DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8d Vorschläge zur besseren Regelung (8D)

…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)

 

Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):

2. Inhaltsverzeichnis

2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)

2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)

 

 

  1. Vorschläge zur besseren Regelung DSGVO

    Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.

 

8.19. Recht auf eine Datenübertragung

Die Regelungen des Art. 20 Abs. 1 DSGVO sollten an vielen Stellen präzisiert werden bzw. wichtige Regelungen ergänzen, um sie in der Praxis umsetzen zu können. Sein Geltungsbereich sollte auf alle von der betroffenen Person verursachten Daten ausgedehnt werden. Hinsichtlich des Formats der übertragenen Daten sollte klar sein, dass es interoperabel sein muss. Die Europäische Datenschutzkommission sollte Interoperabilitätsanforderungen festlegen. Darüber hinaus ist der Verantwortliche verpflichtet, Daten in den jeweiligen Landessprachen bzw. Englisch der Mitgliedsstaaten bereitzustellen. Liegt die Einwilligung bzw. der Vertrag nicht mehr vor, wurden die Daten aber während der Dauer der Einwilligung bzw. des Vertrages durch den Verantwortlichen erhoben, besteht zusätzlich das Recht auf Datenübermittlung. Um diese Änderungen umzusetzen, Artikel 20 Absatz 1. 1 Datenschutz-Grundverordnung und fügte einen neuen Satz 2 hinzu.

 

Artikel 20

Recht auf Datenübertrag barkeit ung

  • „(1)  Die  betroffene  Person  hat  das  Recht,  die  sie  betreffenden  personenbezogenen Daten, die deren Erhebung sie bei einem Verantwortlichen sie verursacht bereitgestellt hat, in einem strukturierten, gängigen und  maschinenlesbaren  interoperablen  Format  und  in  der  jeweiligen Landessprache  des  Mitgliedstaates  der betroffenen Person oder  in  englischer Sprache zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

 

  1. a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1Buchstabe a oder Artikel  9  Absatz  2  Buchstabe  a  oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht oder beruhte und
  2. b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
  • Die Bedingungen für die Interoperabilität der Formate bestimmt der Europäische Datenschutzausschuss.“

Die Bezeichnung des Rechts der „Übertragbarkeit“ impliziert das Recht des dualen Potentials: Die Endung „bar“ und die Endung „keit“ weisen beide nur auf Möglichkeit hin. Wollen die Parteien die tatsächliche Übertragung jedoch über die Möglichkeit hinaus durchsetzen, hilft ihnen das Recht auf Erlangung der Übertragungsmöglichkeit nicht. Daher sollte der Titel korrigiert werden. Der Zweck der Erweiterung des Umfangs der Datenübertragungsrechte wird erreicht, indem das Wort „bereitstellen“ durch „verursachen“ ersetzt wird. Streitigkeiten über die unsicheren Rechtsbegriffe „strukturiertes, gängiges und maschinenlesbares Format“ und „technisch machbar“ wurden durch Streichung dieser Begriffe aus der Norm beigelegt. Sie sind Teil des Bedarfs an interoperablen Formaten. Die Europäische Datenschutzkommission hat Spezifikationen für Interoperabilitätsbedingungen aufgestellt. Dadurch wird einerseits sichergestellt, dass die (notwendige) Spezifikation tatsächlich erfolgt, andererseits kann in der Spezifikation ein Detaillierungsgrad erreicht werden, der in einem Standardtext oder Erwägungsgrund nicht zu erreichen ist.

 

8.20. Schutz von Kindern im Rahmen eines Widerspruchs

Um den Sachverhalt der personenbezogenen Daten von Kindern bei der Prüfung des Widerspruchs nach Art. 21 Abs. 1 DSGVO umfassend zu berücksichtigen, sollte diese Ziffer entsprechend überarbeitet werden.

 

  • besonderen  Situation  ergeben,  insbesondere  wenn  es  sich  um  die personenbezogenen Daten eines Kindes handelt, jederzeit gegen die Verarbeitung  sie  betreffender  personenbezogener  Daten,  die  aufgrund  von Artikel  6  Absatz  1  Buchstaben  e  oder f  erfolgt,  Widerspruch  einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der  Verantwortliche  verarbeitet  die  personenbezogenen  Daten  nichtmehr,  es  sei  denn,  er  kann  zwingende  schutzwürdige  Gründe  für  die Verarbeitung  nachweisen,  die  die  Interessen,  Rechte  und  Freiheiten der  betroffenen  Person  überwiegen,  oder  die  Verarbeitung  dient  der Geltendmachung,  Ausübung  oder  Verteidigung  von  Rechtsansprüchen.“

Durch die unmittelbare Klarstellung des Begriffs „ihre besonderen Umstände“ im Standardtext verbessert der neue Inhalt die Möglichkeiten von Kindern, personenbezogene Daten gemäß Artikel 38 Satz 1 Datenschutz-Grundverordnung zu verarbeiten.

8.21. Automatisierte Entscheidungen im Einzelfall

Die Normierungsrechte in Art. 22 Datenschutz-Grundverordnung unterliegen nicht ausschließlich auf einer automatisierten Verarbeitung (einschließlich Analyse) beruhenden Entscheidungen und erfordern eine mehrfache Anpassung des Standardtextes. Zum einen muss das Verbot der automatischen Entscheidungsfindung im Einzelfall weiter konkretisiert werden. Andererseits kann der Verantwortliche oder der Dritte nicht nachweisen, dass eine automatische Entscheidungsfindung im Einzelfall erforderlich ist. Es genügt, wenn der Verantwortliche nach Maßgabe des Artikels 2 eine Einwilligung der betroffenen Person einholen kann. Drittens sollte die betroffene Person neben der Informationspflicht auch die Gründe für die Entscheidung klar erläutern. Schließlich sollte in Absatz 2 Buchstabe c zum Schutz des Kindes die Einwilligung des Kindes ausgeschlossen werden. Schließlich sollte es qualitative Anforderungen an die Entscheidungsfindung auf der Grundlage einer automatisierten Verarbeitung enthalten. Diese Anpassungen an Artikel 22 Datenschutz-Grundverordnung können auf folgende Weise umgesetzt werden:

 

  • „(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen  zu  werden,  die  ihr  gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher erheblicher Weise erheblich beeinträchtigt.

 

  • (2) Absatz 1 gilt nicht, wenn die Entscheidung a)  für  den  Abschluss  oder  die  Erfüllung  eines  Vertrags  zwischen  der betroffenen Person und dem Verantwortlichen erforderlich ist, a b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten,   denen   der   Verantwortliche   unterliegt,   zulässig   ist   und   diese Rechtsvorschriften  angemessene  Maßnahmen  zur  Wahrung  der  Rechte  und  Freiheiten  sowie  der  berechtigten  Interessen  der  betroffenen Person enthalten oder b c)  mit  ausdrücklicher  Einwilligung  der  erwachsenen betroffenen  Person erfolgt.

 

  • (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche  angemessene  Maßnahmen,  um  die  Rechte  und  Freiheiten  sowie  die  berechtigten  Interessen  der  betroffenen  Person  zu wahren, wozu mindestens  das  Recht  auf  Erwirkung  des  Eingreifen seiner Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts,  und  auf  Anfechtung  der  Entscheidung und die Erläuterung der Entscheidungsgründe gehört.

 

  • (4)  Die  Erstellung  eines  Wahrscheinlichkeitswerts  über  ein  bestimmtes  zu-künftiges Verhalten einer natürlichen Person zum Zweck einer auf einer au-tomatisierten  Verarbeitung  —  einschließlich  Profiling  —  beruhenden  Entscheidung  ist  nur  zulässig,  wenn  die  zur  Berechnung  des  Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich an-erkannten  mathematisch-statistischen  Verfahrens  nachweisbar  für  die  Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind.“

Absatz 4 wird zu Absatz 5. Die Änderung in Absatz 1 hebt die doppelte Einschränkung der Rechte aus Artikel 22 Absatz 1 Datenschutz-Grundverordnung auf. Die Ausweitung (Streichung von „exklusiv“) und die Herabsetzung des Schwellenwerts (erheblicher Schaden statt Rechtswirkung usw.) führten zur Aufnahme vieler bisher nicht erfasster Schäden an grundlegenden Verbraucherrechten. Damit verbessert sich ihre Stellung im Datenschutzrecht und der Bündnisgesetzgeber kann seinen grundrechtlichen Schutzpflichten nachkommen.

Auch Entscheidungen, die durch automatische Verarbeitung erstellt wurden, werden nun erfasst. Das bedeutet, dass die beteiligten Personen nicht mehr automatisch vorbereiteten Entscheidungen ausgeliefert sind, menschliche Entscheidungsträger Entscheidungen in der Regel treffen, ohne sie anzusehen, und die Beteiligten haben keine Möglichkeit, ihre Meinung vor einer Entscheidung zu äußern.

Die Streichung in Absatz 2 hat letztlich die Machtasymmetrie zwischen Anbietern und Verbrauchern reduziert und die Schutzlücke in der Regulierung verkleinert. Wird der Buchstabe a in Absatz 2 gelöscht, ist es dem Verantwortlichen oder einem Dritten nicht mehr möglich, einseitig die Notwendigkeit einer automatischen Entscheidungsfindung im Rahmen des Vertragsverhältnisses zu erklären.

Diese Ergänzung zu Absatz 2 (b) („Erwachsene“) stellt sicher, dass sich niemand bei besonders gefährlichen automatischen Entscheidungen auf die persönliche Einwilligung des Kindes verlassen kann. Die Zustimmung des Erziehungsberechtigten ist weiterhin möglich.

Die neuen Inhalte werden mit den vorgeschlagenen neuen Inhalten in Art. 9 Abs. 2 lit. a Datenschutz-Grundverordnung verlinkt und Art. 71 Satz 5 Datenschutz-Grundverordnung bewertet. Durch die Hinzufügung von Absatz 3 kommt dem Verantwortlichen im Beschwerdefall eine zusätzliche Transparenzpflicht zu. Er muss die Hauptgründe für die automatische Entscheidungsfindung und deren Auswirkungen auf die betroffene Person erläutern. Durch die Hinzufügung eines neuen Absatzes 4 werden qualitative Anforderungen an die automatische Entscheidungsfindung festgelegt.

Der neue Absatz 4 trägt den Erwägungen des Art. 71 Datenschutz-Grundverordnung Rechnung und orientiert sich am Wortlaut und Zweck des § 31 Abs. 1 BDSG, beschränkt sich aber nicht auf Scoring- und Bonitätsauskünfte wie diese Klausel.

Referenzen:

432 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
433 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
434 Siehe vergleichsweise Kapitel zu „Informationspräsentation. Punkt 1
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
437 Siehe vergleichsweise Kapitel zu „Informationspräsentation Punkt 3
438 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“
439 Siehe vergleichsweise Kapitel zu Regelungsvorschläge Punkt 27
440 Siehe vergleichsweise Datenschutzkonferenz, Erfahrungsbericht, 2019, 8
441 Siehe vergleichsweise Kapitel zu Auskunftsrecht der betroffenen Person
442 Siehe vergleichsweise Regelungsvorschläge Punkt 22.
443 Siehe vergleichsweise Regelungsvorschläge Punkt.12.
444 Siehe vergleichsweise Regelungsvorschläge Punkt 13
445 Siehe vergleichsweise Kapitel zu „Recht auf Datenübertragung“

 

 

…  Weiterlesen:

8e. DSGVO Beurteilung –   VORSCHLÄGE zur Neu-Regelung

Beurteilung Großer Status Quo Mehrteiler/ Teil-8e Vorschläge zur besseren Regelung (8E)