DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9e Zukunft & Weiterentwicklung der DSGVO (9E)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
Teil-9 Zukunftsfähigkeit (9E)
9.3.4. Negative Auswirkungen auf Dritte vermeiden
Die Verarbeitung personenbezogener Daten und die Verarbeitung anonymer Daten können die Entscheidungsfreiheit und die Entwicklung Dritter gefährden und ihnen auch eine diskriminierende Behandlung in Form einer Verschlechterung der gruppenbezogenen Behandlung zur Folge haben. Werden diese Daten zur Erstellung von statistischen Daten im Rahmen von Big-Data-Analysen und Selbstlernen verwendet, werden auch von Dritten algorithmenbasierte Entscheidungssysteme, Merkmalsauswertungen sowie Verhaltensvorhersagen und Einflussfaktoren erstellt, um hierfür ggf. Daten bereitzustellen Analysen.
Durch die Anonymität aller Merkmalsträger innerhalb des statistischen Rahmens mit gleichen Attributen und durch die Normalisierung der statistischen Beschreibung wirken diese Statistiken verhaltensbestimmend. Viele Verbraucher möchten sich ein „normales“ Verhalten zunutze machen, sofern dieses normale Verhalten als Grundlage für Lieferantenentscheidungen herangezogen werden kann. Darüber hinaus werden auf Basis der Kenntnis statistisch möglicher Verhaltensweisen und der statistisch möglichen Wirkung bestimmter Anreizmaßnahmen spezifische Verhaltenskontrollen implementiert. Für betroffene Dritte gilt das Datenschutzgesetz nicht.
Soweit es sich um die Verarbeitung anonymisierter Daten handelt, sind Datenschutzgesetze mangels Personenbezugs der Daten ausgeschlossen. Im Falle der Verarbeitung personenbezogener Daten werden diese Daten an andere Betroffene und nicht an Dritte weitergegeben. Sie können keine Betroffenenrechte geltend machen. Aufgrund der fehlenden Verwendung personenbezogener Daten wird der materielle Anwendungsbereich des Datenschutzrechts nicht offengelegt, sodass es kein wirksames Gesetz zum Schutz der Verbraucher vor dem Risiko gibt, statistische Verhaltensmuster zu erkennen. Sie können jedoch die Ausübung der Grundrechte und die demokratische Teilhabe gefährden.
Durch die Einteilung des Verhaltens im verhaltensstatistischen Modell in Konformität bzw. Nichtkonformität und indirekt zwingende Verhaltensanpassungen wird die Entscheidungs- und Verhaltensfreiheit tatsächlich eingeschränkt, was gerade das Recht auf informationelle Selbstbestimmung vermeiden soll. Dieses statistische Modell stärkt die Normen der Normalität und reduziert die „soziale Vielfalt“. Aber das ist eine Voraussetzung für Innovation und Demokratie.
Der Staat ist jedoch verpflichtet, die Grundrechte und die Bedingungen für die Umsetzung der Demokratie zu schützen. Wenn dies zum Schutz der Funktionen der Selbstbestimmung, der freien Entfaltung und der Demokratie erforderlich ist, bedarf es entsprechender Maßnahmen und sogar der Begründung angemessener Grundrechtseinschränkungen.
Rechtsschutzmaßnahmen können mit Einwilligung beginnen. Da der Einwilligende nur nachweisen kann, dass die Datenverarbeitung für ihn gerechtfertigt ist und den Interessen des Dritten nicht schaden kann, kann die Möglichkeit der Einwilligung, wenn sie nicht nur für den Einwilligenden, sondern auch für den Dritten Folgen hat, eingeschränkt werden . In bestimmten Verarbeitungsumgebungen kann sie beispielsweise als Grund für die Verarbeitung personenbezogener Daten ausgeschlossen oder zumindest zeitlich begrenzt werden.
Die Anforderungen an die Gültigkeit der Einwilligung können auch den behandelten Risiken angepasst werden. Sie kann beispielsweise davon abhängen, dass Verantwortliche erhöhte Transparenzpflichten einhalten und auch über die Folgen der Datenverarbeitung durch Dritte informieren müssen. Dann muss der Vertragspartner für die Folgen seiner Zustimmung verantwortlich sein. Zahlt die betroffene Person Rabatte, Boni oder sogar die kostenlose Nutzung des Dienstes und gibt ihre Daten offen und stimmt einer (fast) unbegrenzten Nutzung der Daten zu und kümmert sich nicht um die Daten, dann ist diese Vorgehensweise in erster Linie sinnvoll. Sich über negative Konsequenzen für andere zu sorgen oder diese bewusst in Kauf zu nehmen, tut gut. Diesem Ansatz steht jedoch entgegen, dass die Einwilligung in der Regel nicht die einzige Möglichkeit ist, statistische Stichproben oder Modelldaten zu erhalten. Die statistische Verarbeitung personenbezogener Daten kann auch auf Grundlage anderer Gesetze erfolgen.
Nach Art. 13 Abs. 3 und Art. 14 Abs. 4 Datenschutzgrundverordnung muss der Verantwortliche der betroffenen Person die Änderung des Zwecks der statistischen Verarbeitung personenbezogener Daten mitteilen. Diese Informationen kamen jedoch zu spät, um eine statistische Datenverarbeitung zu verhindern. Werden die Daten in diesem Zeitraum anonymisiert, fällt die Verarbeitung jedenfalls nicht in den Anwendungsbereich des Datenschutzrechts.
In den meisten Fällen sind betroffene Personen angehalten, (angeblich) kostenlose Dienste zu vermeiden, die sie dringend benötigen, da mit ihren Daten erstellte statistische Muster oder Modelle den Interessen Dritter schaden können.
Vor der Zustimmung oder Nutzung des Dienstes kann zudem schwer vorhersehbar sein, was mit den Daten passiert und wer Nachteile oder Vorteile bei der späteren Datenverarbeitung verursacht. Zudem liegt der Fokus einer späteren ungünstigen Datenverwendung nicht auf der betroffenen Person, sondern auf dem Verantwortlichen.
Daher muss der Schutz Dritter beim Verantwortlichen beginnen. Diese erhebt Daten der betroffenen Person und ist dafür verantwortlich, auf Basis dieser Daten statistische Stichproben oder Modelle als Grundlage für andere Nutzer zu erstellen. Auch wenn die für die Datenerhebung verantwortliche Person nicht die Person ist, die die statistische Stichprobe oder das statistische Modell erstellt hat, und die Person, die die Stichprobe oder das Modell auf einen Dritten angewendet hat, sind sie alle Verantwortliche, solange die Daten personenbezogen bleiben. Für den ersten, der die Daten erhebt, und den zweiten, der personenbezogene Daten in einem statistischen Modus usw. anonymisiert, ändert sich der Zweck und unterliegt dem Datenschutzrecht. Soweit das aus statistischen Daten gewonnene Entscheidungsmodell des Nutzers – im Rahmen der algorithmischen Datenverarbeitung – auf einen individualisierbaren Dritten angewendet wird, ist dieser für die Datenverarbeitung im Sinne des Datenschutzrechts verantwortlich.
Aus datenschutzrechtlicher Sicht führt diese Form der Datenverarbeitung zu mindestens drei Fragen: Auf welcher Rechtsgrundlage werden personenbezogene Daten zu solchen statistischen Zwecken erhoben und verarbeitet? Ergibt die Untersuchung nicht, dass die Einwilligung berechtigt ist, kann sie als berechtigtes Interesse im Sinne von Art. 6 DSGVO, Art. 1 U Abs. 1 Nr. 1 angesehen werden. Diese Klausel ermöglicht auch die Berücksichtigung berechtigter Interessen Dritter. Aber warum sollten wir nur die „Interessen bzw. Grundrechte und Grundfreiheiten der betroffenen Personen, die personenbezogene Daten schützen müssen“ abwägen und nicht die Interessen aller anderen Dritten? Eine Möglichkeit des Schutzes besteht darin, die Interessen oder Grundrechte und Grundfreiheiten Dritter in den Gesetzestext aufzunehmen.
Der Zweck wird in der Regel vor der statistischen Verarbeitung geändert. Da diese statistische Verarbeitung keine Ausnahme von der öffentlichen Statistik nach Art. 5 Abs. 1 lit. b Datenschutz-Grundverordnung darstellt, ist der Zweck der Zweckänderung nach Art. 6 Abs. 4 Datenschutz-Grundverordnung nur dann, wenn sie mit dem bisherigen Zweck vereinbar ist, erlaubt. In Artikel 6 Absatz 4 Datenschutz-Grundverordnung kann klargestellt werden, dass dies nicht der Fall ist, wenn die Daten als Material für selbstlernende, algorithmenbasierte Systeme oder Big-Data-Modelle für bestimmte Risikokategorien verwendet werden. Bei der Erstellung von statistischen Modellen und selbstlernenden sowie dem Training algorithmenbasierter Systeme müssen qualitative Anforderungen an die Daten und deren Verarbeitung gestellt und je nach Risikograd unterschiedliche Kontrollen durchgeführt werden. Vorschläge für solche Qualitätsanforderungen finden sich in Artikel 22 Absatz 4 der vorgeschlagenen Datenschutz-Grundverordnung.
Die Anwendung statistischer Modelle im Einzelfall ist nur dann datenschutzrechtlich geschützt, wenn es sich um die Verarbeitung personenbezogener Daten handelt. Soweit personenbezogene Daten durch ein algorithmusbasiertes Entscheidungsfindungssystem verarbeitet werden, fällt dies in den Anwendungsbereich des bestehenden oder – wie hier vorgeschlagen – des überarbeiteten Artikels 22 der Datenschutz-Grundverordnung. Die Kontrolle des Einflusses – insbesondere bei Diskriminierung – liegt jedoch außerhalb des Rahmens dieses Artikels. Letztlich liegt das Thema der negativen Auswirkungen der Datenverarbeitung auf Dritte außerhalb des Anwendungsbereichs des Datenschutzrechts, das den Schutz des Rechts auf informationelle Selbstbestimmung zum Ziel hat. Sie betrifft neben Selbstbestimmung und Selbstentfaltung auch Fragen der Gleichbehandlung, Justiz und Rechtsstaatlichkeit. Daher sollte bei diesem Thema nach einem Schutzkonzept gesucht werden, das den Datenschutz umfasst, aber über dessen Umfang hinausgeht. Dies gilt insbesondere für die Verwendung anonymer Daten. Dies wirft einerseits Fragen nach der Erlaubnis zur Nutzung der Ergebnisse von Big-Data-Analysen auf, andererseits nach der Notwendigkeit des Konzepts des anonymen Datenschutzes. Beispiele für dieses Schutzkonzept finden sich bereits außerhalb Europas. Japan hat beispielsweise im Rahmen einer umfassenden Reform seines Datenschutzrechts Regelungen zur sogenannten „anonymen Verarbeitung von Informationen“ eingeführt.
Dies sind personenbezogene Daten, die anonymisiert wurden und nichts mehr mit Einzelpersonen zu tun haben. Das japanische Datenschutzgesetz legt die Datensicherheitsmaßnahmen fest, die Datenverarbeiter für diese Art von Daten ergreifen müssen. Diese Maßnahmen beinhalten die Löschung von Personenbezügen und die Verarbeitung anonymisierter Daten. Darüber hinaus ist der Auftragsverarbeiter verpflichtet, Auskunft über die in den anonymen Daten enthaltenen Informationen zu geben. Darüber hinaus ist es auch untersagt, anonymisierte Daten mit anderen Daten zusammenzuführen, um den Personenbezug wiederherzustellen. Auch während des Anonymisierungsprozesses darf der Verantwortliche keine gelöschten, aber an anderer Stelle noch vorhandenen Merkmale erhalten. Werden diese Anforderungen jedoch nicht eingehalten, sieht das japanische Datenschutzgesetz keine Sanktionen vor. Bei Datenübermittlungen aus der Europäischen Union gelten die Daten erst dann als anonymisiert, wenn die Angaben zum Anonymisierungsverfahren unwiderruflich gelöscht sind und die betroffene Person nicht wieder identifiziert werden kann. Letzteres wurde in Japans Verfahren zur Feststellung der Angemessenheit eingeführt, was darauf hindeutet, dass es konzeptionelle Unterschiede gibt, die die EU daran hindern, Drittlandinstrumente direkt zu übernehmen. Dennoch können diese Vorbilder zu einem konzeptionelleren Denken anregen als allgemeine Datenschutzbestimmungen
Referenzen:
535 Siehe vergleichsweise hierzu näher Kapitel 6.2.
536 Siehe vergleichsweise zum Beispiel Weichert, ZD 2013, 251 ff.; Roßnagel, ZD 2013, 562 ff.
537 Siehe vergleichsweise Roßnagel/Nebel, DuD 2015, 455
538 Siehe vergleichsweise Roßnagel u.a., 2016, 130 f.
539 Siehe vergleichsweise hierzu auch Kapiitel 9.3.2.
540 Siehe vergleichsweise Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn. 107
541 Siehe vergleichsweise. zur Einteilung in Risikoklassen Krafft/Zweig, 2019, 31 ff.
542 Siehe vergleichsweise Kapitel 8.21.
543 Siehe vergleichsweise Kapitel 8.21.
544 Siehe vergleichsweise auch Verbraucherzentrale Bundesverband, 2017, 3; Schulz/Dreyer, 2018, 9;Krafft/Zweig, 2019, 16.
545 Siehe vergleichsweise hierzu umfassend Geminn/Laubach/Fujiwara, ZD 2018, 413. Man beachteauch den gescheiterten Versuch der Kriminalisierung einer Re-Identifizierungdurch die australische Privacy Amendment (Re-identificationOffence) Bill2016
546 Siehe vergleichsweise hierzu Fujiwara/Geminn/Roßnagel, ZD 2019, 204ff.; Tatsumi, CR 2019,424ff.; Geminn/Laubach, ZD 2019, 403ff.
… Weiterlesen:
9f. DSGVO Beurteilung – Zukunft Weiterentwicklung Datenschutz DSGVO
[…] Vor DSGVO-Beurteilung Großer Status Quo Mehrteiler/ Teil-9d Zukunft & Weiterentwicklung der […]