DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-8d Vorschläge zur besseren Regelung (8D)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Vorschläge zur besseren Regelung DSGVO
Wenn dieser Bericht Änderungen einzelner Bestimmungen der Datenschutz-Grundverordnung empfiehlt, wird die vorgeschlagene Formulierung in diesem Kapitel diskutiert, damit Sie sehen können, wie Verbesserungen dieser Bestimmungen aussehen könnten.
8.19. Recht auf eine Datenübertragung
Die Regelungen des Art. 20 Abs. 1 DSGVO sollten an vielen Stellen präzisiert werden bzw. wichtige Regelungen ergänzen, um sie in der Praxis umsetzen zu können. Sein Geltungsbereich sollte auf alle von der betroffenen Person verursachten Daten ausgedehnt werden. Hinsichtlich des Formats der übertragenen Daten sollte klar sein, dass es interoperabel sein muss. Die Europäische Datenschutzkommission sollte Interoperabilitätsanforderungen festlegen. Darüber hinaus ist der Verantwortliche verpflichtet, Daten in den jeweiligen Landessprachen bzw. Englisch der Mitgliedsstaaten bereitzustellen. Liegt die Einwilligung bzw. der Vertrag nicht mehr vor, wurden die Daten aber während der Dauer der Einwilligung bzw. des Vertrages durch den Verantwortlichen erhoben, besteht zusätzlich das Recht auf Datenübermittlung. Um diese Änderungen umzusetzen, Artikel 20 Absatz 1. 1 Datenschutz-Grundverordnung und fügte einen neuen Satz 2 hinzu.
Artikel 20
Recht auf Datenübertrag barkeit ung
- „(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die deren Erhebung sie bei einem Verantwortlichen sie verursacht bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren interoperablen Format und in der jeweiligen Landessprache des Mitgliedstaates der betroffenen Person oder in englischer Sprache zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
- a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht oder beruhte und
- b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
- Die Bedingungen für die Interoperabilität der Formate bestimmt der Europäische Datenschutzausschuss.“
Die Bezeichnung des Rechts der “Übertragbarkeit” impliziert das Recht des dualen Potentials: Die Endung “bar” und die Endung “keit” weisen beide nur auf Möglichkeit hin. Wollen die Parteien die tatsächliche Übertragung jedoch über die Möglichkeit hinaus durchsetzen, hilft ihnen das Recht auf Erlangung der Übertragungsmöglichkeit nicht. Daher sollte der Titel korrigiert werden. Der Zweck der Erweiterung des Umfangs der Datenübertragungsrechte wird erreicht, indem das Wort „bereitstellen“ durch „verursachen“ ersetzt wird. Streitigkeiten über die unsicheren Rechtsbegriffe „strukturiertes, gängiges und maschinenlesbares Format“ und „technisch machbar“ wurden durch Streichung dieser Begriffe aus der Norm beigelegt. Sie sind Teil des Bedarfs an interoperablen Formaten. Die Europäische Datenschutzkommission hat Spezifikationen für Interoperabilitätsbedingungen aufgestellt. Dadurch wird einerseits sichergestellt, dass die (notwendige) Spezifikation tatsächlich erfolgt, andererseits kann in der Spezifikation ein Detaillierungsgrad erreicht werden, der in einem Standardtext oder Erwägungsgrund nicht zu erreichen ist.
8.20. Schutz von Kindern im Rahmen eines Widerspruchs
Um den Sachverhalt der personenbezogenen Daten von Kindern bei der Prüfung des Widerspruchs nach Art. 21 Abs. 1 DSGVO umfassend zu berücksichtigen, sollte diese Ziffer entsprechend überarbeitet werden.
- besonderen Situation ergeben, insbesondere wenn es sich um die personenbezogenen Daten eines Kindes handelt, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nichtmehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“
Durch die unmittelbare Klarstellung des Begriffs „ihre besonderen Umstände“ im Standardtext verbessert der neue Inhalt die Möglichkeiten von Kindern, personenbezogene Daten gemäß Artikel 38 Satz 1 Datenschutz-Grundverordnung zu verarbeiten.
8.21. Automatisierte Entscheidungen im Einzelfall
Die Normierungsrechte in Art. 22 Datenschutz-Grundverordnung unterliegen nicht ausschließlich auf einer automatisierten Verarbeitung (einschließlich Analyse) beruhenden Entscheidungen und erfordern eine mehrfache Anpassung des Standardtextes. Zum einen muss das Verbot der automatischen Entscheidungsfindung im Einzelfall weiter konkretisiert werden. Andererseits kann der Verantwortliche oder der Dritte nicht nachweisen, dass eine automatische Entscheidungsfindung im Einzelfall erforderlich ist. Es genügt, wenn der Verantwortliche nach Maßgabe des Artikels 2 eine Einwilligung der betroffenen Person einholen kann. Drittens sollte die betroffene Person neben der Informationspflicht auch die Gründe für die Entscheidung klar erläutern. Schließlich sollte in Absatz 2 Buchstabe c zum Schutz des Kindes die Einwilligung des Kindes ausgeschlossen werden. Schließlich sollte es qualitative Anforderungen an die Entscheidungsfindung auf der Grundlage einer automatisierten Verarbeitung enthalten. Diese Anpassungen an Artikel 22 Datenschutz-Grundverordnung können auf folgende Weise umgesetzt werden:
- „(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher erheblicher Weise erheblich beeinträchtigt.
- (2) Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, a b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder b c) mit ausdrücklicher Einwilligung der erwachsenen betroffenen Person erfolgt.
- (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifen seiner Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts, und auf Anfechtung der Entscheidung und die Erläuterung der Entscheidungsgründe gehört.
- (4) Die Erstellung eines Wahrscheinlichkeitswerts über ein bestimmtes zu-künftiges Verhalten einer natürlichen Person zum Zweck einer auf einer au-tomatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung ist nur zulässig, wenn die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich an-erkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind.“
Absatz 4 wird zu Absatz 5. Die Änderung in Absatz 1 hebt die doppelte Einschränkung der Rechte aus Artikel 22 Absatz 1 Datenschutz-Grundverordnung auf. Die Ausweitung (Streichung von “exklusiv”) und die Herabsetzung des Schwellenwerts (erheblicher Schaden statt Rechtswirkung usw.) führten zur Aufnahme vieler bisher nicht erfasster Schäden an grundlegenden Verbraucherrechten. Damit verbessert sich ihre Stellung im Datenschutzrecht und der Bündnisgesetzgeber kann seinen grundrechtlichen Schutzpflichten nachkommen.
Auch Entscheidungen, die durch automatische Verarbeitung erstellt wurden, werden nun erfasst. Das bedeutet, dass die beteiligten Personen nicht mehr automatisch vorbereiteten Entscheidungen ausgeliefert sind, menschliche Entscheidungsträger Entscheidungen in der Regel treffen, ohne sie anzusehen, und die Beteiligten haben keine Möglichkeit, ihre Meinung vor einer Entscheidung zu äußern.
Die Streichung in Absatz 2 hat letztlich die Machtasymmetrie zwischen Anbietern und Verbrauchern reduziert und die Schutzlücke in der Regulierung verkleinert. Wird der Buchstabe a in Absatz 2 gelöscht, ist es dem Verantwortlichen oder einem Dritten nicht mehr möglich, einseitig die Notwendigkeit einer automatischen Entscheidungsfindung im Rahmen des Vertragsverhältnisses zu erklären.
Diese Ergänzung zu Absatz 2 (b) („Erwachsene“) stellt sicher, dass sich niemand bei besonders gefährlichen automatischen Entscheidungen auf die persönliche Einwilligung des Kindes verlassen kann. Die Zustimmung des Erziehungsberechtigten ist weiterhin möglich.
Die neuen Inhalte werden mit den vorgeschlagenen neuen Inhalten in Art. 9 Abs. 2 lit. a Datenschutz-Grundverordnung verlinkt und Art. 71 Satz 5 Datenschutz-Grundverordnung bewertet. Durch die Hinzufügung von Absatz 3 kommt dem Verantwortlichen im Beschwerdefall eine zusätzliche Transparenzpflicht zu. Er muss die Hauptgründe für die automatische Entscheidungsfindung und deren Auswirkungen auf die betroffene Person erläutern. Durch die Hinzufügung eines neuen Absatzes 4 werden qualitative Anforderungen an die automatische Entscheidungsfindung festgelegt.
Der neue Absatz 4 trägt den Erwägungen des Art. 71 Datenschutz-Grundverordnung Rechnung und orientiert sich am Wortlaut und Zweck des § 31 Abs. 1 BDSG, beschränkt sich aber nicht auf Scoring- und Bonitätsauskünfte wie diese Klausel.
Referenzen:
432 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
433 Siehe vergleichsweise Kapitel zu „Verarbeitung der Daten von Kindern“
434 Siehe vergleichsweise Kapitel zu „Informationspräsentation. Punkt 1
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
435 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
436 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“ Punkt 2
437 Siehe vergleichsweise Kapitel zu „Informationspräsentation Punkt 3
438 Siehe vergleichsweise Kapitel zu „Informationspflichten des Verantwortlichen“
439 Siehe vergleichsweise Kapitel zu Regelungsvorschläge Punkt 27
440 Siehe vergleichsweise Datenschutzkonferenz, Erfahrungsbericht, 2019, 8
441 Siehe vergleichsweise Kapitel zu Auskunftsrecht der betroffenen Person
442 Siehe vergleichsweise Regelungsvorschläge Punkt 22.
443 Siehe vergleichsweise Regelungsvorschläge Punkt.12.
444 Siehe vergleichsweise Regelungsvorschläge Punkt 13
445 Siehe vergleichsweise Kapitel zu „Recht auf Datenübertragung“
… Weiterlesen:
8e. DSGVO Beurteilung – VORSCHLÄGE zur Neu-Regelung
Beurteilung Großer Status Quo Mehrteiler/ Teil-8e Vorschläge zur besseren Regelung (8E)
Hinterlasse einen Kommentar