DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-7d Handlungsbedarf (7D)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
…Fortsetzung… DSGVO-Beurteilung
7. Handlungsbedarf nach der Datenschutzgrundverordnung (DSGVO, DS-GVO)
Am 25.05.2018 trat die Datenschutzgrundverordnung im Raum der EU in Kraft. Die Verordnung sieht dabei vor allem weiterreichende Pflichten zur Information für den Onlinehandel vor. Dies zwingt Händler zu einer Implementierung der neuen Datenschutzerklärung, die je nach Einzelfall nicht wesentliche Unterschiede aufweisen kann.
7.9. Das Recht auf Datenübertragung
Das Recht auf Übertragung der Daten aus Art. 20 Abs.1 der Verordnung sollte auf alle von der jeweiligen Person verursachten Daten erweitert werden. Zudem sollten Richtigstellungen zur Art und Weise der Datenübertragung sowie zum Format, in welchem die Daten übergeben werden, erfolgen. Anstatt unbestimmter Begriffe zum Format der Übertragung, muss definiert werden, dass dieses passgenau erfolgen muss. Die Ansprüche an die Interoperabilität kann nicht in der Grundverordnung erfolgen, sondern muss dem Datenschutzausschuss von Europa übertragen werden.
Diese Norm ist zudem durch die Verpflichtung zur Gewährleistung der Daten in der Landessprache des EU-Staates oder in englischer Sprache darzustellen. Das Recht auf Übertragung der Daten sollte dann ebenfalls gelten, wenn der Vertrag oder die Einwilligung nicht mehr bestehen, die Daten jedoch beim Bestehen des Vertrags oder der Einwilligung vom Verantwortlichen erhoben worden sind.
Soweit der Gesetzgeber die Vorschrift ändern sollte, ist ein Vorschlag zur Formulierung für eine neue Fassung des Art. 20 Abs. 1 im folgenden Kapitel zu finden. Für den Schutz der Kinder sollte bei der Charakteristik eines Widerspruchs nach Art. 21 Abs.1 jene Tatsache speziell berücksichtigt werden, sodass personenbezogene Daten bei Kindern erhoben wurden.
Eine entsprechende Ergänzung in der Verordnung wird im darauffolgenden Kapitel erklärt. Das Recht, nicht einer nur auf einer automatischen Verarbeitung beruhenden Verfügung unterworfen zu sein, erfordert verschiedene Anpassungen des Textes. Einerseits ist das Verbot automatischer Entscheidungen meistens zu eng gefasst. Die Beschränkung „nur“ in Art. 22 Abs. 1 muss gestrichen werden. Dasselbe gilt für die Einschränkungen, dass eine Entscheidung der jeweiligen Person gegenüber der gesetzmäßigen Wirkung entfaltet oder diese in ähnlicher Weise stark beeinträchtigt. Eine beeinträchtigende Minderung sollte hinreichen.
Zugleich ist Art. 22 Abs. 1 der Verordnung um ein Hemmnis zu ergänzen, automatisch vorbereiteten Entscheidungen ausgesetzt zu sein, welche der Entscheider schlimmsten Fall bedenkenlos übernimmt, ohne dass die jeweilige Person vor der Entscheidung eine Möglichkeit hat, den eigenen Standpunkt zu erläutern. Zudem rechtfertigt diese in Abs. 2 eine automatische Entscheidung im Sonderfall, wenn diese für den Abschluss notwendig ist, ohne dass die betreffende Person hierbei zustimmen muss. Art. 22 Abs. 2 lit. a sollte aus diesem Grund gestrichen werden. Es reicht aus, wenn der Verantwortliche die einzelne Person um das Einverständnis nach Abs. 2 lit. c ersuchen kann.
Überdies sollte in Art.22 Abs. 2 lit. c zur Abschirmung der Kinder die Einwilligung des Kindes ausgegliedert werden. Ferner sollten nach dem Erwägungsgrund 71 der Verordnung sowie nach dem Muster von § 31 BDSG in Art.22 wertige Anforderungen an eine auf der automatischen Verarbeitung veranlassenden Entscheidung eingegliedert werden. So sollte Art. 22 Abs. 3 um die Pflicht des Verantwortlichen ergänzt werden, bei Beanstandungen die vornehmlichen Gründe für eine automatische Entscheidung zu erläutern. Vorschläge zur Formulierung für jene Anpassungen des Art. 22 der Verordnung werden im folgenden Kapitel gezeigt. Zum Schutz der Rechte der jeweiligen Person vor geschäftlichen Einschränkungen oder Entsagen sollte die Nichtverhandlungsfähigkeit speziell festgehalten werden. Ein Vorschlag zur Formulierung enthält das folgende Kapitel.
7.10. Der Bedarf zu den Normen des Verantwortlichen
Weil in dem vierten Kapitel der Grundverordnung des Datenschutzes auch die Pflichten des Herstellers aufzunehmen sind, müsste ebenfalls die Überschrift des Kapitels insofern geändert werden, als dass der Hersteller hier aufgenommen werden muss. Sofern der Verantwortliche oder der Verarbeiter des Auftrags die von ihm benutzte Soft- und Hardware nicht allein entwickelt, kann dieser seine datenschutzrechtlichen Normen nur in jenem Maße erfüllen, wie die vom Hersteller gelieferte Technologie es zulässt.
Meistens sind die Marktverhältnisse nicht so ausgelegt, dass diese eine optimal für die Ausführung der Pflichten strukturierte Technik wählen oder gegenüber dem Erzeuger durchsetzt. Augenscheinlich sollte der Rechtsschutz nicht von diesen Marktverhältnissen abhängig werden. Deshalb ist es nötig den Hersteller desgleichen auf jene Erfüllung der Anforderungen zum Datenschutz zu verpflichten. Dazu bietet sich der Zusatz der Ausführungen zur Verantwortlichkeit nach Art. 24 DS-GVO an, für welche das folgende Kapitel einen Vorschlag beinhaltet.
Um den Erfolg der Herstellerpflichten zu garantieren, ist es nötig, den Aufsichtsbehörden Konzessionen zur Aufstellung von Sanktionierungen und Maßnahmen zu geben und den jeweiligen Personen zu ermöglichen, Rechtsmittel gegen die Hersteller einzulegen und diese bei einem begegneten Schaden auf Ersatz in Regress zu nehmen. Formulierungsvorschläge, welche die Vorschriften in Art. 58 und 83, 79 und 82 zu ergänzen, bietet das kommende Kapitel.
Speziell die technikbezogenen Normen des Datenschutzes durch die Gestaltung und Voreinstellungen in Art. 25 Abs. 1 und 2 sind um den Kreis der Adressaten der Hersteller der Technologie zur Datenverarbeitung zu erweitern. Dazu sollte der Text der Anordnung die Hersteller als Empfänger aufnehmen. Vorschläge hierzu finden sich im folgenden Kapitel. Die Anleitung zum Datenschutz durch die Gestaltung in Art.25 Abs.1 der Verordnung erfordert Präzisierungen dieser Verpflichtungen.
Als wegweisende Neugestaltung des Datenschutzrechts kann diese nur dann die ganze Wirkung entfalten, wenn deutlich wird, welche Maßnahmen zur Gestaltung in der einzelnen Branche und für die Technik von den Verantwortlichen verlangt werden können. Jene die Möglichkeiten der Systemgestaltung korrekt ausnutzende Umsetzung jener Anforderungen setzt jedoch eine umfassende Konzeption eines dynamischen Datenschutzes voraus.
Überlegungen zu diesen nötigen Diskussionen werden im Kapitel 6 vorgestellt. Bis zu einer grundlegenden Neuüberarbeitung der Grundverordnung kann die Aufgabe zu konkretisieren, was technik- und bereichsbezogen der Datenschutz durch Gestaltung des Systems konkret bedeutet und welche Maßnahmen vom Verantwortlichen eingefordert werden können.
Hierzu sollte die Liste der Aufgaben des Datenschutzausschusses von Europa in Art. 70 Abs.1 um jene Aufgabe ergänzt werden. Ein Vorschlag zur Formulierung zu dieser Ausweitung der Aufgabe findet sich im folgenden Kapitel.
In Art. 25 Abs. 1 und 2 soll zudem eine Verpflichtung zum gesonderten Schutz der Interessen und Grundrechte von Kindern mit aufgenommen werden. Eine passende Ergänzung im Text wird im nachfolgenden Kapitel vorgeschlagen.
Die Pflicht der Zuständigen zu den datenschutzfreundlichen Einstellungen in Art. 25 Abs. 2 DS-GVO ist bestimmter als jene Pflicht für den Datenschutz durch die Gestaltung des Systems in Art. 25 Abs. 1 der Verordnung. Die Voreinstellungen für den Anwender an der Bedingung der Verarbeitung für den einzelnen Verarbeitungszweck durchzusetzen, lässt dem Verantwortlichen besondere Freiheiten durch die Bestimmung des Zwecks die Einstellungen so auszuwählen, dass er durch jene die gewünschten Daten bekommen kann. Hier sind ebenfalls Präzisierungen notwendig, welche Einstellungen von dem Verantwortlichen verlangt werden können. Dabei sind zwei verschiedene Ansatzpunkte denkbar.
Einerseits sollte die Vorschrift angepasst werden, dass das Ziel auf die Funktionalität des einzelnen Dienstes beschränkt wird. Eine solche Anpassung kann sich an die Bestimmung des Zwecks nach Art. 6 Abs. 1 UAbs.1 lit. b DS-GVO orientieren.
Außerdem ist der Grundsatz der Datenvermeidung in die Norm mit aufzunehmen. Ein Vorschlag zur Ergänzung im Text erfolgt im kommenden Kapitel.
Zudem sind für bedeutende Anwendungsfelder und Techniken Präzisierungen zu bestimmen, welche Voreinstellungen von dem Verantwortlichen eingefordert werden können. Solche Präzisierungen des Datenschutzes durch Konzeptionen sollten außerdem in eine Neuausrichtung eines risikoorientierten Datenschutzes einbezogen werden.
Überlegungen zu jenen nötigen Debatten werden hier im Punkt „Fortentwicklung des Datenschutzrechts“ bekannt. Bis zu einer grundlegenden Neubearbeitung der Grundverordnung kann die Angelegenheit, die Pflicht zu Voreinstellungen technik- und bereichsbezogen zu präzisieren, von den Behörden, den Gesetzgebern, dem Europäischen Datenschutzausschuss und von den einzelnen Verbänden übernommen werden. Für den Datenschutzausschuss von Europa sollte die Liste der Aufgaben in Art. 70 Abs. 1 der Grundverordnung ergänzt werden. Jene Ergänzung kann mit der Aufgabe zur Konkretisierung des Datenschutzes durch die Gestaltung des Systems zusammengefasst werden.
Ein Vorschlag zur Formulierung wird im folgenden Kapitel präsentiert. Eine Teilung der Arbeit im Bereich der Datenverarbeitung sollte nicht dazu führen, dass die Informationen über die Verarbeitung der Daten gänzlich unterbleiben oder vermindert werden. Deshalb sollten bei den Datenverarbeitungsverfahren die Zuständigen nach Art. 26 Abs. 1 verpflichtet sein, die Informationen anzupassen, dass jeder Partner über den Anteil am Verfahren mit den passenden Schnittstellen zu den anderen Zuteilungen informiert wird. Im folgenden Unterkapitel ist ein Vorschlag aufgeführt, wie eine derartige Präzisierung des Art. 15 Abs. 3 ausformuliert werden kann. In Art. 34 Abs.2 der Verordnung sollte eine Verpflichtung zur Rücksichtnahme des Verständnisvermögens sowie der Schwäche von Kindern bezogen auf Inhalt und die Form der Benachrichtigung berücksichtigt werden. Eine passende Ergänzung der Anleitung wird im kommenden Unterkapitel gegeben. In Art. 35 der Verordnung muss eine Verpflichtung zu besonderer Berücksichtigung der Interessen und der Rechte von Kindern bei der Festlegung der Notwendigkeit einer Folgenabschätzung für den Datenschutz sowie bei der Analyse sowie die Bestimmung von Schutzmaßnahmen verzeichnet werden. Das folgende Unterkapitel beinhaltet einen Vorschlag, wie die Anleitung ergänzt werden kann.
7.11. Anforderungen zu den unabhängigen Aufsichtsbehörden
Angleichungen des Textes in Kapitel 5, 6 sowie 7 der Verordnung sind im Kontext der Stärkung der Position von Verbrauchern nicht direkt notwendig. Jedoch ist indirekt wegen außerordentlicher Zuteilungen von neuen Aufgaben für den Datenschutzausschuss die Auflistung der Aufgaben in Art. 70 Abs. 1 um zwei separate Aufgaben zu ergänzen. Vorschläge für die Abfassung jener ergänzenden Aufgaben enthält das folgende Unterkapitel. Die zusätzlichen Aufgaben sowie die Überlastung durch die bestehenden, durch die Grundverordnung jedoch neu entstandenen Aufgaben fordern eine weitere personelle Erhöhung der Aufsichtsbehörden. Vor allem aber muss die Union dafür Sorge tragen, dass der Datenschutzausschuss der Aufgaben schneller als bislang bearbeitet. Diese setzt ebenfalls voraus, dass die Aufsichtsbehörden in Deutschland in die Sachlage versetzt werden, in den Teams des Europäischen Datenschutzausschusses mitzuwirken haben. Für diese Frage sind die Bundesländer und der Bund verantwortlich.
7.12. Der Handlungsbedarf zu Haftungen und Sanktionen
Die Vorschriften zu den Sanktionen in Kapitel 8 der Verordnung benötigen ebenfalls Anpassungen. Hierbei ist eine Präzisierung der Tatbestände für das Bußgeld gefordert, was durch eine Leitung des Ausschusses gemäß Art. 70 Abs. 1 Satz 2 lit. k und eine Präzisierung durch ungebundene Bußgeldkataloge der Aufsichtsbehörden erfolgen muss. Dies ist eine Aufgabe der Aufsichtsbehörden des Datenschutzes und der Konferenz. Die Aufsichtsbehörden müssen zur Veröffentlichung einer regelmäßigen Statistik zu der Praxis des Bußgeldes verpflichtet werden. Dies sollte der Gesetzgeber unionsweit undurchdringlich in dem neuen Absatz des Art.83 der Verordnung festlegen. Ein Vorschlag zur Formulierung für die Ergänzung findet sich im folgenden Unterkapitel.
… Weiterlesen:
8a. DSGVO Beurteilung – VORSCHLÄGE zur Neu-Regelung
Beurteilung Großer Status Quo Mehrteiler/ Teil-8a Vorschläge zur besseren Regelung (8A)
[…] 7.9. Handlungsbedarf zu Das Recht auf Datenübertragung (zu Beitrag 7D) […]