DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-7c Handlungsbedarf (7C)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
…Fortsetzung… DSGVO-Beurteilung
7. Handlungsbedarf nach der Datenschutzgrundverordnung (DSGVO, DS-GVO)
Am 25.05.2018 trat die Datenschutzgrundverordnung im Raum der EU in Kraft. Die Verordnung sieht dabei vor allem weiterreichende Pflichten zur Information für den Onlinehandel vor. Dies zwingt Händler zu einer Implementierung der neuen Datenschutzerklärung, die je nach Einzelfall nicht wesentliche Unterschiede aufweisen kann.
7.8. Ein Bedarf zur Handlung zu den Rechten der jeweiligen Person
Die Grundverordnung erfordert vor allem (bei unserem Mehrteiler Punkt 6. Verbrauchersicht), das die Rechte der einzelnen Person regelt, Klärungen im Normtext, um unnötige Streitigkeiten zwischen den Verantwortlichen und den betroffenen Personen zu verhindern und den Vollzug des Datenschutzrechts zu befürworten. Statt die jeweilige Person mit nur einer Information zu Anfang der Verarbeitung der Daten zu überfordern, die alle möglichen künftigen Phasen und Formen der Datenverarbeitung in einer zu ansehnlichen Erklärung hinzufügt, sollte das Konzept der Informationen der Person erneut aufgegriffen werden.
Dieses sollte aus dem Horizont der betroffenen Person und nicht nur aus der Sichtweise des Verantwortlichen neu skizziert werden. Die Information sollte in der Sachlage in dem Umfang in jener Form erfolgen, welche dem Interesse der einzelnen Person und den Möglichkeiten zur Entscheidung oder der Betroffenheit entspricht. Zudem sollten die Pflichten zur Information der Person sowie zur Verständigung mit dieser adäquat gestaltet werden. Deshalb sollten die generellen Informationspflichten um technologie- und bereichsspezifische Regelungen für besondere Einsatzbereiche und Techniken ergänzt werden.
Das neue Konzept einer orientierten Information statt einer die Last zur Information des Verantwortlichen reduzierenden Zielsetzung muss generell noch erörtert werden. Es wird in Eigenheiten im Kapitel 6 im Rahmen der Entwicklung des Datenschutzrechts aufgegriffen. Einige kleine Verbesserungen in den generellen Regelungen zur Information der jeweiligen Person könnten jedoch in Art.12, 13 und 14 der Verordnung vorgenommen werden.
Um verkürzte, unklare, unvollständige und lediglich beispielhafte Angaben über die Verarbeitung der Daten auszuschließen, sollte der Text des Art.12 der Verordnung festhalten, dass sich alle Information auf die angrenzend vorgesehene Verarbeitung der Daten beziehen muss. Zukünftige Änderungen in der Datenverarbeitung müssen damit zu neuen Informationen führen. Es sollte nicht zulässig sein, die Pflicht zur Information zu erfüllen, indem unter Hinweis auf eine generelle Datenschutzerklärung alle möglichen künftigen Verarbeitungen der Daten mit zweideutigen Hinweisen auf zukünftige Möglichkeiten in eine einzigartige Information aufgenommen werden.
Dazu enthält das folgende Kapitel einen Vorschlag zur Formulierung. Die Kontroverse zwischen den Pflichten des Verantwortlichen, dem Anspruch auf Informationen der betroffenen Person sowie dem Schutz anerkannter Rechte und Geheimnisse des schöpferischen Eigentums ist durch eine Regel in Art. 12 DS-GVO zu reduzieren.
So sollte der Verantwortliche jeweils das höchste Maß an Information bereitstellen, dass dieser unter synchroner Wahrung von anerkannten Geheimnissen zulassen kann. Dieses Geheimnis sollte kein Grund sein, dass die Informationen zur Datenverarbeitung vollständig verweigert oder eingegrenzt sind. Eher muss dieser nach passenden Wegen suchen, wie er das vertretbare Höchstmaß an Informationen bereitstellen kann.
Im folgenden Kapitel ist ein Vorschlag zu finden, wie eine derartige Ergänzung des Art. 12 der Verordnung formuliert werden kann. Um der einzelnen Person eine schnelle und einfache Information über die Verarbeitung der Daten zu ermöglichen, sieht Art. 12 Abs. 7 die Möglichkeit vor, die anzubietenden Informationen mit normierten bildlichen Symbolen zu verbinden. Die Entlastung des Verbrauchers sollte schnell umgesetzt werden. Jene rechtpolitische Empfehlung fällt jedoch nicht in die Verantwortung des Gesetzgebers der Union, sondern der Europäischen Kommission. Um den gesetzlichen Zweck zu erfüllen, müssen die Informationen angemessen und dann gegeben werden, wenn der Nutzer eine Entscheidung treffen muss oder wenn eine belastende Handlung erfolgt.
Deshalb fordert Art. 13 Abs. 1 DS-GVO, dass der Verantwortliche die jeweilige Person zum Zeitpunkt der Datenerhebung informieren muss. Damit dies geschehen kann und nicht weit vor der Datenerhebung Informationen erfolgt, sollte in dem Normtext zur Sicherstellung festgelegt werden, dass die wichtige Information zum Zeitpunkt der Erhebung der Datenbestände erfolgt. Dazu erfolgt im kommenden Kapitel ein Vorschlag zur Vervollständigung des Eingangstextes nach Art. 13 Abs.1 der Verordnung. Um der Person zu ermöglichen, die Rechte effektiv geltend zu machen, wenn die personenbezogenen Daten weitergegeben werden, muss der Verantwortliche dieser die Empfänger der personenbezogenen Daten mitteilen, wenn er diese kennt.
Nur wenn er diese nicht kennt, soll die Angabe von Einteilungen der Empfänger genügen. Zu diesem Zweck sollte die Regelung in Art.13 Abs. 1 lit. e sowie Art. 14 Abs. 1 lit. e der Verordnung angepasst werden. Dazu erfolgt ein Vorschlag zur Formulierung im folgenden Kapitel.
Die vorherige Pflicht des Verantwortlichen, die jeweilige Person über das Bestehen einer automatischen Entscheidungsfindung zu benachrichtigen, sollte durch die Vermittlung der Informationsinhalte im Gesetz sichergestellt werden. Die Informationen sollten sich in Hinblick auf die Tragweite der Entscheidung zugleich auf die tatsächlichen und die rechtlichen Auswirkungen auf die jeweilige Person erstrecken. In Bezug auf die Information über die eingeschlossene Folgerichtigkeit sollten die Kriterien für die Entscheidung und die Priorisierung mitgeteilt werden müssen. Ein Vorschlag zur Formulierung für jene Änderungen wird im folgenden Kapitel vorgestellt. Bei automatischen Entscheidungen – vor allem bei selbstlernenden Systemen – kann es nicht immer leicht sein, bei der einzelnen Person ein hinreichendes Verständnis der sie betreffenden Arbeitsschritte der Verarbeitung der Daten hervorzurufen.
Trotzdem darf die Komplexität keine Entschuldigung für fehlende Informationen sein. Dies sollte im Erwägungsgrund 58 der Verordnung sichergestellt werden. Die Anwendung der Informationspflichten aus Art. 13 Abs.2 lit.f sowie 14 Abs. 2 lit. g DS-GVO wird sich dann erweitern, wenn der Anwendungsbereich des Art. 22, auf welchen diese Informationspflichten verweisen, erweitert wird. Hierdurch wird die jeweilige Person auf diese speziellen Risiken aufmerksam gemacht und kann noch einmal für sich prüfen, ob sie eine derartige, möglicherweise tiefgreifende automatische Sammlung der Persönlichkeitsmerkmale zu der Bewertung durch andere anerkennen lassen möchte. Im folgenden Kapitel findet sich der Vorschlag, wie eine derartige Ergänzung der Art. 13 und 14 formuliert werden kann.
Das Recht zur Auskunft der betroffenen Person sollte um eine Pflicht des Verantwortlichen, alle Empfänger von personenbezogenen Daten zu notieren, ergänzt werden. Hiermit einhergehen muss auch eine Pflicht, die Datenübermittlung und die Empfänger gemäß dem Protokoll gegenüber der einzelnen Person bekannt zu geben. Einen Vorschlag zur Formulierung für die Protokollierungspflicht in einem neuen Art.24 Abs. 1 Satz 2 und einen Anspruch auf Auskunft nach Art.15 Abs. 1 lit. c enthält das folgende Kapitel. Nach Art. 15 Abs. 1 lit. h hat die einzelne Person einen Anspruch auf inhaltsreiche Informationen über die eingeschlossene Logik und die Tragweite sowie die erstrebten Auswirkungen einer solchen Verarbeitung für die Person. Jene Auskunft muss um die wichtigen Merkmale und der Bedeutung für die automatisierte Entscheidung dargestellt werden.
Lediglich mit einer solchen Information kann die einzelne Person das eigene Verhalten so einrichten, dass sie Möglichkeiten hat, die jeweilige Entscheidung zu erreichen.
So sollte Art.15 Abs. 2 um die Verpflichtung des Verantwortlichen zu der gesonderten Information für das Profiling und dem Inhalt, Umfang, Verwendungszweck und Zielsetzung erweitert werden. Dazu erfolgt ein Vorschlag zur Formulierung im kommenden Kapitel. Eine Erklärung sollte zugleich das Recht auf Empfang einer Kopie haben. Dies sollte als selbstständiges Recht der betreffenden Person ausgestaltet sein, welches diese zusätzlich oder ersatzweise zum Anspruch über die Auskunft über die Daten beanspruchen kann. Sollte eine solche Kopie nicht alle Daten der Person enthalten, gilt zudem die Pflicht zur Mitteilung sämtlicher verarbeiteten Informationen. Das Recht auf die Kopie sollte sämtliche personenbezogenen Daten erfassen, welche der Begriff der Verarbeitung sind und in dem Datensatz fusioniert sind.
Hierdurch werden personenbezogene Daten von jenem Anspruch ausgenommen, welche nicht nach den jeweiligen Personen geordnet sind und zugleich nicht nach diesen angeordnet werden können. Im folgenden Kapitel ist ein Vorschlag zu finden, wie eine derartige Präzisierung des Art.15 Abs. 3 erstellt werden kann.
… Weiterlesen:
7d. DSGVO Beurteilung – Wo HANDLUNGSBEDARF
[…] 7.8. Ein Bedarf zur Handlung zu den Rechten der jeweiligen Person (zu Beitrag 7C) […]