Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat am 6. November 2019 einen Bericht über die Erfahrungen bei der Anwendung der DSGVO verabschiedet. Die DSK kommt dabei u.a. – nicht abschliessend – zu folgenden Erfahrungen und Empfehlungen:
- Die DSGVO hat sich im Grundsatz bewährt. Es stellen sich in manchen Bereichen aber Fragen der Alltagstauglichkeit (z.B. bei der Informationspflicht). Hier befürworten die Behörden einzelne Erleichterungen im offline-Bereich, v.a. bei mündlichen oder telefonischen Kontakten oder bei der Entgegennahme einer Bestellung oder einer Visitenkarte oder dem Eintragen eines Termins. Hier soll eine gestufte Information genügen. Die Behörden schlagen vor, einen neuen Abs. in Art. 13 DSGVO einzufügen, mit einem Wortlaut, der stark an die „Erkennbarkeit“ im Sinne des schweizerischen Datenschutzgesetzes erinnert:
Die Informationen nach den Absätzen 1 und 2 werden nur auf Verlangen der betroffenen Person mitgeteilt, soweit der Verantwortliche Datenverarbeitungen vornimmt, die der Betroffene nach den konkreten Umständen erwartet oder erwarten muss und
- sowohl die Offenlegung von Daten gegenüber anderen Stellen als auch die Übermittlung in Drittländer ausgeschlossen sind,
- keine Daten verarbeitet werden, die unter Art. 9 DS-GVO fallen,
- die Daten nicht zu Zwecken der Direktwerbung verarbeitet werden und 4. weder Profiling noch automatisierte Entscheidungsfindungen stattfinden.
Die betroffene Person ist auf diese Möglichkeit hinzuweisen.
- Der Grundsatz von Data Protection by Design wird in der Praxis kaum umgesetzt: “Die DS-GVO sollte daher auch die Hersteller von Software zur Einhaltung dieses datenschutzfördernden Designprinzips verpflichten. In der Praxis trifft dies insb. auf Hersteller von komplexer Software wie z. B. Betriebssystemen, Datenbankmanagementsystemen, Standard-Office- Paketen oder sehr speziellen Fachanwendungen zu.“ Die DSK schlägt daher vor, eine Legaldefinition von „Hersteller“ neu aufzunehmen und sie bei Art. 24 DSGVO ausdrücklich entsprechenden Pflichten zu unterstellen, durch einen neuen Art. 24 Abs. 4:
4) Der Hersteller entwickelt und gestaltet seine Produkte, Dienste und Anwendungen unter Berücksichtigung des Rechts auf Datenschutz und des Standes der Technik so, dass er sicherstellt, dass Verantwortliche und Auftragsverarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen, ohne unzumutbare Änderungen an diesen Produkten, Diensten und Anwendungen vornehmen zu müssen. Er unterstützt sie bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30), bei der Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33) und bei der Benachrichtigung betroffener Personen (Art. 34), indem er ihnen auf Anfrage alle dazu notwendigen Informationen bereitstellt.
Entsprechend soll der Hersteller auch Adressat von Durchsetzungsmassnahmen und Haftungsansprüchen sein können (Änderungen von Art. 79 und 82). - Die Datenschutzkonferenz fordert eine Verschärfung des Rechtsrahmens für das Profiling, weil der “Prozess der Profilbildung als solcher von den meisten Normen der DS-GVO, etwa zur automatisierten Entscheidungsfindung, nicht erfasst [wird], sodass eine Beurteilung meist nur nach den allgemeinen Tatbeständen des Art. 6 DS-GVO erfolgt”.
- Beim Auskunftsrecht wäre eine Klarstellung erwünscht, ob und inwieweit ein „Recht auf Kopie“ besteht.
- Bei der Meldung von Datenschutzverletzungen sollte eine entsprechende Meldepflicht an die Behörden auch dann greifen können, wenn eine Verletzung der Datensicherheit feststeht, aber nur zur vermuten ist und nicht feststeht, ob diese auch zu einer Verletzung i.S.v. Art. 12 Nr. 4 DSGVO (bspw. einem unberechtigten Zugriff geführt hat. In diesem Fall soll eine Meldepflicht aber nur dann greifen, wenn die Sicherheitsverletzung zu einem „hohen“ Risiko der betroffenen Personen führt.
- Bei der Zweckbindung fragt sich, ob ein mit dem ursprünglichen Zweck kompatibler weiterer Zweck eine eigene Rechtsgrundlage braucht oder – infolge der Kompatibilität – direkt auf die Rechtsgrundlage des Erstzwecks gestützt werden kann. Hier möchte die DSK eine Klarstellung, dass der Zweitzweck eine eigene Rechtsgrundlage braucht. Dafür sol ErwGr 50 Satz 2 gestrichen werden („In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten“).
- Für die Direktwerbung solle in der DSGVO eine eigene Rechtsgrundlage bzw. Interessenabwägung aufgenommen werden.
- Beim Profiling brauche es eine Verschärfung des Rechtsrahmens: „Zu diesem Zweck sollte das Verbot der automatisierten Einzelentscheidung in Art. 22 DS-GVO um die Datenverarbeitung zu Zwecken der Profilbildung erweitert werden. Als Rechtsgrundlagen für das Profiling soll – neben einer spezialgesetzlichen Grundlage – allein eine Einwilligung oder ein Vertrag in Betracht kommen. Damit wird sichergestellt, dass ein Profiling nur stattfindet, wenn die betroffene Person sich dessen bewusst ist und damit einverstanden ist.“
Im Dokument findet sich eine Liste weiterer Änderungsvorschläge.