DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6c Bedarf aus Verbrauchersicht (6C)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht
Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.
6.3. Grundsätze der Datenverarbeitung
Gegenüber Art. 6 Abs. 1 sind die gesetzlichen Regelungen der Datenschutzgrundsätze in Art. 5 ein großer Schritt nach vorne. Allerdings sollte der Grundsatz von „Treu und Glauben“ klarer formuliert und durch den Grundsatz der Datenvermeidung ergänzt werden, der nicht im Grundsatz der Datensparsamkeit enthalten ist.
6.3.1. Grundsatz Fairness
Gemäß Art. 5 Abs. 1 lit. a Datenschutz-Grundverordnung und Art. 8 Abs. 2 S. 1 GRCh sind personenbezogene Daten nach Treu und Glauben zu verarbeiten. Der Anwendungsbereich des Grundsatzes von Treu und Glauben ist jedoch umstritten. Der Europäische Gerichtshof hat entschieden, dass er verpflichtet ist, „eine Verwaltungsbehörde der betroffenen Person mitzuteilen, dass personenbezogene Daten an eine andere Verwaltungsbehörde zur weiteren Verarbeitung durch diese weitergegeben werden“. Zu beachten ist jedoch der Unterschied zwischen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 Datenschutz-Grundverordnung, unter dem die Entscheidung getroffen wurde. Unter Bezugnahme auf Art. 5 Abs. 1 lit. a DSGVO sollten sich die vom Europäischen Gerichtshof aufgestellten Anforderungen im Transparenzgrundsatz widerspiegeln. Daher muss der Grundsatz von Treu und Glauben zusätzliche Inhalte haben.
Nach deutschen Recht wird dieser Auffassung im Zivilrecht verwendet, ist jedoch in der Datenschutz-Grundverordnung eigenständig auszulegen. Um hier Missverständnisse zu vermeiden, sollte die deutsche Fassung der Datenschutzgrundrichtlinien Treu und Glauben durch Fairness erklären. Dieser Begriff wird auch in der englischen Version verwendet und ist auch im Duden als deutscher Begriff zu finden. Hinsichtlich des Inhalts und der Tragweite des Grundsatzes von Treu und Glauben ist einerseits der Grundsatz der Transparenz und andererseits der Grundsatz der rechtmäßigen Verarbeitung zu übernehmen, damit dieser nicht überflüssig wird. Wenn die Verarbeitung formal und inhaltlich rechtmäßig ist, kann sie die Rolle einer Standardklausel spielen, erscheint aber in manchen Fällen unfair, etwa weil das Machtgefälle zwischen Anbieter und Verbraucher „ungerechtfertigt“ zum Schaden der Verbraucher genutzt wurde.
Die Europäische Datenschutzkommission betrachtet den Grundsatz von Treu und Glauben als eine Bewertung der „angemessenen Erwartungen“ der betroffenen Personen in der Hoffnung auf eine Machtasymmetrie zwischen ihnen und dem Verantwortlichen. Kurzum, der Inhalt des Grundsatzes von Treu und Glauben muss über das Vertrauen klar sein, weil er weitestgehend ausgefüllt werden muss. Dies ist in DSGVO Art. 39 möglich, da dies im Sinne der Transparenzgrundsätze erfolgt. Darüber hinaus sollte seine Rolle bei der Interessenabwägung und der Beurteilung der Wirksamkeit der Einwilligung gestärkt werden. Aber auch andere Grundsätze für den Umgang mit personenbezogenen Daten müssen geklärt werden. Wie vielerorts sieht die Datenschutzgrundrichtlinie eine solche Spezifikation nicht vor, die sich durch die Verwendung unsicherer und äußerst auslegungsfähiger Begriffe auszeichnet. Die Europäische Datenschutzkommission sollte Maßnahmen ergreifen, indem sie geeignete Leitlinien entwickelt.
6.3.2.Grundsatz der Datenvermeidung
Die die alte Fassung des BDSG § 3a enthielt Vorgaben zur Datenvermeidung und Datensparsamkeit. Obwohl er zu den allgemeinen Datenschutzgrundsätzen gehört, ist er nicht sanktioniert und noch unspezifisch, seine praktische Bedeutung ist gering. In Art. 5 Abs. 1 lit. c DSGVO spricht die Datenschutzgrundrichtlinie nun von „Datensparsamkeit“. Damit setzt sich der Grundsatz der Erforderlichkeit der Verarbeitung nach Art. 6 Abs. 1 lit. c DSGVO fort. Die Datenverarbeitung darf nur in dem Umfang erfolgen, der zur Erreichung des Verarbeitungszwecks erforderlich ist, wobei der Verantwortliche den Verarbeitungszweck frei wählen und gestalten kann.
Der Grundsatz der Datensparsamkeit stellt diesen Zweck nicht weiter in Frage. Dagegen verlangt § 3a BDSG a F, dass bei der Zweckbestimmung personenbezogene Daten vermieden werden, d. h. bei der Auswahl des Zwecks so wenig wie möglich personenbezogene Daten benötigt werden. Handelt es sich beispielsweise um ein Abrechnungsproblem für die Nutzung des Dienstes, müssen Sie eine Abrechnungsmethode wählen, die so wenig personenbezogene Daten wie möglich erfordert. Obwohl in der gesprochenen Sprache eng verwandt, sind Datenminimierung und Datensparsamkeit nicht gleichbedeutend. Die Datenvermeidung kann allenfalls eine Anforderung des Satzes 78 Satz 3 Datenschutz-Grundverordnung als Teil des Art. 25 sein, der die Minimierung der Verarbeitung personenbezogener Daten verlangt.
Darüber hinaus kann es im Rahmen des Verhältnismäßigkeitsprinzips in die Auslegung der Verarbeitungserlaubnis der Datenschutzgrundverordnung einbezogen werden, wonach Eingriffe in grundrechtsgeschützte Positionen so gering wie möglich sein müssen. Aus Gründen der Rechtssicherheit sollten die der alten Fassung des BDSG in § 3a entsprechenden Grundprinzipien weiterhin klar in die Datenschutzgrundrichtlinie aufgenommen werden. Hierfür eignet sich insbesondere Art. 5 Abs. 1 lit. c Datenschutz-Grundverordnung. Dann werden auch Verstöße gegen diesen Grundsatz sanktioniert. Neben den im Einzelfall genannten Problemen ist den Grundsätzen der Datenverarbeitung gemeinsam, dass sie mit moderner, insbesondere intelligenter Informationstechnik kollidieren. Sie müssen daher entsprechend den Risiken modernisiert und weiterentwickelt werden.
Referenzen:
131 siehe vergleichsweise Die Bezeichnung Marktortprinzip trifft dementsprechend nur für Art. 3 Abs.2lit. a Datenschutz-Grundverordnung zu, nicht aber für lit. b.
132 S. Husemann, in: Roßnagel, 2018, § 3 Rn. 17.
133 siehe vergleichsweise Problematik Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 80ff.
134 S. Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 87.
135 siehe vergleichsweise in: Kühling/Buchner, 2018, Art.3 Rn. 71ff. bzw. 76ff. S. auch Zer-dick, in: Ehmann/Selmayr, 2018, Art. 3 Rn. 18.
136 So auch Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 73 bzw. 79.
137 S. Hornung, in: Simitis/Hornung/Spiecker, 2019, Art. 3 Rn.48ff.; Ennöckl, in:Sydow, 2018, Art. 3 Rn. 13 f.
138 siehe vergleichsweise Schwartmann, in: Schwartmann u.a., 2018, Art. 4 Rn. 38. Deutscher In-dustrie- und Handelskammertag, 2019, 5, fordert die Durchsetzung vor allemgegenüber großen Unternehmen aus Drittländern.
139 S. Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 27, der darauf verweist, dass „Er-mittlungs- und Rechtsdurchsetzungsbefugnisse im EU-Ausland nur nach Maß-gabe bislang nicht existierender zwischenstaatlicher Verträge bestehen“; vgl. Ge-minn, DVBl. 2018, 1593 (1594).
140 siehe vergleichsweise Art 27 Abs. 1 . Auch die faktische Möglichkeit der Überprüfung desVorliegens der Ausschlusskriterien von Art. 27 Abs. 2 ist von der Ko-operation des nicht in der Europäischen Union niedergelassenen Verantwortlichen oder Auftragsverarbeiters abhängig.
141 EuGH, C-201/14, ZD 2015, 577 (578) Rn. 56 – Bara.
142 So Reimer, in: Sydow, 2018, Art. 5 Rn. 14; Wolff, in: Schantz/Wolff, 2017,Rn. 392; Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn. 47.
143 So Dammann, in: Dammann/Simitis, 1997, Art. 6 Rn. 3 für die Datenschutzrichtlinie; ebenso Reimer, in: Reimer, 2018, Art. 5 Rn. 14; Herbst, in: Kühling/Buchner, 2018, Art. 5 Rn. 17 für die.
144 Draft Guidelines 2/2019 on the processing of personal data under Article 6(1)(b)GDPR in the context of the provision of online services to data subjects, versionfor public consultation, 9 April 2019, 5.
145 siehe vergleichsweise Kap. 3.4.
146 Z.B. „nachvollziehbar“, „geeignet“, „angemessen“, „legitim“, „vereinbar“, „er-heblich“, „erforderlichenfalls“.
147 S. Richter, DuD 2015, 735 (739); Roßnagel/Nebel/Richter, ZD 2015, 455(457 f.); Frenzel, in: Paal/Pauly, 2018, Art. 5 Rn. 55.
148 Roßnagel, in: Eifert/Hoffmann-Riem, 2011, 41ff. m.w.N.
149 siehe vergleichsweise bereits Roßnagel/Pfitzmann/Garstka, 2001, 101.
150 Roßnagel, DuD 2016, 561 (562); Herbst, in: Kühling/Buchner, 2018, Art.5Rn.55. Trotz anderslautender Stimmen in der deutschsprachigen Fachliteratur,z.B. Albrecht/Jotzo, 2017, 52; Buchner, DuD 2016, 155 (156); Heberlein, in: Eh-mann/Selmayr, 2018, Art. 5 Rn. 22; Frenzel, in: Paal/Pauly, 2018, Art. 5 Rn.53; Wolff, in: Schantz/Wolff, 2017, Rn. 427; Pötters, in: Gola, 2018, Art. 5 Rn. 21.
151 S. bezogen auf die Verarbeitung personenbezogener Daten EuGH, C-293/12und C-594/12, NJW 2014, 2169 – Digital Rights Ireland; EuGH, C-362/14, NJW2015, 3151 – Schrems; EuGH, C-203/15 und C-698/15, NJW 2017, 717 – Tele2Sverige; BVerfGE 65, 1 (43, 46).
152 S. siehe vergleichsweise näher Kapitel 5.3.
… Weiterlesen:
6d. Auswertung Bedarf aus Verbrauchersicht (6D)
[…] 6.3. Grundsätze der Datenverarbeitung (zu Beitrag 6C) […]