DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6m Bedarf aus Verbrauchersicht (6M)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht

Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.

 

6.15. Datenschutz durch datenschutzfreundliche Voreinstellungen

Der Grundsatz des „Default Privacy“ nach Art. 25 Abs. 2 DSGVO unterliegt nicht den fünf Einschränkungen des Abs. 1. Die Voreinstellungen des Nutzers sollten sich jedoch an der Verarbeitungsnotwendigkeit für seine jeweiligen Verarbeitungszwecke orientieren. Dies lässt dem Verantwortlichen viel Freiheit, den Zweck zu bestimmen und die Voreinstellungen so zu wählen, dass er die benötigten Daten erhält. Sollen die Begriffe ihre rechtspolitischen Ziele erreichen, müssen sie auch hier geklärt werden. Dies kann durch Aufsichtsbehörden, Gesetzgebungsorgane der Mitgliedstaaten (für einzelne technische Bereiche), die Europäische Datenschutzkommission oder durch die Aufsicht von Verbänden erfolgen.

Zudem sollte sich der mögliche Verwendungszweck auf die Funktion des entsprechenden Dienstes beschränken. Art. 25 Abs. 2 Datenschutz-Grundverordnung sieht derartige Einschränkungen nicht vor, sondern orientiert sich in den Voreinstellungen an den Erfordernissen des jeweiligen Verarbeitungszwecks. Dies liegt jedoch ganz im Ermessen des Verantwortlichen – entsprechend seiner Verarbeitungsinteressen. Setzt er sich selbst großzügige Ziele, wird der einschränkende Art. 25 Abs. 2 Datenschutzgrundverordnung irgendwann scheitern.

Der Grundsatz der Datenvermeidung stellt auch den Zweck unter die Anforderung, personenbezogene Daten so wenig wie möglich zu verwenden, und kann ergänzend zu Artikel 5 Absatz 1 Datenschutz-Grundverordnung verwendet werden. Da die Bestimmung des Vertragszwecks im Rahmen von Artikel 6 Absatz 1 U Absatz 1 vorgeschlagen wird, sind für diesen Zweck ähnliche Beschränkungen anzuwenden.

6.16. Effektive Datenschutzaufsicht

In der Praxis hängt ein wirksames Datenschutzsystem von einer wirksamen Datenschutzaufsicht ab. Die Datenschutz-Grundverordnung legt die Aufgaben und Befugnisse der Aufsichtsbehörden im Hinblick auf Zusammenarbeit und Kohärenz fest sowie Entwicklungen in den Bereichen Rechtsbehelfe, Rechtsbehelfe, Haftung und Schadenersatz und Akzeptanz, die wesentliche Verbesserungen gebracht haben. Die Funktionsweise des Konsistenzmechanismus muss jedoch in der Praxis verbessert werden. Zudem besteht trotz der personellen Anpassungen weiterhin das Problem der personellen und finanziellen Ressourcen der Europäischen Datenschutzkommission und der nationalen Regulierungsbehörden. Zusätzliche Regelungen können helfen.

Regulierungsbehörden sind die Institutionen, die der Datenschutz-Grundverordnung die meisten Änderungen und neuen Aufgaben gebracht haben. Angesichts dieser neuen Aufgaben wurde deren Ausstattung in den meisten Fällen verbessert. Trotzdem wissen sie noch nicht viel über Umfang und Umfang der zusätzlichen Aufgaben, die durch die Datenschutz-Grundverordnung verursacht werden. Beschwerden, Beratungen und Meldungen über Datenschutzverstöße haben exponentiell zugenommen und beschäftigen viele Mitarbeiter. Die Etablierung der Gleichstellung in der Strafverfolgung in den Bundesländern und Mitgliedstaaten ist der Kern des Erfolges der Datenschutzgrundverordnung. Um alle praxisrelevanten Fragen der Datenschutz-Grundverordnung zu beantworten und die Umsetzung aller notwendigen Voraussetzungen der Datenschutz-Grundverordnung sicherzustellen, ist eine weitere personelle Aufstockung erforderlich.

6.17. Sanktionen

Eine wichtige Verbesserung des Datenschutzes liegt in der Möglichkeit schwerer Akzeptanz . Die mit den abstrakten Bußgeldern in Art. 83 Abs. 4 und 5 Datenschutz-Grundverordnung verbundenen Unsicherheiten behindern jedoch den Einsatz dieses Tools. Daher müssen diese genauer spezifiziert werden, um ihre Praktikabilität zu gewährleisten. Gegenüber dem alten „Bundesdatenschutzgesetz“ wurde der Sanktionsumfang bei Verstößen deutlich erweitert – die wohl markanteste Neuerung der „Datenschutz-Grundverordnung“. Die Datenschutzrichtlinie überlässt die Ausgestaltung solcher Sanktionen den Mitgliedstaaten.

Die bisherige Fassung des Bundesdatenschutzgesetzes sah eine Höchststrafe von 300.000 Euro vor. Bußgelder in der Regulierungspraxis liegen jedoch meist im vierstelligen Bereich. Art. 83 Abs. 4, 5 und 6 DSGVO erlaubt nun Bußgelder bis zu 10 Mio. Euro bzw. bei Unternehmen bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. 20 Mio. Euro oder 4% des Jahresumsatzes werden erhoben. Art. 83 Abs. 1 und 2 DSGVO enthält für Bußgelder geltende Standards.

Hier sind allgemeine und besondere Prävention unabdingbar und die Verwendung des Begriffs „Abschreckung“ in Art. 83 Abs. 1 Datenschutz-Grundverordnung hebt die negative Prävention besonders hervor. Es betont auch die Gültigkeit („wirksam“) von Geldbußen und den Grundsatz der Verhältnismäßigkeit. Art. 83 Abs. 2 Satz 2 Datenschutz-Grundverordnung enthält eine Reihe von Faktoren, die eine Erhöhung oder Reduzierung von Geldbußen bewirken sollen. Es ist festzuhalten, dass die Möglichkeiten der Datenschutzgrundverordnung zur Sanktionierung von Verstößen bisher mit großer Zurückhaltung genutzt wurden, auch wenn einzelne Bußgelder im Vordergrund stehen.

Ein Grund hierfür kann der Umfang möglicher Akzeptanzen sein, die nur durch die abstrakten Vorgaben des Art. 83 Abs. 2 Satz 2 Datenschutz-Grundverordnung hinreichend eingeschränkt werden. Hier kritisieren einige Leute die Geldbußen in Artikel 83 Absätze 4 und 5 der Datenschutz-Grundverordnung als zu vage, um auf legale und sichere Weise eine Geldstrafe in Millionenhöhe zu verhängen. In der Praxis nur Bußgelder nach Art. 83 Abs. 6 Datenschutz-Grundverordnung.

Wenn Sie den Anweisungen der Aufsichtsbehörde nach Art. 58 Abs. 2 Datenschutz-Grundverordnung nicht folgen, können Bußgelder verhängt werden und sollten sicher gehandhabt werden. Allerdings müssen auch die Weisungen der Aufsichtsbehörde durchsetzbar sein.

Es ist davon auszugehen, dass insbesondere finanzstarke Verarbeiter eine gerichtliche Überprüfung von Bußgeldern beantragen werden. Diese Prozesse, auch über mehrere Instanzen hinweg, werden wiederum die Ressourcen der Regulierungsbehörde in Anspruch nehmen. Daher sollte die Umsetzung der Datenschutz-Grundverordnung von Anfang an durch die Verhängung von Geldbußen gestärkt werden. Dies kann rückwirkend durch die Europäische Datenschutzkommission nach den Vorgaben des Art. 70 Abs. 1 S. 2 k Datenschutz-Grundverordnung erreicht werden.

Die Art. 29 Datenschutz-Arbeitsgruppe hat Art. 83 Abs. 2 Satz 2 erlassen , Datenschutz-Grundverordnung im Jahr 2017. Der erste Leitfaden des Standards, 345, bedarf jedoch noch weiterer Klärung. Die Sitzung der Datenschutzaufsichtsbehörden kann aber auch auf mitgliedstaatlicher Ebene durch die Erstellung einer unverbindlichen Bußgeldliste für notwendige Abklärungen sorgen. Als Beispiel können die Ergebnisse des Treffens unabhängiger Datenschutzaufsichtsbehörden in Deutschland im Oktober 2019 herangezogen werden.

Nur so können die wesentlichen EU-Gesetze und die besonderen Anforderungen der Mitgliedsstaaten eingehalten und Bußgelder unionsweit einheitlich verhängt werden. Die Regulierungsbehörden sind verpflichtet, jährliche Statistiken über ihre bewährten Verfahren zu veröffentlichen, was ebenfalls hilfreich ist. In jedem Fall müssen alle klugen Maßnahmen ergriffen werden, um keine Anreize zum Forumshopping im Sinne von Akzeptanz zu setzen. Denkbar ist auch, den Umgang mit erfolgreichen Bußgeldern zu reformieren. Die so gewonnenen Mittel fließen in Deutschland überwiegend in die Gesamthaushalte des Bundes und der Länder.

Betrachtet man andere Mitgliedsstaaten wie Frankreich, ist auch eine Ausgestaltung denkbar, bei der Bußgelder direkt in die Budgets der jeweiligen Regulierungsbehörden fließen. Wird dieser Weg aufgrund von Bedenken vor einer übermäßigen Nutzung des Tools nicht beschritten, deutet dies zumindest auf eine weitere personelle und finanzielle Aufstockung der Regulierungsbehörde – verbunden mit den Prozesskostenannahmen von Bund und Ländern – hin.

Referenzen:

316 Verweis auf:   Hartung, in: Kühling/Buchner, 2018, Art. 25 Rn. 29; Hansen, in: Simitis/Hornung/Spiecker, 2019, Art. 25 Rn. 45.327Barlag, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, §3Rn. 247
317
Verweis auf:  Barlag, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, §3 Rn. 247.
318
Verweis auf:  Kap. 3.3.
319
Verweis auf:  Kap. 3.5.
320
Verweis auf:  Europäische Kommission, COM(2020) 264 final, 5 f.; Commission Staff Working Document, 4ff.
321
Verweis auf:  Zur Überforderung des EDSA s. Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg, 2019, 11; Roßnagel, DuD 2019, 467 (472).
322
Verweis auf:   Europäische Kommission, COM(2020) 264 final, 6; Commission Staff WorkingDocument, 12ff. und Annex 2.333 S. hierzu ausführlich Roßnagel, 2017.
324
Verweis auf:  S. näher Europäische Kommission, Commission Staff Working Document, 13 f. und Annex 2.
325
Verweis auf:  S. z.B. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 18; Bayerisches Landesamt für Datenschutzaufsicht, 2019, 2; Sachsen-Anhalt, 2019, 6.
326
Verweis auf:   Schulzki-Haddouti, Implodierende Aufsichtsbehörden, PinG-Blog vom 29.3.2019; Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg,2019, 11; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 2019, 10.
327
Verweis auf:  Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 2019,22.
328
Verweis auf:   Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 2019, 18; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 2019, 10; Roßnagel, DuD 2019, 467 (471 f.).
329
Verweis auf:   Rost, DuD 2019, 467 (471 f.).
330
Verweis auf:  § 43 Abs. 3 Satz 1 BDSG a.F.
331
Verweis auf:  S. näher Martin/Friedewald, DuD 2019, 493 ff.; Rost, DuD 2019, 488 (491 f.).
332
Verweis auf:  Z.B. gegen ein dänisches Taxiunternehmen im April 2019 in Höhe von etwa 2,8% des Jahresumsatzes des Unternehmens; gegen Google in Höhe von 50 Millionen Euro durch die französische CNIL im Januar 2019; in Italien im Kontextdes Telemarketing (Newsletter des italienischen DatenschutzbeauftragtenNr.453 vom 30. Mai 2019); im Juli 2019 in Großbritannien 183,4 MillionenGBP (ca. 1,5% des weltweiten Jahresumsatzes) gegen British Airways und 99.2 Millionen GBP gegen Marriott.
333
Verweis auf:   etwa Bergt, DuD 2017, 555; Eckhardt/Menz, DuD 2018, 139; Faust/Spittka/Wybitul, ZD 2016, 120
334
Verweis auf:   Roßnagel, 2017, 131ff.
335
Verweis auf:  Artikel 29 Datensachutzgruppe, WP 253.
336
Verweis auf:  So auch Bundesregierung, in: Rat, ST 12756/1/19, 18.
337
Verweis auf:  Braun/Hohmann, in: Roßnagel, 2018, § 6 Rn. 152.
338
Verweis auf:  Datenschutzkonferenz, Konzept zur Bußgeldzumessung vom 14.10.2019.
339
Verweis auf:   Roßnagel, 2017, 191 ff. 350 Miedzianowski, in: Roßnagel, 2018, § 4 Rn. 75; Dieterich, ZD 2016, 266

 

 

…  Weiterlesen:

7a. DSGVO Beurteilung –   HANDLUNGSBEDARF

Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-7a Handlungsbedarf (7A)