DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9d Zukunft & Weiterentwicklung der DSGVO (9D)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
Teil-9 Zukunftsfähigkeit (9D)
9.3.2. Stärkung der Stellung der Verbraucher
Aufgrund der Machtasymmetrie zwischen Anbietern und Verbrauchern müssen verschiedene Maßnahmen zur Stärkung des Status der Verbraucher untersucht werden. Einerseits ist es möglich, den Einsatz von Einwilligungen zur vollständigen Freistellung der datenschutzrechtlichen Pflichten des Verantwortlichen zu verhindern, indem bestimmte Pflichten und Rechte als überobligatorisch deklariert werden.
Dies schränkt zwar das Selbstbestimmungsrecht der Betroffenen ein, kann sie aber davor schützen, ihre Kernrechte unter sozialem oder psychologischem Zwang aufzugeben. § 6 BDSG tritt am 24. Mai 2018 in Kraft und kann in dieser Hinsicht als Vorbild dienen. Andererseits kann der Schutz des Verbrauchers nicht seiner persönlichen Entscheidung überlassen werden, sondern muss zunächst im Rahmen von „Akzeptieren oder Verlassen“ objektiviert werden, etwa durch eine sachkundige Person zur objektiven Prüfung der Einwilligungserklärung oder der AGB .
Dafür sind die Institutionen verantwortlich und müssen vor Inkrafttreten eine Genehmigung einholen. Es ist auch möglich zu prüfen, ob in der Zulassung die erforderliche Datenschutzfunktion vorhanden ist, um die Qualität des Systems in bestimmten Bereichen – auch das Nutzungsrisiko – zu prüfen.
Beispiele hierfür sind die Zulassung von Kraftfahrzeugen und Medizinprodukten. Es wird auch empfohlen, dass die benannten Stellen vor der Verwendung bestimmter algorithmenbasierter Entscheidungssysteme mit hohem Risiko die Qualität der Daten, die Qualität der statistischen Modelle sowie die Nichtdiskriminierung und Rückverfolgbarkeit der Ergebnisse überprüfen. Art. 80 Datenschutz-Grundverordnung weist auf die dritte Methode, nämlich die Kollektivierung der Rechtewahrnehmung, hin: Die Begründung und Ausübung von Rechten wird nicht mehr von den betroffenen Personen initiiert, sondern vom Verein beruflich übernommen.
Die Datenschutz-Grundverordnung hat den rechtlichen Schutz des Datenschutzes stark gestärkt. Das Beschwerde- und das Klagerecht stehen in der Regel der betroffenen Person zu. Art. 80 Abs. 1 Datenschutz-Grundverordnung erlaubt jedoch, bestimmte Stellen, Organisationen oder Verbände mit deren Durchführung zu beauftragen. Zu den Vertretungsberechtigten gehört die Verbraucherzentrale in Deutschland. Ob Mitgliedstaaten jedoch auch unabhängig von der Beauftragung nahestehender Personen handeln können, hängt nach Art. 80 Abs. 2 Datenschutz-Grundverordnung von den Mitgliedstaaten ab. Das deutsche Recht und § 2 UKlaG sehen entsprechende Regelungen vor, die dem Institut jedoch kein eigenständiges Beschwerderecht begründen.
Darüber hinaus gilt nach § 2 Abs. 2 Satz 2 Satz 2 UKlaG § 2 Abs. 2 Satz 2 UKlaG: „Wenn die personenbezogenen Daten des Verbrauchers vom Unternehmer konkret zur Begründung, Durchführung oder Beendigung eines Rechtsgeschäfts verwendet werden oder ähnlicher Posten im Zusammenhang mit dem Verbrauch Die Verpflichtung der Person, erhoben, verarbeitet oder verwendet zu werden”. Hier soll es erweitert werden. Die nationale Umsetzung des Art. 80 Abs. 2 Datenschutz-Grundverordnung entspricht nicht den Möglichkeiten der Öffnungsklausel. Der Kreis der vertretungsberechtigten Personen kann auch über den Sinn der §§ 3 und 4 UKlaG hinaus nach Art. 80 Abs. 1 Datenschutz-Grundverordnung-Verbraucherschutzverbände weiter gefasst werden.
Der nationale Gesetzgeber sollte echte Sammelklagenrechte zulassen, die es ermöglichen, die Offenheit von Datenschutzgesetzen unabhängig vom Einzelfall zu klären. Dabei sind auch die Fragestellungen des Art. 6 Abs. 1 S. 1 lit. f Datenschutz-Grundverordnung zu berücksichtigen. Auch wenn nach a bis e keine gesetzliche Verpflichtung besteht, können personenbezogene Daten dennoch verarbeitet werden, wenn der Verantwortliche seine eigenen Interessen oder die Interessen eines Dritten verteidigen kann.
Aus diesem Grund müssen diese Interessen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Außerdem muss die Erforderlichkeit der Verarbeitung festgestellt werden. Das Wiegen und Vermessen führt jedoch die verantwortliche Person durch. Daher besteht die Gefahr, dass in der Praxis die Notwendigkeit der Verarbeitung und die Bedeutung persönlicher Interessen häufig überschätzt und die Interessen der betroffenen Personen unterschätzt werden. Diese Fehleinschätzung wird jedoch erst korrigiert, wenn die entsprechenden Handhabungsrisiken durch das entsprechende Personal erkannt wurden. Kommt es zu einem Rechtsstreit um das Wiegen, erhöht sich die bisherige Distanz von der Bearbeitung bis zur Korrektur dramatisch. Betroffene Personen müssen jedoch zunächst feststellen können, dass eine rechtswidrige Verarbeitung stattfindet, und dann im zweiten Schritt bereit und in der Lage sein, auf die Verarbeitung einzugehen. Um die betroffene Person zu stärken, sollte der Unionsgesetzgeber die Abwägungen nicht den Verantwortlichen überlassen, sondern eigene Regeln formulieren, die auf typische Verarbeitungssituationen (wie Werbung oder Analyse) oder typische Geschäftsmodelle (wie Suchmaschinen, sozialen Medien). Auch hier helfen klare Regelungen, die Position der Verbraucher zu stärken und Machtasymmetrien abzubauen.
9.3.3. Verhinderung einer Überforderung der Verbraucher
Vor allem aber können unangemessene (zu viel oder zu wenig) Informations- und Entscheidungsimpulse sowie ein unzureichendes Verständnis der Folgen die Verbraucher überfordern. Dies ist jedoch genau das Ergebnis der aktuellen Praxis, bereits beim ersten Kontakt mit dem Verbraucher über alle vagen, langfristig möglichen Datenverarbeitungen zu informieren und auf eine umfassende Datenschutzerklärung zu verweisen. Wenn der Verbraucher nicht an allen Details interessiert sein kann, seine Zustimmung nicht einfordern oder sogar Daten ohne seine Zustimmung verarbeiten kann, muss der Verbraucher aufgrund dieser zu umfassenden Informationen ratlos sein.
Daher ist es neben den Regelungen der Art. 12 bis 14 Datenschutz-Grundverordnung und den vorgeschlagenen Detailverbesserungen erforderlich, ein neues Informationskonzept zum Wohle des betroffenen Personals zu etablieren, nicht nur um den Verantwortlichen zu entlasten. Diese muss folgende Attribute der erforderlichen Datenschutzinformationen sicherstellen:
Es müssen diese Informationen
• Entscheidungsrelevant (Informationen, die für die unmittelbaren Folgemaßnahmen der betroffenen Person entscheidend sein können, damit sie sich entsprechend ihrer eigenen Situation für die Nutzung des Dienstes, die Aktivierung der Funktion oder die Einwilligung entscheiden kann)
nach Interesse (Informationen, die dem Interesse und der Aufmerksamkeit der betreffenden Person in ihrer jeweiligen Situation entsprechen. Sie müssen beispielsweise zwischen mehreren Ansichten wählen können: Symbole – Kurzinformationen – Nähere Informationen – Die gesamte Datenschutzerklärung) mit
Rechtzeitigkeit (Informationen erfolgen immer unmittelbar vor der betroffenen Person, die die Datenverarbeitung veranlasst hat, Maßnahmen zu ergreifen, sodass sie diese Maßnahme auch unterlassen kann)bereitgestellt werden.
In einem Smart Car muss es sich beispielsweise der Situation anpassen und mindestens drei Informationsebenen enthalten: Allgemeine Strukturinformationen sollten immer verfügbar sein – auf der Website – im Kaufvertrag als Hinweis und in den Allgemeinen Geschäftsbedingungen in. Bei der Nutzung der entsprechenden Funktion muss am Fahrzeug eine technische Anzeige erscheinen, die Funktion eingeschaltet und schließlich bei aktueller Nutzung des Fahrzeugs, beispielsweise auf dem Armaturenbrett, der aktuell genutzte Dienst angezeigt werden. Bei aktivierter Anzeige können Sie weitere Informationen zum Datenschutz abrufen. Untersuchungen zum Umsetzen von Transparenzanforderungen in Connected Cars zeigen, dass es einige grundsätzlich umsetzbare Methoden gibt, die jedoch getestet und weiterentwickelt werden müssen, um die Vernetzung mit der Infrastruktur zu vergrößern.
Auch Tests von Drittanbietern, denen die Verbraucher vertrauen, können helfen. Hierzu sehen Artikel 42 und Artikel 43 der Datenschutz-Grundverordnung als datenschutzrechtliche Neuerung eine freiwillige Zertifizierung der Datenschutzkonformität von Bewerbungen vor. Die Frage ist, welche rechtlichen und technischen Möglichkeiten bestehen, um Verbraucher zu unterstützen. Für einige Bereiche sollte eine Zertifizierung obligatorisch sein. Das Positionierungskriterium kann sein, dass, wenn das zur Verarbeitung personenbezogener Daten genutzte Produkt oder Dienstleistung zustimmungspflichtig ist, auch die datenschutzrechtliche Konformität der Datenverarbeitung in Form eines Zertifikats festgestellt werden muss. Dies gilt beispielsweise für viele Dienste und Produkte, die Gesundheitsdaten verarbeiten, oder für vernetzte und automatisierte Kraftfahrzeuge.
Die Umsetzung der Datenschutzgrundsätze kann durch eine konsequente datenschutzfreundliche technische Gestaltung erreicht werden. Insbesondere die Gestaltung komplexer Informationssysteme muss so erfolgen, dass der Datenschutz die Verbraucher nicht belästigt, sondern möglichst automatisch und angemessen erfolgt. Das digitale „andere Ich“ des Verbrauchers kann nach vordefinierten Kriterien automatisch seine Einwilligung geben und auch die Geräteeinstellungen können sich automatisch an seine Gedanken zum Datenschutz anpassen. „Alter ego“ kontrolliert die Einhaltung der Vorgaben des Auftragsverarbeiters.
Auf diese Weise kann auch bei immer komplexer werdender Datenverarbeitung die Kontrolle des Datenverarbeitungsvorgangs erreicht werden, ohne das entsprechende Personal zu überfordern. Dies kann nur erreicht werden, wenn die Technologie entsprechende Schnittstellen bereitstellt, über die das „andere Ich“ Kontakt mit ihr aufnehmen und Verbraucherspezifikationen kommunizieren kann.
Referenzen:
519 Roßnagel u.a., 2016, 130.
520 Siehe vergleichsweise zum Beispiel Verbraucherzentrale Bundesverband, 2017, 3; Krafft/Zweig, 2019, 42;Martini, 2019, 73 f.
521 Siehe vergleichsweise Art. 77ff. Datenschutz-Grundverordnung.
522 Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet sind, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind. S. umfassend zur Vertretung betroffener Personen, Verbandsbeschwerde und Verbandsklage Geminn,in: Jandt/Steidle, 2019, B. VI. Rn. 103ff.
523 Siehe vergleichsweise § 3 und 4 UKlaG.
524 Siehe vergleichsweise hierzu auch Europäische Kommission, Commission Staff Working Document, 20; Weichert, 2017, 13
525 Siehe vergleichsweise zur Berücksichtigung der Interessen Dritter Kap. 9.3.4.
526 Hierauf besteht die Europäische Kommission, Commission Staff Working Document, 15 f.
527 Siehe vergleichsweise hierzu auch Bundesregierung, in: Rat, ST 12756/1/19, 14 f.; für den Fall derDirektwerbung fordert dies auch Datenschutzkonferenz, Erfahrungsbericht,2019, 22.
528 Siehe vergleichsweise Kapitel 8.9 bis 8.13.
529 Siehe vergleichsweise hierzu auch Husemann, in: Roßnagel/Hornung, 2019, 367ff.
530 Siehe vergleichsweise zum Beispiel Bönninger/Eichelmann/Methner, in: Roßnagel/Hornung, 2019, 355ff.
531 Siehe vergleichsweise Roßnagel/Hornung, in: Roßnagel/Hornung, 2019, 475.
… Weiterlesen:
9e. DSGVO Beurteilung – Zukunft Weiterentwicklung Datenschutz DSGVO
[…] Vor DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9c Zukunft & Weiterentwicklung der […]