DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6h Bedarf aus Verbrauchersicht (6H)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht

Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.

 

 

6.8. Die Informationspflicht des Verantwortlichen

Hinsichtlich der anschaulichen Informationspflichten des Verantwortlichen zu Beginn der Datenverarbeitung sind einige Kritikpunkte zu diskutieren. Nachfolgend gibt es eine konkrete Erörterung der Informationspflichten aller Verantwortlichen:

6.8.1. Empfängerinformation

In Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e Datenschutz-Grundverordnung soll die folgende Formulierung aufgenommen werden, die Auskunft über „Empfänger von personenbezogenen Daten (soweit diese Informationen wirklich bestimmbar und/oder eingeordnet werden kann) oder Kategorien“ geben soll. Da häufig personenbezogene Daten übermittelt werden, kann die betroffene Person ihre Rechte nur wirksam verteidigen, wenn sie den Empfänger kennt. Solange der Verantwortliche den Empfänger kennt, an den er die Daten der betroffenen Person weitergibt. Diese Informationen werden der betroffenen Person mitgeteilt, damit diese ihre Rechte auch gegenüber dem Datenempfänger geltend machen kann. Für den Verantwortlichen ist dies ein Mehraufwand, für die betroffene Person jedoch eine Grundvoraussetzung, damit sie in vollem Umfang mitsamt der Rechte gemäß der Datenschutz-Grundverordnung genutzt werden können.

6.8.2. Konflikt zwischen rechtlich geschützten Geheimnissen und Informationspflicht

Nach Art. 13 Abs. 2 f und 14 Abs. 2 können auch Informationen im Rahmen einer automatischen Entscheidungsfindung im Einzelfall Probleme bereiten. Auskunftspflicht und Umfang des Auskunftsrechts sind nach Artikel 15 Absatz 1 „betroffene Personen“. Die Aussage mag auf den ersten Blick weit gefasst erscheinen, aber Satz 63 Satz 5 Datenschutz-Grundverordnung gibt eine restriktive Auslegung. Insbesondere sollten Geschäftsgeheimnisse und Rechte des geistigen Eigentums nicht durch das Recht auf Kenntnisnahme eingeschränkt werden. Zitat 63: Der sechste Satz der Datenschutz-Grundverordnung besagt eindeutig, dass das Bestehen von Geschäftsgeheimnissen oder Rechten an geistigem Eigentum nicht dazu führt, dass der betroffenen Person die Auskunft verweigert wird. Dies beinhaltet jedoch nur eine Abgrenzung nach unten, dass bedeutet die Angaben der betroffenen Person dürfen nicht vollständig unterlassen werden. Über diese Einschränkung hinaus ist die Lösung des Konflikts zwischen Auskunftsrecht und Schutz der Vertraulichkeit der Datenschutzgrundverordnung vorbehalten, die Entscheidung liegt also beim Verantwortlichen. Hier ist eine Abwägung des Gesetzgebers erforderlich, und der Gesetzgeber muss mindestens eine Grundregel zur Konfliktlösung formulieren. Dies kann beispielsweise darin bestehen, so viele Informationen wie möglich bereitzustellen und gleichzeitig Geschäftsgeheimnisse oder geistige Eigentumsrechte zu wahren. Hier können sie in der Praxis damit beginnen, in die im vertraulichen Bereich bereitgestellten Informationen „einzugreifen“, um den geheim zu haltenden Teil des Entscheidungsprozesses zu schützen und gleichzeitig die Informationen zu maximieren.

6.8.3. Informationen über automatisierte Entscheidungsverfahren

Der Verantwortliche muss dem zuständigen Personal „aussagekräftige“ Informationen „über die Logik und den Umfang“ geben. Es gab viele Kontroversen über den Umfang und die Tiefe dieser Informationen. Durch die Überarbeitung dieser Klausel soll klargestellt werden, dass die Angaben zum Geltungsbereich auch die rechtlichen und tatsächlichen Auswirkungen auf das jeweilige Personal umfassen. Informationen über die „involvierte Logik“ müssen auch abstrakte Entscheidungskriterien und deren Gewichtung enthalten. Nach Erhalt der Information muss das zuständige Personal in der Lage sein, sein Verhalten an die entscheidenden Kriterien anzupassen oder zumindest genau zu verstehen, warum die Entscheidung nicht gut für ihn ist. Nur so kann gehemmt werden, dass Persönlichkeiten algorithmischen Systemen unterliegen, die sie nicht verstehen können.

 

Sofern die Informationen das oben genannte Verständnis der betroffenen Parteien wecken können, sind die Informationen aussagekräftig. Dies erfordert, dass der Verantwortliche „eine einfache Möglichkeit findet, die betroffene Person über die Erwägungen oder Kriterien zu informieren, auf die sich die Entscheidung stützt“. Komplexität ist keine „Entschuldigung“ für unzureichende Informationen. Für den Verantwortlichen kann dies insbesondere bei selbstlernenden Systemen eine Herausforderung sein. Aus diesem Grund sollte diese Klarstellung zumindest in den Erwägungsgrund aufgenommen werden. Werden arbeitsteilige automatisierte Entscheidungen getroffen, ändern sich die Eingriffe in Datenschutzgesetze und das Auskunftsrecht der betroffenen Personen überhaupt nicht. Die Arbeitsteilung darf daher nicht dazu führen, dass Informationen weggelassen oder gekürzt werden.

 

Wird in einem Vertragsverhältnis eine automatisierte arbeitsteilige Entscheidungsfindung gemäß Art. 28 DSGVO durchgeführt, muss der Kunde umfassend informieren. Wird der automatisierte Entscheidungsfindungsprozess auf Basis der Arbeitsteilung von mehreren Partnern durchgeführt, sollte jeder diesen Teil einschließlich der Schnittstelle zu allen anderen Teilen, für die er verantwortlich ist, informieren. Dies sollte im Reglement dokumentiert werden. So kann eine automatisierte Entscheidungsfindung arbeitsteilig erfolgen, beispielsweise in Form eines von der Auskunftei A erstellten Verbraucherprofils und der Kreditprüfer B kann Verbraucherkredit-Scores oder bestimmte Zahlungsarten führen im Kreditsystem von Online-Händler zu leeren Angaben der betroffenen Person. Dabei müssen alle drei Verantwortlichen die betroffene Person über ihre jeweiligen Beiträge zur automatisierten Entscheidungsfindung informieren, sei es, dass sie konkrete Entscheidungen treffen oder diese lediglich vorbereiten. Dies muss durch Verordnungen geklärt werden. Wird das Verbot des Art. 22 Abs. 1 Datenschutz-Grundverordnung entsprechend den Empfehlungen dieses Berichts erweitert, so wird die Vorschrift mittelbar inhaltlich erweitert.

6.8.4. Information über Profiling

Art. 4 Abs. 4 DSGVO und Art. 22 Abs. 1 DSGVO sowie Art. 13 Abs. 2 (f), 14 Abs. 2 (g) und 15 (12) (h) Datenschutz-Grundverordnung definieren das Profiling „einschließlich Analyse“ erwähnt. Die Datenschutz-Grundverordnung überwacht jedoch keine eigenständige Analyse, obwohl dies nach dem risikobasierten Absatz der Verordnung erforderlich gewesen wäre. Die Analyse als automatische Erhebung personenbezogener Merkmale zur Bewertung betroffener Personen ist ein schwerwiegender Verstoß gegen die Grundrechte des Datenschutzes und der informationellen Selbstbestimmung. Diese Art des Bewertungsprofils stellt ein besonderes Risiko für Verbraucher dar, geht über den Rahmen der normalen Verarbeitung personenbezogener Daten hinaus und dient der freien Entwicklung und Entscheidungsfindung sowie einer fairen Bewertung. Daher sollte die betroffene Person zumindest über jede Analyse informiert werden, auch wenn diese nicht direkt mit einer automatischen Entscheidungsfindung in Verbindung steht, sondern für andere Auswertungszwecke verwendet wird. Daher sollten die Bestimmungen des Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g Datenschutz-Grundverordnung um Informationen über jede automatisierte Entscheidung und jede Analyse erweitert werden.

Referenzen zum Thema Informationspflichten der Verantwortlichen:

217  Siehe vergleichsweise unter Verweis zum Stand der Einführung solcher Verfahren Maier/Bile, DuD 2019, 478.218 Siehe vergleichsweise hierzu unter Verweis Husemann, in: Roßnagel/Hornung, 2019, 367ff.
218  Siehe vergleichsweise hierzu Husemann, in: Roßnagel/Hornung, 2019, 367 ff.
219  Dies findet in Deutschland selten statt – Siehe vergleichsweise unter Verweis zum Beispiel Dorfleitner Hornuf, 2018, 2,26 ff. für die FinTech-Unternehmen in Deutschland.
220  Siehe vergleichsweise zum Beispiel auch Europäische Akademie für Informationsfreiheit und Datenschutz,2020, 6; Verbraucherzentrale Bundesverband, Evaluation, 2019, 8; auf gegenteilige Forderungen weist Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 6, hin
221  Siehe vergleichsweise auch Netzwerk Datenschutzexpertise, 2019, 7 f.
222  Siehe vergleichsweise zum Beispiel Bäcker, in: Kühling Buchner, 2018, Art. 13 Rn. 54 unter Verweis auf Kugelmann, DuD 2016, 566 (568).
223  Im Gegensatz zur Auskunft nach Art. 15 Abs. 1 lit. h DSGVO – siehe Kap. 3.9.2.
224  Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev. 01, 30; Verbraucherzentrale Bundesverband, 2013, 13; Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 13; Netzwerk Datenschutzexpertise, 2019, 7; Glatzner, DuD2020, 312.

 

225  Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev. 01, 28.

 

226  Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev. 01, 28.

 

227 Siehe vergleichsweise unter Verweis ähnlich Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev. 01, 28.

 

228 Siehe vergleichsweise näher Kap. 3.11.229S. zum Beispiel auch unter Verweis Martini, 2019, 10; Glatzner, DuD 2020, 312; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4; Niederlande, ST 12756/1/19,42, 44, fordert eine entsprechende Transparenz, insbesondere, wenn das Profil zu individueller Preisbildung genutzt wird. Zu weiteren Regelungsvorschlägen hinsichtlich algorithmenbasierter Systeme Siehe vergleichsweise Punkt Verbrauchersicht 11.

…  Weiterlesen:

6i. Auswertung Bedarf aus Verbrauchersicht (6I)

Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6i Bedarf aus Verbrauchersicht (6I)