Recht auf eine Datenübertragung

Die Regelungen des Art. 20 Abs. 1 DSGVO sollten an vielen Stellen präzisiert werden bzw. wichtige Regelungen ergänzen, um sie in der Praxis umsetzen zu können. Sein Geltungsbereich sollte auf alle von der betroffenen Person verursachten Daten ausgedehnt werden. Hinsichtlich des Formats der übertragenen Daten sollte klar sein, dass es interoperabel sein muss. Die Europäische Datenschutzkommission sollte Interoperabilitätsanforderungen festlegen. Darüber hinaus ist der Verantwortliche verpflichtet, Daten in den jeweiligen Landessprachen bzw. Englisch der Mitgliedsstaaten bereitzustellen. Liegt die Einwilligung bzw. der Vertrag nicht mehr vor, wurden die Daten aber während der Dauer der Einwilligung bzw. des Vertrages durch den Verantwortlichen erhoben, besteht zusätzlich das Recht auf Datenübermittlung. Um diese Änderungen umzusetzen, Artikel 20 Absatz 1. 1 Datenschutz-Grundverordnung und fügte einen neuen Satz 2 hinzu.

 

Artikel 20

Recht auf Datenübertrag barkeit ung

„(1)  Die  betroffene  Person  hat  das  Recht,  die  sie  betreffenden  personenbezogenen Daten, die deren Erhebung sie bei einem Verantwortlichen sie verursacht bereitgestellt hat, in einem strukturierten, gängigen und  maschinenlesbaren  interoperablen  Format  und  in  der  jeweiligen Landessprache  des  Mitgliedstaates  der betroffenen Person oder  in  englischer Sprache zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

 

  1. a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1Buchstabe a oder Artikel  9  Absatz  2  Buchstabe  a  oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht oder beruhte und
  2. b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
  • Die Bedingungen für die Interoperabilität der Formate bestimmt der Europäische Datenschutzausschuss.“

Die Bezeichnung des Rechts der “Übertragbarkeit” impliziert das Recht des dualen Potentials: Die Endung “bar” und die Endung “keit” weisen beide nur auf Möglichkeit hin. Wollen die Parteien die tatsächliche Übertragung jedoch über die Möglichkeit hinaus durchsetzen, hilft ihnen das Recht auf Erlangung der Übertragungsmöglichkeit nicht. Daher sollte der Titel korrigiert werden. Der Zweck der Erweiterung des Umfangs der Datenübertragungsrechte wird erreicht, indem das Wort „bereitstellen“ durch „verursachen“ ersetzt wird. Streitigkeiten über die unsicheren Rechtsbegriffe „strukturiertes, gängiges und maschinenlesbares Format“ und „technisch machbar“ wurden durch Streichung dieser Begriffe aus der Norm beigelegt. Sie sind Teil des Bedarfs an interoperablen Formaten. Die Europäische Datenschutzkommission hat Spezifikationen für Interoperabilitätsbedingungen aufgestellt. Dadurch wird einerseits sichergestellt, dass die (notwendige) Spezifikation tatsächlich erfolgt, andererseits kann in der Spezifikation ein Detaillierungsgrad erreicht werden, der in einem Standardtext oder Erwägungsgrund nicht zu erreichen ist.

Referenzen:

432 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
433 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
434 Siehe vergleichsweise Kapitel zu „Informationspräsentation. Punkt 1
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
437 Siehe vergleichsweise Kapitel zu „Informationspräsentation Punkt 3
438 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“
439 Siehe vergleichsweise Kapitel zu Regelungsvorschläge Punkt 27
440 Siehe vergleichsweise Datenschutzkonferenz, Erfahrungsbericht, 2019, 8
441 Siehe vergleichsweise Kapitel zu Auskunftsrecht der betroffenen Person
442 Siehe vergleichsweise Regelungsvorschläge Punkt 22.
443 Siehe vergleichsweise Regelungsvorschläge Punkt.12.
444 Siehe vergleichsweise Regelungsvorschläge Punkt 13
445 Siehe vergleichsweise Kapitel zu „Recht auf Datenübertragung“

 

 

…  Weiterlesen:

8d. DSGVO Beurteilung –   VORSCHLÄGE zur Neu-Regelung

Beurteilung Großer Status Quo Mehrteiler/ Teil-8d Vorschläge zur besseren Regelung (8D)