DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6j Bedarf aus Verbrauchersicht (6J)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht

Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.

 

6.10. Recht auf Datenübertragung

Obwohl die Betroffenenrechte im Katalog „Datenschutz-Grundverordnung“ grundsätzlich den bereits im Datenschutzrichtliniensystem geltend gemachten Rechten entsprechen, ist das Recht auf Datenübermittlung eine der herausragendsten Neuerungen des neuen Datenschutzrechts. Übertragen Sie die Daten, die Sie dem Verantwortlichen zur Verfügung stellen, an einen anderen Auftragsverarbeiter. Die Verordnung zielt gezielt auf soziale Netzwerke ab und soll dazu beitragen, den sogenannten Lock-in-Effekt zu verringern und den Wettbewerb unter den Anbietern zu erhöhen.

Die Benennung des Gesetzes ist gescheitert. DSGVO Art. 20 des Rechts auf unrechtmäßiges Verhalten und der Verhaltenspflicht, d. h. die Bereitstellung personenbezogener Daten (Absatz 1) und die Übermittlung von nahestehenden Personen (Absatz 1) oder Verantwortlichen (Absatz 2) ist eine mögliche Möglichkeit. Da die sonstigen Rechte der betroffenen Person nicht von der Auskunfts-, Berichtigungs-, Löschungs- oder Einschränkungsmöglichkeit erfasst werden, sondern die erforderlichen Handlungen durch Auskunft, Berichtigung, Löschung und Einschränkung benennen, sollte auch Art. 20 Datenschutzgrundverordnung „Das Recht“ sein. Zuweisung überschreiben“. Drei Probleme, die durch den Standardtext verursacht werden, gefährden jedoch die Nutzung dieses Rechts durch die Verbraucher: Zum einen ist der Umfang des Rechts auf Datenübertragung zu eng, zum anderen das Format der Daten. Die Verbreitung ist zu gering. Schließlich ist die Regelung zu eng gefasst, weil sie eine bestehende Einwilligung oder bestehende Verträge voraussetzt.

6.10.1. Anwendungsbereich der Vorschrift

Das Recht auf Datenübermittlung gilt nicht nur für die von der betroffenen Person „bereitgestellten“ personenbezogenen Daten, sondern auch für die von der betroffenen Person erzeugten Daten. Die umstrittene Erklärung ist, dass es sich bei den „bereitgestellten“ Daten nicht nur um die aktiv in das Leistungsangebot aufgenommenen Daten handelt, sondern auch um personenbezogene Daten, die sich aus der Beobachtung der Tätigkeiten des jeweiligen Personals ergeben. Die Bereitstellung der Nutzer erfolgt durch die Nutzung von Diensten oder Geräten. Zum Beispiel Suchverlauf, Fitnessdaten, Standort- und Verkehrsdaten, Playlists oder ähnliche Daten.

In jedem Fall sind auch die Daten, die der Verbraucher mit dem Tracker sammelt und über die Schnittstelle in das Controller-System eingegeben hat, als Eingabe anzusehen. Dagegen sind die Daten, die die verantwortliche Person aus der Analyse und Zusammenführung der bereitgestellten Daten erhält – wie Kreditscores und andere Analyseergebnisse – als nicht bereitgestellt anzusehen. Dieses Verständnis überzeugt vor dem Hintergrund, dass die Norm der Stärkung des Wettbewerbs und dem Schutz der Verbraucher dienen soll. Letztlich geht es darum, den Einflussbereich zwischen dem Verantwortlichen und dem zuständigen Personal abzugrenzen und den Beitrag zur Erstellung der Daten zu würdigen. Das Verfügungsrecht über betroffene Personen ergibt sich aus deren Beitrag zur Datenerstellung. Wenn das zuständige Personal die Erstellung der Daten veranlasst, die verantwortliche Person jedoch nicht viel dazu beiträgt, beispielsweise nur die Infrastruktur bereitstellt, sollten die erstellten Daten auch unter der Kontrolle und Verwendung des entsprechenden Personals stehen. Aus dieser Logik ergibt sich, dass Art. 20 Datenschutz-Grundversorgung auch auf die durch das Handeln des jeweiligen Personals entstandenen Originaldaten ausgedehnt werden muss.

Ebenso für Daten von Dritten, die von betroffenen Personen im Bereich ihrer Plattform verarbeitet werden, sollten diese, wenn diese die Daten rechtmäßig verarbeiten, ein Recht auf Datenübertragbarkeit zustehen. Dies betrifft zum Beispiel ihre Kontaktdaten oder ihre Fotos, auf denen auch andere Personen zu sehen sind. Insbesondere fallen Daten, die von anderen Personen an betroffene Personen übermittelt werden, nicht in den Anwendungsbereich der Rechtssprache, sollten aber von den Rechtszielen erfasst werden. Dies gilt insbesondere für den Kommunikationsprozess. Zumindest alle Daten sollten durch Vorschriften nur im Rahmen der betroffenen Person erfasst werden, wie z. B. E-Mails im Posteingang. Die Nachrichten im Postfach – weil sie von der entsprechenden Person erfasst wurden – können zwar übermittelt werden, die Nachrichten im Posteingang jedoch nicht, was absurd wäre.

Dies muss auch für Chat- oder Messenger-Dienste gelten, auf die auch andere Personen zugreifen können. Wird das Manuskript nach der Einreichung eingereicht und haben die Parteien zur Kommunikation beigetragen, wäre es unverständlich, wenn sie nur ihre eigenen Beiträge übertragen können, nicht aber die Beiträge anderer Personen, auf die sich ihre Einreichung bezieht. Beide Gruppen sind Nachrichten von einer Person an die zugehörige Person als Empfänger und können nicht geändert werden. Der Empfänger muss davon ausgehen können, dass die ihm mitgeteilten personenbezogenen Daten (auch) frei verarbeitet werden können. Dies muss daher auch für Handelsgeschäfte gelten, die nahestehende Personen betreffen, wie Einlagen oder Belastungen auf deren Konten. Wenn die Lösung nur von ihr initiierte Gelder oder Einzahlungen überweisen kann, aber keinen Dritten auf Ihr Konto überweisen kann oder ein Dritter Geld von Ihrem Konto abzieht, wird die Lösung jeder Rationalität entbehren. Daher ist der Begriff „bereitstellen“ zu eng gefasst und sollte in „verursachen oder induzieren“ geändert werden, um sinnvolle Ergebnisse zu erzielen.

6.10.2. Beschränkung auf geltende Einwilligungen oder Verträge

Nach Art. 20 Abs. 1 Datenschutzgrundverordnung besteht das Recht auf Datenübermittlung nur nach Maßgabe des Art. 6 Abs. 1 U Abs. 1a oder Art. 9 Abs. 2a Datenschutz-Grundversorgung oder auf Grundlage einer Einwilligung. Der Vertrag gem. Art. 6 Abs. 1 S. 1 lit. b Datenschutz-Grundversorgung beruht auf. Im Zeitpunkt des Widerrufs der Einwilligung oder der Beendigung des Vertrages bleibt die Frage offen, ob das Recht noch besteht.

Da in diesem Fall die Datenverarbeitung nach Kündigung oder Beendigung des Vertrages nicht mehr auf Einwilligung bzw. Vertrag beruht, kann eine Datenübermittlung nicht mehr verlangt werden. Nach Kündigung oder Beendigung des Vertrages besteht jedoch die Notwendigkeit, Daten in besonderer Weise an die betroffene Person oder den neuen Anbieter zu übermitteln. Eine solche Erklärung erfüllt auf jeden Fall die Ziele des Art. 20 Datenschutz-Grundversorgung.

Ob die Parteien ihre Einwilligung widerrufen oder zuerst den Vertrag kündigen und dann ihr Recht auf Datenübertragbarkeit geltend machen oder umgekehrt, hat für sie keinen Einfluss. Es ist nicht zumutbar, einer betroffenen Person das Recht zu verweigern, nur weil Art. 20 Abs. 1 Datenschutz-Grundversorgung falsch formuliert ist. Daher sollte der Wortlaut dieser Verordnung dahingehend verbessert werden, dass auch nach dem Ende der Verarbeitungserlaubnis Daten übermittelt werden können.

Der Anspruch sollte jedoch innerhalb einer angemessenen Frist für die Kündigung oder Beendigung des Vertrages geltend gemacht werden. Ohne Einwilligung oder ohne Vertragsschluss sind Daten nach Art. 17 Abs. 1 lit. a, b oder d Datenschutz-Grundversorgung zu löschen. Dies geschieht in der Praxis jedoch nicht unmittelbar nach Kündigung oder Beendigung des Vertrages, sondern innerhalb einer angemessenen Nachfrist nach den jeweiligen Löschkonzepten.

Das Recht auf Datenübermittlung kann nur geltend gemacht werden, wenn die Daten noch im System des Verantwortlichen gespeichert sind. Daher ist auch der Zeitraum bis zur Löschung der Daten erforderlich und es ist auch ein angemessener Zeitraum, innerhalb dessen eine Datenübermittlung angefordert werden kann. Dann enthebt der Verantwortliche die Verpflichtung zur Datenübermittlung, indem er die Daten schnellstmöglich löscht.

6.10.3. Form der Datenübertragung

Sofern Ihnen das Recht auf Datenübermittlung nach Art. 20 Abs. 1 Datenschutz-Grundversorgung zusteht, ist nicht ersichtlich, welche Form der Datenübermittlung und welches Datenformat die Verbraucher benötigen. Das Recht auf Datenübermittlung ist durch die Verwendung mehrdeutiger Rechtsbegriffe (wie „strukturiertes gängiges und maschinenlesbares Format“, „zugänglich“, „technisch machbar“) gekennzeichnet, die von den Anbietern sehr unterschiedlich ausgelegt und häufig Verbraucher schädigen.

Die Datenschutz-Grundverordnung schreibt kein bestimmtes Format vor. Ist der Begriff „zugänglich“ eine einfache Unterlassung oder eine weite Auslegung? Bei einer weiten Auslegung verstößt die derzeitige Regulierungspraxis vor allem gegen Art. 20 Datenschutz-Grundversorgung. Die Datenschutz-Grundverordnung legt auch nicht fest, was ein gemeinsames Format ist. E-Mails, die als PDF-Dateien gesendet werden, oder Chat-Transkripte, die als Screenshots in gängigen Bildformaten veröffentlicht werden, sind möglicherweise nicht geeignet, selbst wenn es sich um gängige Formate handelt.

Allerdings bleibt die Regelung offen, für welche Funktionen die später freizugebenden Daten gelten müssen. Wenn beispielsweise Daten auf physischen Datenträgern vorliegen, darf die technische Machbarkeit „unter Umständen“ nicht außer Acht gelassen werden, was wiederum zu Prozessorkosten führt. Gerade im Hinblick auf dieses Betroffenenrecht gibt es in allen Problembereichen noch Streitigkeiten, und der europäische Gesetzgeber hat es nicht gelöst, sondern nur vertuscht. Die Empfehlungen, die die Interoperabilität im Standardtext verankern und die Verantwortung der verantwortlichen Person, ein Format bereitzustellen, das die betroffene Person verwenden kann, wurden in den drei Artikeln nicht akzeptiert. Die Regulierungsziele zur Einführung solcher Rechtsinnovationen sind durch bestehende Unsicherheiten gefährdet und werden von den Anbietern sozialer Netzwerke weitgehend untergraben. Lösungen für diese Problemfelder finden sich nur in den gesetzlichen Vorgaben zur Interoperabilität der verwendeten Formate. Erwägungsgrund 68: Die für die Entwicklung der von der DSGVO geforderten interoperablen Datenübertragungsformate verantwortliche Person hat bisher wenig Resonanz erhalten.

Die Interoperabilität des Formats erfordert klare und verbindliche Richtlinien. Diese sollten in Verordnungen gefordert und ihre konkrete Ausgestaltung als Pflichtaufgabe der Europäischen Datenschutzkommission gewährleistet werden. Er sollte verpflichtet sein, die verbindliche Formatvorgabe für die Datenübertragung festzulegen. Hilfreich können dabei die Leitlinien der Datenschutz-Arbeitsgruppe zum Recht auf Datenübertragbarkeit gemäß Artikel 29 vom Dezember 2016 sein. Interoperabilität wird dort als „erwartetes Ergebnis“ der „Leistungsspezifikation“ bezeichnet, die sich aus den Begriffen „strukturiert“, „universal“ und „maschinenlesbar“ ergibt. Das erwartete Dateiformat, das die Daten der betroffenen Person bereitstellt, muss „mit der weiteren Verwendung kompatibel“ sein.

Der den Verbrauchern zur Verfügung gestellte Datensatz sollte mit Standardsoftware kompatibel sein. Neben der Format-Interoperabilität bedarf das Recht auf Datenübermittlung einer weiteren rechtlichen Klärung: Es sollte klar sein, dass der Verantwortliche die Daten in deutscher oder englischer Sprache bereitstellen soll. Daher müssen die Datenübertragungsrechte in Bezug auf Gesetze und Richtlinien geklärt und geklärt werden, um sicherzustellen, dass sie die erwarteten Verbraucher- und Wettbewerbsfunktionen tatsächlich erfüllen können. Daher sollte der EU-Gesetzgeber die vorgeschlagenen Änderungen in den Standardtext der Datenschutz-Grundverordnung übernehmen.

Referenzen:

254 Roßnagel, DuD 2019, 467 (468).
255 Siehe vergleichsweise Gesellschaft für Datenschutz und Datensicherheit, 2019, 3 und Jaspers/Jaquemain, DuD 2020, 297, die mit Verweis auf die Genese der Norm eine Beschränkung ihres Anwendungsbereichs auf (Online-)Portale fordert.
256S. Europäische Kommission, COM(2020) 264 final, 8; Commission StaffWorking Document,21; Kühling/Sackmann, 2018, 21; Stiftung Datenschutz,2018, 10, 13ff.
257 Das Recht als „Marketing-Gag“ ersatzlos zu streichen, fordert Schulz, DuD2020, 302.
258 Siehe vergleichsweise Niederlande, in: Rat, ST 12756/1/19, 41: „quite narrow“.
259 Den Mangel an Standards stellt selbst die Kommission fest, COM(2020) 264 fi-nal, 8; Commission Staff Working Document, 21.
260 Siehe vergleichsweise a.A. z.B. Piltz, in: Gola, 2018, Art. 20 Rn. 14; Richter, PinG 2017, 231;Kamann/Braun, in: Ehmann/Selmayr, 2018, Art. 20 Rn.13; Westphal/Wichtermann, ZD 2019, 191 (192).
261 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit,WP 242 rev.01, 11; Kühling/Sackmann, 2018, 21.
262 Siehe vergleichsweise Verbraucherzentrale Bundesverband, 2016, 6; Scheibel/Horn/Öksüz 2018, 4.
263 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit,WP 242 rev.01, 11; Niederlande, ST 12756/1/19, 41; Dix, in Simitis/Hornung/Spiecker, 2019, Art. 20 Rn. 8; Herbst, in: Kühling/Buchner, 2018, Art. 20 Rn. 11.
264 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit,WP 242 rev.01, 11 nennen diese „abgeleitete“ Daten. S. hierzu auch Westphal/Wichtermann, ZD 2019, 191.
265 Siehe vergleichsweise Roßnagel/Richter/Nebel, ZD 2013, 103 (107); Nebel/Richter, ZD 2012, 407(413); Schantz, NJW 2016, 1841 (1845).
266 Siehe vergleichsweise auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020,7: „It should also be ensured that the right covers all data processed by automat-ed means that the data subject has generated (including metadata) and not onlythose that he has deliberately entered into a system.“
267 Siehe vergleichsweise zum Streit Kamann/Braun, in: Ehmann/Selmayr, 2018, Art. 20 Rn. 13. S. wie hier auch Europäische Akademie für Informationsfreiheit und Datenschutz,2020, 7: „including metadata“; Verbraucherzentrale Bundesverband, Evaluation,2019, 9; a.A. Deutsche Telekom 2019, 3, die eine Klarstellung fordert, dass da sRecht „keine Daten erfasst, die bei der Nutzung des Dienstes durch die betroffene Person automatisch vom Dienst erzeugt wurden (z.B. Logdateien, Verkehrs-oder Standortdaten)“.
268 Siehe vergleichsweise Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 10 f.; Niederlande, ST 12756/1/19, 41.
269 Ähnlich auch Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 11; Schantz, NJW 2016, 1841 (1845).
270 Die Datenübertragung ist keine nachvertragliche Pflicht und dient nicht der Vertragserfüllung – s. Westphal/Wichtermann, ZD 2019, 191 (192).
271 Siehe vergleichsweise z.B. Westphal/Wichtermann, ZD 2019, 191 (192).
272 Siehe vergleichsweise hierzu auch Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, Anhang, Frage 5; Westphal/Wichtermann, ZD2019, 191 (193 f.), die allerdings eine Datenübertragung nach Widerruf der Einwilligung ausschließen wollen.
273 Siehe vergleichsweise z.B. Niederlande, ST 12756/1/19, 41; Strubel, ZD 2017, 355; Jülicher/Röttgen/Schönfeld, ZD 2016, 358.
274 Sie sind nach Erwägungsgrund 68 nicht verpflichtet, „technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“. Sie „sollten dazu aufgefordert werden interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen“. S. zur Praxis von Social-Media-Anbieter Scheibel/Horn/Öksüz, 2018, 15ff.
275 Siehe vergleichsweise Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 18: „jedwede rechtliche, technische oder finanzielle Hürde […],durch die ein Verantwortlicher den Datenzugriff, die Datenübertragung oder die Datenwiederverwendung vonseiten der betroffenen Person oder eines anderen Verantwortlichen verlangsamen oder verhindern möchte.
276 Siehe vergleichsweise so die vagen Vorgaben der Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 17.
277 „In einem interoperablen gängigen elektronischen Format […], das sie weiter-verwenden kann“, Art. 15 Abs. 2a Parl-E; „in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format“, Art. 18 Abs. 1 KOM-E.
278 Siehe vergleichsweise z.B. Scheibel/Horn/Öksüz, 2018, 15ff.
279 Siehe vergleichsweise so auch Niederlande, in: Rat, ST 12756/1/19, 41; Verbraucherzentrale Bundes-verband, 2013, 15; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 7; Verbraucherzentrale Bundesverband, Evaluation, 2019, 9; Küh-ling/Sackmann, 2018, 21
280 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 19

 

…  Weiterlesen:

6k. Auswertung Bedarf aus Verbrauchersicht (6K)

Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6k Bedarf aus Verbrauchersicht (6K)