DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6l Bedarf aus Verbrauchersicht (6L)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht
Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.
6.12. VORWORT: Nichtabdingbarkeit von Rechten der betroffenen Person
Personenbezogene Daten dürfen nur für Zwecke des Arbeitsverhältnisses in Unternehmen verarbeitet werden, wenn dies für die Verfügung über die Begründung des Arbeitsverhältnisses für dessen Beendigung oder Durchführung der sich aus einem Tarifvertrag, einem Gesetz, einer Dienst- oder Betriebsvereinbarung ergebenden Rechte und Pflichten der Beschäftigten notwendig ist. Zur Aufklärung von Straftaten dürfen personenbezogene Daten der Mitarbeiter nur dann weiterverarbeitet werden, wenn tatsächliche und zu dokumentierende Anhaltspunkte jenen Verdacht begründen, dass die jeweilige Person im Arbeitsverhältnis eine Straftat begangen hat, die Datenverarbeitung zur Aufdeckung notwendig ist und das Interesse des Beschäftigten an dem Ausschluss der Weiterverarbeitung nicht dominiert, insbesondere Ausmaß und Art.
Wenn die Verarbeitung von personenbezogenen Daten von Mitarbeitern auf der Basis einer Einwilligung erfolgt, so sind für die Charakteristik der Bereitwilligkeit der Einwilligung vor allem die im Arbeitsverhältnis bestehende Abhängigkeit der Person und zugleich die Umstände, unter welchen die Einwilligung erteilt wurde, zu berücksichtigen. Eine solche Freiwilligkeit kann vor allem dann vorliegen, wenn für die angestellte Person ein wirtschaftlicher oder rechtlicher Vorteil erreicht wird oder der Arbeitgeber und die beschäftigte Person gleichartige Interessen verfolgen. Das Einverständnis bedarf in jedem Falle der Schriftform, soweit nicht aufgrund besonderer Umstände eine andere Art und Weise angemessen ist. So hat der Arbeitgeber die beschäftigte Person über die Absicht der Datenverarbeitung und über das Widerrufsrecht nach Art. 7 Abs. 3 der DSGVO 2016/679 in schriftlicher Form aufzuklären.
Die Risikobewertung
Das Datenschutzrisiko nach der Beurteilung für den Betreffenden, dessen Daten verarbeitet werden, ist nicht das Schadensrisiko für die Unternehmen. Dies ist anhand gegenständlicher Kriterien wie die Art, Umstände, Zwecke und Umfang einer Verarbeitung zu ermitteln.
Dies erfolgt nach der Eintrittswahrscheinlichkeit. Hierbei zugleich die Risiko-Quelle und damit der Widersacher sowie ein durch diesen verursachter Schaden zu ermitteln. Bestimmt wird hierbei vor allem nach der Schwere des Schadens.
Eine Folgenabschätzung in Bezug auf den Datenschutz ist nur dann durchzuführen, wenn die Risikobewertung ergibt, dass die Datenverarbeitung ein sehr hohes Risiko oder hohes Risiko für die Betroffenen ergibt, dessen Daten verarbeitet werden. Dies erfolgt mithilfe einer Farbskala. Eine gelbe Datenschutz-Folgenabschätzung ergibt damit ein hohes Risiko, eine rote Abschätzung ein sehr hohes Risiko.
Zur Beurteilung bzw. zur Risikobestimmung gibt es verschiedene Verfahren. Generell gibt es keine gesetzlich vorgeschriebene und einheitliche Methode. Deshalb sollte die Risikobestimmung nach einem bekannten Verfahren (bestenfalls ISO und CNIL) erfolgen wie zum Beispiel nach dem standardisierten Datenschutzmodell oder einem Muster der Datenschutzbehörde.
6.12. Die Nichtabdingbarkeit von Rechten der betroffenen Person
Die Datenschutzgrundverordnung lässt es zu, dass die Rechte der betreffenden Person durch Rechtsgeschäfte begrenzt werden. Eine solche Möglichkeit ist für Verbraucher eher von Nachteil. Sie erlaubt es den Verantwortlichen, ihre Macht über den Ausgleich der Interessen, den die Grundverordnung zwischen ihnen und der Person als angemessen bestimmt hat, auszuweiten, dass sie die Rechte der jeweiligen Personen durch die Rechtsgeschäfte beschränken.
Dies ist in erster Linie dann ungerecht, wenn diese aus beruflichen oder aus sozialen Gründen gezwungen sind, die Offerten der Verantwortlichen anzunehmen und zu verwenden. Die Datenschutzgrundverordnung sollte in solchen Fällen einseitiger Ausübung der Macht die betreffende Person als schwächere Partei nicht allein lassen. Sich auf die fehlende Gerechtigkeit nach des Art. 5 Abs. 1 lit. a der Grundverordnung zu berufen, ist meistens sehr unsicher. Die Vorschrift des Art. 7 Abs.4 der DSGVO bietet einen zu schwachen Anstoß. Diese enthält für die Beurteilung, ob das Einverständnis freiwillig erteilt worden ist, nur eine Pflicht der Berücksichtigung und soll am Schluss nicht bei den sozialen Netzwerken greifen, wenn die Bewilligung wirtschaftlich den Ausgleich für die geldfreien Durchführungen der Plattform ist. Bis zum Beginn der Gültigkeit der Datenschutzgrundverordnung waren die Rechte der betreffenden Person im Datenschutzrecht in Deutschland nicht abdingbar. Jene Regelung ist mit der neuen Grundverordnung entfallen. Diese muss in der Union nun wieder eingeführt und erweitert werden.
6.13. Die Anforderungen an das Profiling
Ein großer Mangel der Grundverordnung ist, dass diese das Profiling in Art. 4 Nr. 5 zwar als jegliche Art der automatischen Verarbeitung personenbezogener Daten definiert und darin besteht, dass die personenbezogenen Daten benutzt werden, um persönliche Aspekte, welche sich auf eine Person beziehen, zu bewerten. Dies betrifft vor allem die Aspekte bezüglich der wirtschaftlichen Lage, Arbeitsleistung, Gesundheit, Interessen, persönliche Vorlieben, Verhalten, Zuverlässigkeit, Ortswechsel oder den Aufenthaltsort dieser Person zu analysieren oder vorherzusagen. Eine solche Definition ist deshalb nötig, um durch diese besonders hohe Risiken für die generellen Rechte der jeweiligen Personen zu erfassen. Trotz der Risiken regelt die Grundverordnung das Profiling lediglich gesondert. Gegen das Profiling kann nach Art. 21 Abs.1 und 2 der Verordnung Widerspruch eingelegt werden, wenn es der Wahrung der Interessen, vor allem dem Direktmarketing, dient. Es ist zudem nach Art. 22 Abs. 1 der Grundsatzverordnung verboten, wenn es für eine ausschließlich auf der automatischen Bearbeitung beruhenden Entscheidung dient, außer eine der Ausnahmen des Art.22 Abs.2 erlaubt dies. Die anderen Gründe und Formen für Profiling und deren Risiken regelt die Grundverordnung nirgendwo in einer passenden Art und Weise. Die allgemeinen Regelungen zur Zulässigkeit in Art.6 der Grundverordnung enthalten keinerlei Anforderungen zur Beseitigung dieser Risiken.
Das Profiling der Nutzer ist stets ein starker Eingriff in den Grundrechten, welcher über die herkömmliche Verwendung der personenbezogenen Daten hinausgeht. Daher kann es in der Folge der automatischen Entscheidung auf der Basis eines Profils zu einer Diskriminierung im Internet kommen, wenn zum Beispiel Kunden, bei welchen aufgrund ihres Profils eine größere Zahlungsbereitschaft vermutet und deshalb ein höherer Preis von ihnen verlangt wird, als dies ohne ein solches Profil der Fall gewesen wäre. Deshalb bedarf die Grundverordnung einer risikoadäquaten Lösung, die die Entscheidungsfreiheit sowie den Datenschutz sicher bewahrt und die Diskriminierung verhindert. Eine derartige Regelung ist nicht nur dann nötig, wenn das Profil die Basis für eine automatische Entscheidungsfindung ist, sondern dann, wenn die Risiken der eigentlichen Datenverarbeitung durch die Risiken einer Sammlung an Merkmalen in Profilen erhöht werden. Um diesen spezifischen Risiken zu begegnen, welche mit dem Profiling für die Rechte der Nutzer einhergehen, sind risikoadäquate Gesetze notwendig. Die Grundverordnung kann gesetzlich festlegen, für welche Zwecke das Profiling zugelassen ist und für welche eher nicht. Im Vergleich mit der Regelung in Art. 9 der Verordnung für besondere Einordnungen personenbezogener Daten kann eine solche Regelung festlegen, dass das Profiling generell nicht erlaubt ist und nur in bestimmten Fällen zugelassen werden kann. Zudem sollte die Sammlung von persönlichen Merkmalen stets den qualitativen Anforderungen unterliegen. Es wird gefordert, dass die benutzten Merkmale für den Verarbeitungszweck inhaltsreich sind, dass diese nicht diskriminieren, dass die verwendeten Daten für die Erreichung des Zwecks beträchtlich und notwendig sind und dass die Konsequenzen, welche aus den Daten gezogen werden, nachweisbar mit den Merkmalen, welche durch die Daten belegt werden sollen, in Zusammenhang stehen.
6.14. Datenschutz durch Systemgestaltung
Eine spezielle Innovation der Grundverordnung ist die in´Art.25 Abs. 1 geforderte datenschutzgerechte Gestaltung der Systeme. Art.25 Abs. 1 verpflichtet den Verantwortlichen, zum Augenblick der Festlegung der Mittel für die Bearbeitung als auch zum Zeitpunkt der eigentlichen Bearbeitung geeignete organisatorische und technologische Maßnahmen zu ergreifen, welche die Datenschutzgrundsätze wirkungsvoll umsetzen und den Schutz der Rechte der jeweiligen Personen garantieren. Der Anspruch einer datenschutzgerechten Systemgestaltung ist ebenfalls neu und trotzdem zentral für die Verwirklichung von Datenschutz in einem mechanisierten Alltag.
6.14.1. Unbestimmtheit der Gestaltungspflicht
Die Pflicht zur Gestaltung ist generell sehr weich formuliert. Vervollständigt wird diese in Erwägungsgrund 78 dadurch, dass der Zuständige interne Strategien bestimmen und Maßnahmen ergreifen muss, welche den Grundsätzen des Datenschutzes durch Technologie und dem Datenschutz durch nutzerfreundliche Einstellungen Genüge tun. Zur Präzisierung enthält Erwägungsgrund 78 ß in Satz3 nur die abstrakten Beispiele Pseudonymisierung, Datenminimierung, Möglichkeiten der Überwachung durch die betreffende Person, Schaffung und Optimierung von Sicherheitsfunktionen durch den Zuständigen und Transparenz. Die genaue Umsetzung bleibt dagegen offen.Zur Problematik der Unbestimmtheit treten die vielen Einschränkungen, die Art. 25 Abs. 1 enthält. Daher sollen der Stand der Technik, der Umfang, die Art, die Umstände, die Implementierungskosten sowie die Zwecke der Verarbeitung und die unterschiedliche Eintrittswahrscheinlichkeit der mit der Verarbeitung verbundenen Gefährdungen für die Freiheiten und Rechte der Personen Berücksichtigung finden. Die Einschätzung und die Bestimmung dieser Faktoren gestalten sich allerdings sehr schwierig und geben dem Zuständigen einen besonders großen Gestaltungs- und Entscheidungsspielraum. Die Probleme –weite Einschränkungsmöglichkeiten und unbestimmte Pflicht – führen zusammen in der Praxis dazu, dass die Verpflichtung zur Gestaltung des Systems nach Art. 25 Abs. 1 beim Zuständigen verbleibt, solange die Pflicht nicht für bestimmte Techniken wie zum Beispiel Künstliche Intelligenz durch Maßnahmen konkretisiert wird.
6.14.2. Fehlende Verpflichtung der Hersteller
Die Pflicht nach Art.25 Abs.1 der Grundsatzverordnung trifft nur den Zuständigen. Dieser ist oftmals darauf angewiesen, dass der Markt geeignete Technologien zur Verfügung stellt und die Produzenten von Informationstechnik passende Produkte anbieten, welche es dem Zuständigen erlauben, den Anforderungen der Grundverordnung gerecht zu werden. Dies ist oftmals oft nicht der Fall, denn diejenigen, die es richtig machen möchten, waren nicht glücklich, weil sie festgestellt hatten, dass Anbieter von Dienstleistungen und Hersteller von Produkten ihnen meistens keine Hilfe waren. Somit war es schwierig, die Rechenschaftspflicht erfüllen zu können. Das Gleiche gilt ebenfalls für die Verbraucher, wenn diese Software, die zwischen diesen und anderen Datenverarbeitern steht, wie zum Beispiel Betriebssysteme oder Webbrowser, oder Geräte aus dem Bereich IT, für die es keine Zuständigen gibt, nutzen. Die Hersteller werden von der Verordnung allerdings nicht direkt angesprochen, sondern durch den Erwägungsgrund 78 Satz 4 nur angeregt, das Recht auf Datenschutz bei der Gestaltung und Entwicklung der Produkte, Anwendungen und Dienste zu berücksichtigen und unter Berücksichtigung des Stands der Technik zu garantieren, dass die Verantwortlichen in der Lage sind, den Pflichten zum Datenschutz nachzukommen. Die Vorschrift wird nur aus diesem Grund nicht die bewusste Wirkung erzielen, eine Durchdringung am Markt möglichst datenschutzfreundlicher Techniken zu erreichen. Genaue Ansprüche können aus der aktuellen Abfassung der Vorschrift des Art. 25 nicht abgeleitet werden. Dieser Aspekt führt dazu, dass sich stets derjenige durchsetzen kann, welcher die Technikgestaltung ausführt, ohne dass Art. 25 der Verordnung den Kunden einen Anspruch gibt, mehr zu verlangen. Eine bußgeldbewehrte und verpflichtende Kontaktierung der Hersteller ist effektiver und wird die Vorschrift nicht nur auf einen Programmsatz vermindern. Ohne jene Erstreckung bestehen nicht nur große Lücken im Schutz der personenbezogenen Daten, sondern es kommt zu einer Verstärkung von bürokratischem und technischem Aufwand bei dem Experiment, dezentral bei den Nutzern Mängel zu entfernen, welche zentral beim Hersteller verursacht worden sind. Dies belastet alle Zuständigen und Verarbeiter der Aufträge, wobei die KMUs sehr stark belastet werden. Für die Anbieter von sozialen Netzwerken ist die Unterscheidung zwischen Anwender und Hersteller bedeutungslos. Der Zuständige ist zugleich der Hersteller oder hat auf die Hersteller einen enormen Einfluss, dass er diese zwingen kann, das von ihm geforderte Maß an Datenschutz umzusetzen.
Sofern den Herstellern die datenschutzrechtliche Normen übertragen werden, sollten sich zugleich die denkbaren Rechtsbehelfe der betreffenden Personen nach Art. 79 der Verordnung und der Anspruch auf Schadensersatz nach Art.82 auf diese Satzungen beziehen, um den Herstellern hinreichend Anreize zu geben, die eigenen Pflichten zu erfüllen. Aus demselben Grund sollten die Aufsichtsbehörden ebenfalls Aufstellungen gegen Hersteller nach Art. 58 und Sanktionen nach Art. 83 gegen die Hersteller anordnen, welche die Pflichten vernachlässigen.
6.14.3. Gestaltungsmacht der Verantwortlichen
Zusammenfassend kann gesagt werden, dass in Bezug auf den Datenschutz durch Technikgestaltung ausdrücklich Präzisierungen der Verpflichtungen sowie eine Ausweitung der Adressaten notwendig sind. Die Pflicht zur Gestaltung des Systems als zentrale Neugestaltung des Datenschutzrechts kann lediglich dann die volle Wirkung entfalten, wenn die Hersteller der IT-Produkte und -Programme verpflichtet werden. So sollten die Regelungen zum Recht auf einen wirkungsvollen forensischen Rechtsbehelf in Art 79 sowie zur Kompensation nach Art. 82 auf Hersteller erstreckt werden. Eine Erläuterung dessen, was Datenschutz durch eine technische Gestaltung genau bedeutet, kann auf Ebene der Union durch den Datenschutzausschuss Europas und auf der mitgliedstaatliche Ebene durch die Behörden erfolgen. Außerdem sind Normen und Verbänderegulierung als mögliche Instrumente möglich. Eine Pflicht der Hersteller könnten die Gesetzgeber der Mitgliedstaaten, besser jedoch der Unionsgesetzgeber sein. Eine vereinzelte Regelung, wie diese Art.25 Abs.1 der Verordnung enthält, zeichnet sich durch Offenheit für technologische Neuerungen aus, hat allerdings auch den starken Nachteil, zu Auseinandersetzungen von Vertretern der Interessen über den Bedeutungsgehalt anzuregen. Dabei besteht die Gefahr, dass die Interessen der Hersteller und der Verarbeiter sich in der Abhandlung gegenüber den Interessen der betreffenden Personen und vor allem der Verbraucher durchsetzen. Asymmetrien in der Macht spielen auch innerhalb der Zuständigen eine Rolle. Mahnt die Abteilung für Datenschutz eines Unternehmens zu definierten Maßnahmen, um Datenschutz durch Technologiegestaltung sicherzustellen, dann kann die Gegenseite sich einfach auf den Katalog der Einschränkungen aus Art. 25 Abs. 1 zurückziehen und die nötigen Maßnahmen ablehnen.
Referenzen:
289 Verweis auf: Ein Rechtsgeschäft besteht aus einer einseitigen oder mehreren aufeinander bezogenen Willenserklärungen, die eine Rechtsfolge herbeiführen sollen – s. z.B.Dix, in: Simitis, BDSG, 2014, § 6 Rn. 11
290 Verweis auf: z.B. Klement, in Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art.7Rn. 58ff.; Buchner/Kühling, in: Kühling/Buchner, DSGVO, Art. 7 Rn. 48.
291 Verweis auf: Dix, in: Simitis, BDSG, 2014, § 6 Rn. 7ff.
292 Verweis auf: Roßnagel, MMR 2020, 222.
293 Verweis auf: Kritisch hierzu auch Niederlande, in: Rat, ST 12756/1/19, 42
294 Verweis auf: So auch kritisch Datenschutzkonferenz, Erfahrungsbericht, 2019, 24.
295 Verweis auf: Niederlande, in: Rat, ST 12756/1/19, 42ff.
296 Verweis auf: Niederlande, in: Rat, ST 12756/1/19, 42; Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 2019, 8; Datenschutzkonferenz, Erfahrungsbericht, 2019, 24; Netzwerk Datenschutzexpertise, 2020, 7; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Glatzner, DuD 2020, 312.
297 Verweis auf: Datenschutzkonferenz, Erfahrungsbericht, 2019, 24; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Glatzner, DuD 2020, 312; ähnlich Netzwerk Datenschutzexpertise, 2019, 7; Forum Privatheit, 2019, 7 f.; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4; ähnlich für Profiling mit besonderen Kategorien personenbezogener Niederlande, in: Rat, ST 12756/1/19, 42.
298 Verweis auf: Datenschutzkonferenz, Erfahrungsbericht, 2019, 24.
299 Verweis auf: Netzwerk Datenschutzexpertise, 2020, 7; Niederlande, in: Rat, ST12756/1/19, 44, im Regelfall nur nach Einwilligung.
300 Verweis auf: Roßnagel, DuD 2019, 467 (468 f.).
301 Verweis auf: Roßnagel, 1993, 241ff.
302 Verweis auf: Hartung, in: Kühling/Buchner, 2018, Art. 25 Rn. 17.
303 Verweis auf: z.B. Hansen, in: Simitis/Hornung/Spiecker, 2019, Art. 25 Rn. 37 f.
304 Verweis auf: Roßnagel, DuD 2018, 741 (745). Bereichsspezifische risikobezogene Konkretisierungen fordert auch die Bundesregierung, in: Rat: ST 12756/1/19,15; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 5;Datenethikkommission, 2019, 116, 123.
305 Verweis auf: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2019, 10
306 Verweis auf: Husemann, in: Roßnagel, 2018, § 5 Rn. 56.
307 Verweis auf: Bundesrat, BT-Drs. 570/19, 4; Datenschutzkonferenz, Erfahrungsbericht, 2019,15ff.; Verbraucherzentrale Bundesverband, Evaluation, 2019, 12; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10 f.; Datenethikkommission, 2019, 116, 123.
308 Verweis auf: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10; Datenschutzkonferenz, Erfahrungsbericht,2019, 16.
309 Verweis auf: Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 6.
310 Verweis auf: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11.
311 Verweis auf: Bundesrat, BR-Drs. 570/19, 4; Datenschutzkonferenz, Erfahrungsbericht, 2019,15ff.; Verbraucherzentrale Bundesverband, Evaluation, 2019, 12; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10 f.; Europäische Akademie für Informationsfreiheit und Daten-schutz, 2020, 5 f.
312 Verweis auf: Datenschutzkonferenz, Erfahrungsbericht, 2019, 17.
313 Verweis auf: Roßnagel, 2017, 122ff. So etwa geschehen durch die spanische Datenschutzaufsichtsbehörde: Agencia Española de Protección de Datos, Guía de Privacidad desde el Diseño, Oktober 2019.
314 Verweis auf: Hansen, in: Simitis/Hornung/Spiecker, 2019, Art. 25 Rn. 21.325 S. Roßnagel, DuD 2018, 741 (745).
315 Verweis auf: Roßnagel, DuD 2018, 741 (745).
… Weiterlesen:
6m. Auswertung Bedarf aus Verbrauchersicht (6M)
[…] Vor DSGVO-Beurteilung – Großer Status Quo Mehrteiler/ Teil-6k Bedarf aus Verbrauchersicht […]
[…] 6.12. Nichtabdingbarkeit von Rechten der betroffenen Person (zu Beitrag 6.L) […]