DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9c Zukunft & Weiterentwicklung der DSGVO (9C)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
Teil-9 Zukunftsfähigkeit (9C)
9.3. Vorschläge zur Zukunft & Weiterentwicklung Datenschutz-Grundverordnung
Im Folgenden werden Methoden zur Weiterentwicklung des Datenschutzes diskutiert, die nicht einzelne Bestimmungen der DSGVO betreffen, sondern auf die der Verordnung zugrunde liegenden Regelungskonzepte verweisen bzw. absehbare Herausforderungen in der Zukunft. Zu diesem Zweck wurde aus Verbrauchersicht auf EU-Ebene und auf mitgliedstaatlicher Ebene die Möglichkeit einer Weiterentwicklung der geltenden Datenschutzgesetze geprüft und konzeptionelle Beiträge zur Anregung risikoorientierter Daten geleistet Modernisierung des Schutzrechts (9.3.1). Darüber hinaus wurde untersucht, wie die Position der Verbraucher konzeptionell gestärkt (9.3.2) und deren Übernachfrage verhindert werden kann (9.3.3). Da moderne Datenverarbeitungssysteme auch unbeeinflussten Drittverbrauchern schaden, erweitert sie den Test um die Frage der Bewertung und Kontrolle dieser Verletzungen (9.3.4). Schließlich gibt es konzeptionelle Überlegungen (9.3.5) dazu, wie das Gesetz die Grundsätze des Datenschutzes stärkt.
9.3.1. Risikoadäquate Weiterentwicklung oder Ergänzung des Datenschutzrechts
Eine der Hauptschwächen der Datenschutz-Grundverordnung ist ihre übermäßige Risikoneutralität. Sie berücksichtigt die Risiken der Datenverarbeitung zur Entlastung der Verantwortlichen. Im Hinblick auf den Schutz der Grundrechte und Grundfreiheiten der betroffenen Personen wird jedoch keine Risikobewertung durchgeführt.
Der Datenschutz-Grundverordnung fehlt eine ausreichende Risikodifferenzierung hinsichtlich der Datenschutzgrundsätze, der Zulässigkeit der Datenverarbeitung und der Betroffenenrechte. Auch wenn die Datenverarbeitung zu sehr unterschiedlichen Grundrechtsrisiken führt, gelten die gleichen abstrakten Regeln – beispielsweise für risikoarme Kundenlisten von Handwerkern und risikoreichere Formen der Datenverarbeitung wie das Internet der Dinge, Big Data sowie Cloud Computing und Data -getriebenes Geschäftsmodell.
Datenschutz-Praxisbericht: „Kleine Wirtschaftsteilnehmer, insbesondere Verbände, kritisieren, dass sie von den Vorgaben der Datenschutz-Grundverordnung betroffen sind, ebenso wie große Unternehmen und soziale Netzwerke, die Daten benötigen.“ Diese unzumutbare Risikoneutralität Teil der europäischen Bevölkerung, die zu erheblichen Akzeptanzproblemen beim Datenschutz – und damit zu Zweifeln an der Politik und Gesetzgebung der gesamten Europäischen Union – geführt haben.
Der Grund für diese Risikoneutralität liegt darin, dass die Datenschutzgrundverordnung der übertriebenen Formulierung des Prinzips der Technologieneutralität folgt. Grundsätzlich zielt dieser Grundsatz darauf ab, das Risiko der Umgehung von Gesetzen und Vorschriften zu minimieren, denn Datenschutzbestimmungen sind „nicht von der eingesetzten Technik abhängig“. Richtig verstehen, wenn es darum geht zu verhindern, dass Gesetze und Verordnungen die technologische Weiterentwicklung verhindern, dann sind technologieneutrale Regelungen sinnvoll. Sie muss daher so formuliert werden, dass rechtliche Anforderungen auch auf weiterentwickelte Technologien angewendet werden können.
Hiervon ausgenommen ist die Entwicklung von Vorschriften für einzelne Versionen bestimmter technischer Anwendungen. Dies darf jedoch nicht verhindern, dass Spezifikationen für bestimmte technische Funktionen – insbesondere wenn eine bestimmte Funktion – wie Tracking, Gesichtserkennung, persönliche Profilerstellung oder Scoring bereitgestellt wird, besondere Risiken für die Grundrechte birgt. Denn wenn in einer von Technik dominierten Welt die Risiken der Technik nicht übernommen und durch die Überwachung von Technikfunktionen kontrolliert werden, können Grundrechte nicht geschützt werden. Derartige Funktionen können risikospezifisch und datenschutzkonform geregelt werden, wobei gesetzliche Vorgaben aufgrund der technologischen Weiterentwicklung in der Regel nicht obsolet oder nicht mehr anwendbar sind.
Tatsächlich skizzieren die Datenschutz-Grundverordnungen in den Abschnitten 6 und 101 abstrakt die in Kapitel 6.1 skizzierten Herausforderungen, nämlich die Auswirkungen des technologischen Fortschritts und der Globalisierung auf das Datenschutzrecht. Es nimmt jedoch keine einzige technische Funktion ein, seine Datenschutzrisiken wie Big Data, Cloud Computing, Internet of Things und Künstliche Intelligenz sind heute weit verbreitet oder diskutiert worden, und dies ist seit vielen Jahren ein Thema des Datenschutzes.
Auch wenn Änderungen der technischen Eigenschaften dargestellt werden. Daher deckt es das Konzept der Technologieneutralität ab und ist daher risikoneutral.
Ziel der Europäischen Kommission ist es, mit ihrem Entwurf der Datenschutz-Grundverordnung einen besonders zukunftsorientierten Datenschutzrahmen zu schaffen. Dies bedeutet aber auch, dass die Bewilligungsvoraussetzungen für die Verarbeitung personenbezogener Daten, die Voraussetzungen und Folgen der Betroffenenrechte sowie die Festlegung datenschutzrechtlicher Grundsätze sehr abstrakt sind.
Die Praxis zeigt, dass „durch die völlig vereinheitlichten Anforderungen und die technologieneutrale Gestaltung die hohe Abstraktion der einzelnen Vorschriften… eine Reihe von Erklärungsmöglichkeiten bietet, die die Umsetzung der Vorschriften für die Anwender erschweren. Es ist nicht Zweck dieser Verordnung, eine Datenverarbeitung zu verhindern, die zu unzumutbaren Risiken führt. Sie wird die Zulässigkeit besonders gefährlicher Datenverarbeitungsfunktionen niemals mit dem Fehlen bestimmter Grundrechtsrisiken in Verbindung bringen oder von der Beherrschung dieser Risiken abhängig machen. Allerdings kann nur durch die Berücksichtigung der typischen Risiken bestimmter Formen der Datenverarbeitung im Verordnungstext die erforderliche Rechtssicherheit und Billigkeit erreicht werden.
Die konzeptionell hochabstrakten Anforderungen an eine unbegrenzte Vielfalt persönlicher Dienste und Anwendungen in allen gesellschaftlichen, wirtschaftlichen und administrativen Bereichen sollten den Gerichten, den Aufsichtsbehörden der Mitgliedstaaten und der Europäischen Datenschutzkommission überlassen bleiben. In der Praxis werden diese Angaben jedoch dem Verantwortlichen für den ersten Besuch überlassen. Sie nutzen die Abstraktion des Leitfadens, um sie gemäß ihren Interessen zu praktizieren.
Die Aufsichtsbehörde berichtete: “Vom ersten Tag der Anwendung der Datenschutz-Grundverordnung haben sich einige große außereuropäische Anbieter so verhalten, als würden sie jetzt entspannter mit dem Datenschutz umgehen. Gerichtliche Verbote der aufdringlichen Datenverarbeitung werden es nicht mehr geben.” Sie gilt als verbindlich, weil das neue Datenschutzrecht eine entsprechende Verarbeitung zulassen soll.“ Betroffene Personen, die nicht einverstanden sind, müssen sich bei der Aufsichtsbehörde beschweren oder rechtliche Schritte einleiten. Die Aufsichtsbehörde kann im Einzelfall prüfen und bei Bedarf – nach Rücksprache mit anderen Aufsichtsbehörden – eingreifen. Angesichts ihrer unzureichenden Ressourcen sind sie jedoch mit den vielen anderen Aufgaben überfordert, die ihnen Artikel 57 und Artikel 70 der Datenschutz-Grundverordnung mit sich bringen.
Nur der Europäische Gerichtshof kann eine klare und verbindliche Aussage zur Auslegung der Datenschutz-Grundverordnung treffen.
Dies hängt wiederum von bestimmten Fragen und Themen ab, die von den Gerichten der Mitgliedstaaten vorgelegt werden. Ein weiteres Thema ist die Dauer der Verfahren, bis sie den Europäischen Gerichtshof erreichen und diesen entscheiden lassen. Aufgrund der dynamischen Entwicklung der Informationstechnologie und ihrer Anwendungen sind die dem Streitgegenstand zugrunde liegenden datenschutzrechtlichen Fragen in der Regel nicht mehr relevant, bis die Entscheidungen des Europäischen Gerichtshofs belastbare Rechtsprechung hervorbringen. Dies ist keine praktikable Lösung für das Ziel, die vielen Anforderungen der Datenschutz-Grundverordnung zu konkretisieren und die vielen offenen Fragen zu beantworten, die sie aufwirft.
Bevor der Europäische Gerichtshof einzelne Fragen endgültig klärt, lädt die Datenschutz-Grundverordnung zu interessenbezogenen Erklärungen und Streitigkeiten ein. In diesem Zusammenhang hat die Machtasymmetrie zwischen großen Datenverarbeitungsunternehmen und Verbrauchern zu einer Benachteiligung der Verbraucher geführt. Technologieneutralität ist ein unverzichtbares Instrument zur Bewältigung komplexer Sachverhalte, sofern die Überwachung einzelner technischer Merkmale vermieden werden soll. Wird eine einzelne technische Funktion nicht risikospezifisch adressiert, wird sie zum Problem.
Was den Schutz der betroffenen Personen angeht, lehnt die Datenschutz-Grundverordnung Letzteres jedoch ab – das ist falsch. Diese Form der Aufsicht erfüllt nicht das Ziel der Aufsicht selbst, betroffene Personen vor der Gefährdung ihrer Grundrechte und Grundfreiheiten durch den Einsatz moderner Technik zu schützen. Dies spiegelt sich in neuen Anforderungen wider, wie der Verpflichtung zum Schutz von Daten durch Systemdesign und Voreinstellungen. Aufgrund ihres abstrakten Charakters können diese Vorgaben die Entwicklung und Nutzung technischer Systeme und Geschäftsmodelle datenschutzkonform nicht steuern. Die technischen und fachspezifischen Regelungen der EU zum Datenschutz dürfen nicht der besonderen Form der Technologieneutralität folgen, die in der Datenschutz-Grundverordnung angestrebt wird. Ein bestehendes Beispiel ist Artikel 6 der e-Calling-Verordnung (EU) 2015/758520, der Datenschutzanforderungen für automatische Notrufe in Kraftfahrzeugen festlegt. Auch die geplanten elektronischen Datenschutzbestimmungen gehören zu bestimmten Regionen und ausreichenden Risiken.
Konkrete Risikoregelungen für den Gesetzgeber zum Umgang mit spezifischen Risiken bestimmter Technologieanwendungen und Geschäftsmodelle sind im Datenschutzrecht zum Schutz der Grundrechte und Grundfreiheiten des betroffenen Personals unabdingbar. Als eine Konkretisierung des Art. 25 Datenschutz-Grundverordnung kann ein Beispiel für eine solche riskante, aber technologieneutrale Regelung, die überwiegend einem datenschutzrechtlichen Verfahren durch die Systemgestaltung folgt, angesehen werden, die wie folgt lauten kann:
Nur wenn geeignete Schutzmaßnahmen getroffen werden, ist eine riskante Datenverarbeitung erlaubt. Ihre Eignung muss dauerhaft nachgewiesen werden.
Die Konfigurationsdatei ist nur zulässig, wenn sie für den objektiven Zweck erforderlich ist, Daten zu ermöglichen, die Anwendung zu vermeiden.
Vorbeugende Maßnahmen müssen Risiken mindern und potenzielle Schäden begrenzen – auch wenn anonyme Daten in Zukunft noch mit einer Person in Verbindung gebracht werden können. Neben den Auftragsverarbeitern sind auch die Hersteller von Informationstechnologie dafür verantwortlich, dass ihre Designs und Voreinstellungen datenschutzkonform sind.
Die Anforderungen des Systems an Transparenz, Datenvermeidung und Anti-Missbrauchs-Design (Vermeiden von Konfigurationsdateien) und die Konfiguration mit den wenigsten Daten werden in einem bestimmten Bereich spezifiziert.
Die Anforderungen an die Datenverarbeitungsarchitektur müssen so gestaltet sein, dass personenbezogene Daten grundsätzlich im eigenen Bereich des Betroffenen vorgehalten werden und im zentralen System nur anonyme oder pseudonyme Daten verarbeitet werden.
Die Datensicherheit sollte im Einklang mit den Schutzzielen Datenvermeidung, Vertraulichkeit, Integrität, Verfügbarkeit, Unverknüpfbarkeit, Transparenz und Eingriffsmöglichkeit stehen.
Zur Durchsetzung der technischen Eigendatenschutzmaßnahmen des betroffenen Personals müssen Hersteller und Verantwortliche verpflichtet werden, geeignete Schnittstellen bereitzustellen.
Bei Pseudonymen oder Anonymisierung sind besondere Anforderungen an den Grad der Sicherheit der Anti-Anonymisierung zu stellen und die Wiederherstellung von Personenbezügen muss ausdrücklich untersagt werden.
Bei bestimmten risikobehafteten Datenverarbeitungsvorgängen sollten die Anforderungen an die Zweckbestimmung und der Zweckschutz festgelegt werden, insbesondere das Verbot der Änderung des Zwecks der Daten, deren Zweck ein hohes Vertrauen hat, wie z. B. Protokolldaten für Sicherheitszwecke.
Für die Auftragsdatenverarbeitung sind spezifische Risikoanforderungen zu formulieren, insbesondere die Akzeptanz von Cloud Computing.
Der algorithmenbasierte Entscheidungsprozess kann nur Merkmale verwenden, die für seinen Anwendungsbereich nachweislich relevant sind und müssen von der Regulierungsbehörde im Entscheidungsprozess verstanden und den zuständigen Mitarbeitern erläutert werden.
Die Voraussetzungen für die Zulässigkeit der Datenverarbeitung, die Zulässigkeit von Zweckänderungen, die konkreten Rechte der betroffenen Person und die Pflichten des Verantwortlichen müssen für bestimmte technische Funktionen oder bestimmte Bereiche für bestimmte Anwendungsfragen konkret festgelegt werden. Grundsätzlich können technologieneutrale, aber risikospezifische Datenschutzregelungen im richtigen Sinne zwei unterschiedliche Ansatzpunkte haben:
Entweder regelt das Datenschutzrecht die Funktionen von Technologien, die in vielen wirtschaftlichen, gesellschaftlichen und administrativen Bereichen eingesetzt werden – etwa Videoüberwachung, Cloud Computing oder algorithmenbasierte Entscheidungsprozesse – und fordert in allen Bereichen die Gestaltung einzelner wichtiger Funktionen – wie z als algorithmenbasiert Die Nachvollziehbarkeit und Rationalität des Entscheidungsprozesses.• Oder es spezifiziert die Charakteristika von Datenschutzanforderungen für bestimmte Anwendungsbereiche – wie Smart Cars, Smart Buildings oder Social Networks. Darin wird eine bereichsspezifische Gestaltung technischer Funktionen gefordert – etwa bestimmte Displays in Smart Cars vor der Verarbeitung bestimmter personenbezogener Daten, die Möglichkeit des Fahrereingriffs oder die Erlaubnis zur Speicherung oder Weitergabe von Daten an Dritte Sexualität – und unter Berücksichtigung der spezifischen Bedingungen und Merkmale seiner Anwendung.
Es ist immer erforderlich, dem Verantwortlichen sowie den Herstellern und Lieferanten des technischen Systems entsprechende Anforderungen zu stellen, mit deren Hilfe der Verantwortlichen die Anforderungen erfüllen soll. Es ist naiv zu glauben, dass der Markt sicherstellt, dass Hersteller und Lieferanten die vom Datenschutzrecht geforderten Datenschutzfunktionen rechtzeitig bereitstellen. In der Praxis sagte die Regulierungsbehörde: „Wer versucht, Dinge gut zu machen, ist nicht glücklich, weil er feststellt, dass Produkthersteller und Dienstleister für ihn oft nicht hilfreich sind und es schwierig ist, Verantwortung zu übernehmen.“ Für seine Produkte und Dienstleistungen Ausgestattet mit bestimmten technischen Funktionen, so dass der Verantwortliche in ein Leistungsdilemma gerät und von vornherein der Nachweis zumutbar ist, dass der Rechtsverfolgungsmangel zumutbar ist.
Auch hier sind abstrakte Verpflichtungen über alle gesellschaftlichen, wirtschaftlichen und administrativen Felder hinweg falsch, sondern sie sollten die spezifischen Risiken von Produkten und Dienstleistungen sowie deren Entwicklungsbedingungen und ihre technisch-regionalen spezifischen Methoden berücksichtigen. Die allgemeinen Datenschutzbestimmungen müssen nicht mit einem umfassenden Katalog von Regelungen für spezifische Risiken überfrachtet werden.
Vielmehr kann die Datenschutz-Grundverordnung als Gesetz verwendet werden, das den Datenschutz grundsätzlich regelt und konkretere Regelungen anderen Regelungen überlässt. Wenn die Risikoneutralität der Datenschutz-Grundverordnung die Datenverarbeitung persönlicher oder familiärer Aktivitäten im Anwendungsbereich des Datenschutzrechts des Artikels 2 Absatz 2 Buchstabe c vollständig ausschließt, wird dies unabhängig vom Risiko der betroffenen Person deutlich.
Da diese Ausnahme das Gleichgewicht zwischen den Grundrechten des Auftragsverarbeiters und der betroffenen Person nicht anerkennt, sondern ohne Rücksicht auf das Risiko oder den Schaden der betroffenen Person gilt, muss sie korrigiert werden. Dies kann bedeuten, dass die Datenschutz-Grundverordnung die dritte Gruppe zwischen der Datenverarbeitung von persönlichen oder familiären Aktivitäten, die nicht den Vorschriften unterliegen, und der Datenverarbeitung von nicht-personenbezogenen und familiären Aktivitäten, die alle Bestimmungen der Vorschriften anwenden, darstellt.
Dies kann die Datenverarbeitung von persönlichen und familiären Aktivitäten umfassen, die Risiken mit sich bringen, die für die betroffene Person nicht ignoriert werden können. Für diese Gruppe müssen nicht alle Bestimmungen des Reglements gelten. Soweit auf sie die Bestimmungen der Art. 5, 6, 4, 9, 15, 21, 25 und 32 Datenschutz-Grundverordnung zutreffen, genügt ihnen dies. Besprechen Sie den Umgang mit einer Vielzahl von sozialen Praktiken im Bereich der Datenverarbeitung personenbezogener oder familiärer Aktivitäten, wie beispielsweise die Veröffentlichung personenbezogener Daten Dritter aus dem persönlichen und familiären Bereich auf Social-Media-Plattformen oder selbst betriebenen Plattformen ) , die nur von einer Person verwendet werden , werden veröffentlicht . Da diese zwangsläufig auf der Übermittlung personenbezogener Daten an Plattformbetreiber beruhen, bleibt ein Ausnahmebereich von „nur persönlichen und familiären Tätigkeiten“ bestehen. Sollte diese Art der Datenverarbeitung jedoch nicht in den neuen zentralen Regulierungsbereich aufgenommen werden – nur um zu verhindern, dass Nutzer das illegale Verhalten, das bei der Nutzung sozialer Medien häufig vorkommt, nicht verstehen?
Referenzen:
503 Vor allem in ihrem Kapitel IV stellt die Datenschutz-Grundverordnung die Pflichten der Verantwortlichen unter Risikovorbehalt – s. z.B. Art. 24, 25, 30, 32, 33, 34, 35, 36 und 37Datenschutz-Grundverordnung – mit der Folge, dass in der Praxis diese Pflichten nur für einen Bruch-teil der Verantwortlichen tatsächlich wirksam werden – s. hierzu auch Albrecht,CR 2016, 88 (94); Roßnagel, DuD 2016, 561 (565); Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 375 f
494 Siehe vergleichsweise Unabhängiges Datenschutzzentrum Saarland, 2019, 15.
495 Siehe vergleichsweise Erwägungsgrund 15 Satz 1 Datenschutz-Grundverordnung.
496 Siehe vergleichsweise grundsätzlich Roßnagel, in: Eifert/Hoffmann-Riem, 2009, 323ff.
497 Siehe vergleichsweise hierzu weiter unten in diesem Unterkapitel.
498 Dies ist für Social Networks in Art. 20 Datenschutz-Grundverordnung und für algorithmenbasierte Entscheidungsverfahren in Art. 22 Datenschutz-Grundverordnung allenfalls in abstrakten Ansätzen der Fall. S. zur Kritik an diesen beiden Vorschriften Kap. 6.10 und 6.11.
499 „Es sollte … nicht versucht werden, jede Frage, die den Datenschutz in Europain den nächsten 20 Jahren beschäftigen könnte, bereits heute im Detail regeln zu wollen“, Reding, ZD 2012, 195 (198).
500 Unabhängiges Datenschutzzentrum Saarland, 2019, 16.
501 Reding, ZD 2012, 195 (198).
502 Hierauf besteht auch die Europäische Kommission, Commission Staff Working Document, 15 f.
503 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2019, 9.
504 Siehe vergleichsweise Kapitel 6.15.
505 Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 376.
506 Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 376 f.
507 Siehe vergleichsweise Roßnagel, in: Eifert/Hoffmann-Riem, 2009, 323ff.
508 Siehe vergleichsweise hierzu umfassend Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 374ff
509 Siehe vergleichsweise Kapitel 6.13 und 6.14.
510 EU ABl. L 123 vom 19.5.2015, 77.
511 Siehe vergleichsweise im Kommissionsentwurf die Art. 8, 10, 12 und 16; KOM(2017) 10 endg.
512 Siehe vergleichsweise Beispiele überwiegend entnommen aus Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 361 (377 f.). Zu weiteren Beispielen für den Datenschutz in der öffentlichen Verwaltung und im Beschäftigtenkontext s. Roßnagel, DuD 2017,290 (293 f.)
513 Konferenz der unabhängigen Datenschutzaufsichtsbehörden, Entschließung„ Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen“ vom6./7.4.2016.
514 Siehe vergleichsweise zu dem Beispiel im japanischen Datenschutzrecht Geminn/Laubach/Fujiwara, ZD 2018, 413.
515 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2019, 10.
516 Siehe vergleichsweise hierzu Kapitel 10.
517 Siehe vergleichsweise hierzu Kapitel 6.1
518 Siehe vergleichsweise Kapitel 6.1.2.
… Weiterlesen:
9d. DSGVO Beurteilung – Zukunft Weiterentwicklung Datenschutz DSGVO
[…] Vor DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9b Zukunft & Weiterentwicklung der […]