DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6a Bedarf aus Verbrauchersicht (6A)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht
Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.
6.1. Ausübung persönlicher oder familiärer Tätigkeiten
Regelungen, die den Anwendungsbereich bei Spezialisierung auf persönliche oder familiäre Tätigkeiten ausschließen, sind im Rahmen der Entwicklung der Datenverarbeitung streng zu überprüfen. Verarbeitet eine natürliche Person personenbezogene Daten nur zum Zwecke persönlicher oder familiärer Aktivitäten, findet gemäß Artikel 2 Absatz 2 c DSGVO die Datenschutz-Grundverordnung keine Anwendung auf die Verarbeitung personenbezogener Daten. Diese ist in Satz 18 Satz 1 Datenschutz-Grundverordnung konkretisiert, darf jedoch keine berufliche oder wirtschaftliche Tätigkeit erwähnen.
Der zweite Satz des Erwägungsgrunds enthielt ein Beispiel für „kann“ die Anwendung der Datenschutz-Grundverordnung ausschließen. Dies dient dazu, Mitteilungen oder Verzeichnisse zu speichern oder im Rahmen dieser Aktivitäten soziale Netzwerke und Online-Aktivitäten zu nutzen. Nach Satz 3 gilt der Antrag auf Ausschluss des Verantwortlichen nicht für den Verantwortlichen oder Auftragsverarbeiter, der Werkzeuge zur Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Aktivitäten bereitstellt. Persönliche Aktivitäten sind daher Aktivitäten zur Selbstentfaltung und freien Dienst in der Freizeit oder im Privaten, während familiäre Aktivitäten Aktivitäten zur Aufrechterhaltung der familiären Beziehungen und des familiären Zusammenhalts sind.
Der komplette Ausschluss des Verwendungsbereichs der Datenschutz-Grundverordnung gilt für allgemeine Sachverhalte und gilt auch für die Verarbeitung besonderer Kategorien personenbezogener Daten. Auch wenn die tatsächlichen Risiken der Datenverarbeitung hoch sind, findet keine Einzelfallbewertung statt. Daher ist eine strenge Auslegung der Vorschriften erforderlich. Es ist zu beachten, dass durch die Verwendung des Begriffs „proprietär“ in den Vorschriften ein Teil der Verarbeitung außerhalb des Geltungsbereichs der Person oder Familie der Datenschutz-Grundverordnung unterliegt, obwohl sie Teil des Personen- oder Familienbereichs ist .
Der Informationsaustausch mit einer größeren Gruppe von Kommunikationsteilnehmern ist keine Ausnahme von Art. 2 Abs. 2 lit. c Datenschutz-Grundverordnung. Die Abgrenzung zwischen persönlicher Kommunikation und Kommunikation in einem größeren Teilnehmerkreis ist problematisch. Klar ist nur, dass bei ungewisser Zahl der Empfänger von personenbezogenen Daten der Anwendungsbereich offen ist. In der Praxis führt dies beim Pervasive Computing zu einer erhöhten Unsicherheit in der Zukunft. Findet die Datenverarbeitung beispielsweise in einem Smart Home statt und ist nicht gewährleistet, dass die Nutzung der Immobilie auf den Wohnungseigentümer und dessen Familie beschränkt ist, ist davon auszugehen, dass die Anwendbarkeit fraglich ist .
Diese Regel gilt auch, wenn Wearable Devices oder Smart Cars an öffentlichen Orten personenbezogene Daten sammeln. Wo die Einschränkungen liegen, ist nach aktueller Stellungnahme nicht klar. Dies stellt ein hohes Compliance-Risiko für Personen dar, die Daten für persönliche und Haushaltszwecke verarbeiten.
6.1.1. Datenschutzrisiken
Neben der bereits erfolgten Rechtsprechung des Europäischen Gerichtshofs gibt es auch andere Fragen als Abgrenzungsfragen, denen durch die Europäische Datenschutzkommission abgeholfen werden sollte. Heute können einzelne Verbraucher hochentwickelte Technologien nutzen, mit denen auch Kinder oder Lebenspartner durch Aktivitätsberichte oder direkt über Video und Audio überwacht werden können. Übersteigt das Risiko der Datenverarbeitung die anerkannten Fälle von persönlichen und familiären Aktivitäten, müssen begrenzte Ausnahmen erforderlich sein – zumindest in Fällen, in denen das Risiko erheblich ansteigt.
Kann durch die Datenverarbeitung ein umfassendes Monitoring erreicht werden, ist dies auf jeden Fall anzunehmen. Die vollständige Ausnahme dieser Art der Datenverarbeitung entspricht nicht den Schutzanforderungen betroffener Personen, insbesondere Minderjähriger. Aufgrund der Artikel 7 und 8 des Bundesgesetzbuches verlangt aber auch die Verfassung ihren Schutz. Der Umfang der Datenverarbeitung soll jedoch nicht entscheidend sein, sondern dem Zweck der Verarbeitung angepasst sein. Bei sozialen Netzwerken, Messengern und ähnlichen Diensten besteht das übliche Problem darin, dass dem Betreiber alle eingegebenen Daten bekannt sind.
Gleichzeitig besteht auch die Gefahr der Weitergabe an drittfreundliche Unternehmen wie Lieferanten, Werbetreibende und Behörden. Insgesamt lässt sich festhalten, dass die Ausnahme in Art. 2 Abs. 2 lit. c Datenschutz-Grundverordnung beispielhaft für die Mängel an der Datenschutzgrundrichtlinie bei der Gewährleistung eines angemessenen Risikoschutzes für betroffene Personen ist. Seine Übernahme aus Artikel 3 DS-RL spiegelt die enormen technologischen Entwicklungen seit den 1990er Jahren nicht angemessen wider. Diese Entwicklung wird sich nicht nur auf die Rechenleistung auswirken, sondern auch auf Speicherkapazität und Datenübertragungsmöglichkeiten.
Zusätzlich haben sich auf dem Consumer-Markt verschiedene Arten von Sensortechnologien herausgebildet, die im Privat- und Haushaltsbereich eingesetzt werden können. Vor dem Hintergrund dieser Entwicklung und der damit verbundenen Risiken ist die vollständige Ausnahme nach Art. 2 Abs. 2 lit. c Datenschutz-Grundverordnung nicht zumutbar. Vielmehr ist nach den Risiken der persönlichen und familiären Aktivitäten zu unterscheiden und nur bei noch zu bestimmendem geringem Risiko von der Anwendung des Datenschutzrechts auszunehmen.
6.1.2. Beschränkte Anwendung der Datenschutz-Grundverordnung
Im Gegenteil ist anzumerken, dass die Datenverarbeitung im privaten Betriebsumfeld aufgrund der enormen technologischen Möglichkeiten, die den Nutzern bereits heute und zukünftig weiterer technologischer Möglichkeiten zur Verfügung stehen, zwar in den Anwendungsbereich der Regulierung fällt, aber dennoch eine gesellschaftliche Gewohnheit ist.
Da es in der Datenschutz-Grundverordnung keinen Unterschied gibt, gelten für diese Rechtsakte alle Anforderungen der Datenschutz-Grundverordnung, sofern sie zur Verordnung gehören. Diese werden weder dem (privaten) Verantwortlichen mitgeteilt noch wirksam umgesetzt. Das vielleicht relevanteste Beispiel in der Praxis ist das Posten von Sammelbildern auf privaten Websites oder sozialen Netzwerken.
Das Veröffentlichen von Artikeln im Internet gehört nach Ansicht des Europäischen Gerichtshofs „eindeutig nicht“ zum Privat- und Familienleben einer Person. Doch auch wenn die Einwilligung der angegebenen Person eingeholt und protokolliert wurde, fehlt es in der Regel an datenschutzkonformen Informationen, Systemdesign, Dokumentation und Sicherheitsmaßnahmen. Es ist unzureichend und in der Gesellschaft unverhältnismäßig, millionenfach durch Regulierungsmaßnahmen zu fordern und diese Maßnahmen durch Sanktionen durchzusetzen.
Um inakzeptable Risiken zu vermeiden, wenn sich betroffene Personen auf persönliche oder familiäre Aktivitäten spezialisieren, und um unverhältnismäßige Datenschutzmaßnahmen bei sozialen Gewohnheiten und legitimem Verhalten außerhalb dieses Bereichs zu vermeiden, sollte die Datenschutz-Grundverordnung einen Handlungsbereich definieren, der das Risiko erhöhen sollte, begründet zwar Datenschutzpflichten, erlaubt jedoch keine vollständige Anwendung der Vorschriften.
Dieser Bereich sollte nur für diverse Regelungen gelten. Stellen Sie sich die Bestimmungen der Datenschutz-Grundverordnung zu Interessenabwägung, Schadensersatz, Datensicherung und Auftragsabwicklung sowie geltende Gesetze und Vorschriften zur Einwilligungserklärung und Identifizierung betroffener Personen und Informationen vor.
Referenz:
120 siehe vergleichsweise 110 Roßnagel, in: Simitis / Hornung / Spiecker, 2019, Artikel 2, Absatz 25
… Weiterlesen:
6b. Auswertung Bedarf aus Verbrauchersicht (6B)
[…] Vor DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-5 […]
[…] 6. Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht (zu Beitrag 6A) […]