DSK: Erfah­rungs­be­richt zur DSGVO; Vor­schlag von Erleich­te­run­gen und Ver­schär­fun­gen

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz, DSK) hat am 6. Novem­ber 2019 einen Bericht über die Erfah­run­gen bei der Anwen­dung der DSGVO ver­ab­schie­det. Die DSK kommt dabei u.a. – nicht abschlie­ssend – zu fol­gen­den Erfah­run­gen und Emp­feh­lun­gen:

  • Die DSGVO hat sich im Grund­satz bewährt. Es stel­len sich in man­chen Berei­chen aber Fra­gen der All­tags­taug­lich­keit (z.B. bei der Infor­ma­ti­ons­pflicht). Hier befür­wor­ten die Behör­den ein­zel­ne Erleich­te­run­gen im off­­li­ne-Bereich, v.a. bei münd­li­chen oder tele­fo­ni­schen Kon­tak­ten oder bei der Ent­ge­gen­nah­me einer Bestel­lung oder einer Visi­ten­kar­te oder dem Ein­tra­gen eines Ter­mins. Hier soll eine gestuf­te Infor­ma­ti­on genü­gen. Die Behör­den schla­gen vor, einen neu­en Abs. in Art. 13 DSGVO ein­zu­fü­gen, mit einem Wort­laut, der stark an die „Erkenn­bar­keit“ im Sin­ne des schwei­ze­ri­schen Daten­schutz­ge­set­zes erin­nert:

    Die Infor­ma­tio­nen nach den Absät­zen 1 und 2 wer­den nur auf Ver­lan­gen der betrof­fe­nen Per­son mit­ge­teilt, soweit der Ver­ant­wort­li­che Daten­ver­ar­bei­tun­gen vor­nimmt, die der Betrof­fe­ne nach den kon­kre­ten Umstän­den erwar­tet oder erwar­ten muss und

    1. sowohl die Offen­le­gung von Daten gegen­über ande­ren Stel­len als auch die Über­mitt­lung in Dritt­län­der aus­ge­schlos­sen sind,
    2. kei­ne Daten ver­ar­bei­tet wer­den, die unter Art. 9 DS-GVO fal­len,
    3. die Daten nicht zu Zwecken der Direkt­wer­bung ver­ar­bei­tet wer­den und 4. weder Pro­filing noch auto­ma­ti­sier­te Ent­schei­dungs­fin­dun­gen statt­fin­den.
      Die betrof­fe­ne Per­son ist auf die­se Mög­lich­keit hin­zu­wei­sen.
  • Der Grund­satz von Data Pro­tec­tion by Design wird in der Pra­xis kaum umge­setzt: “Die DS-GVO soll­te daher auch die Her­stel­ler von Soft­ware zur Ein­hal­tung die­ses daten­schutz­för­dern­den Design­prin­zips ver­pflich­ten. In der Pra­xis trifft dies insb. auf Her­stel­ler von kom­ple­xer Soft­ware wie z. B. Betriebs­sy­ste­men, Daten­bank­ma­nage­ment­sy­ste­men, Stan­­dard-Office- Pake­ten oder sehr spe­zi­el­len Fach­an­wen­dun­gen zu.“ Die DSK schlägt daher vor, eine Legal­de­fi­ni­ti­on von „Her­stel­ler“ neu auf­zu­neh­men und sie bei Art. 24 DSGVO aus­drück­lich ent­spre­chen­den Pflich­ten zu unter­stel­len, durch einen neu­en Art. 24 Abs. 4:

    4) Der Her­stel­ler ent­wickelt und gestal­tet sei­ne Pro­duk­te, Dien­ste und Anwen­dun­gen unter Berück­sich­ti­gung des Rechts auf Daten­schutz und des Stan­des der Tech­nik so, dass er sicher­stellt, dass Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nach­zu­kom­men, ohne unzu­mut­ba­re Ände­run­gen an die­sen Pro­duk­ten, Dien­sten und Anwen­dun­gen vor­neh­men zu müs­sen. Er unter­stützt sie bei der Erstel­lung des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30), bei der Mel­dung einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten (Art. 33) und bei der Benach­rich­ti­gung betrof­fe­ner Per­so­nen (Art. 34), indem er ihnen auf Anfra­ge alle dazu not­wen­di­gen Infor­ma­tio­nen bereit­stellt.
    Ent­spre­chend soll der Her­stel­ler auch Adres­sat von Durch­set­zungs­mass­nah­men und Haf­tungs­an­sprü­chen sein kön­nen (Ände­run­gen von Art. 79 und 82).

  • Die Daten­schutz­kon­fe­renz for­dert eine Ver­schär­fung des Rechts­rah­mens für das Pro­filing, weil der “Pro­zess der Pro­fil­bil­dung als sol­cher von den mei­sten Nor­men der DS-GVO, etwa zur auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung, nicht erfasst [wird], sodass eine Beur­tei­lung meist nur nach den all­ge­mei­nen Tat­be­stän­den des Art. 6 DS-GVO erfolgt”.
  • Beim Aus­kunfts­recht wäre eine Klar­stel­lung erwünscht, ob und inwie­weit ein „Recht auf Kopie“ besteht.
  • Bei der Mel­dung von Daten­schutz­ver­let­zun­gen soll­te eine ent­spre­chen­de Mel­de­pflicht an die Behör­den auch dann grei­fen kön­nen, wenn eine Ver­let­zung der Daten­si­cher­heit fest­steht, aber nur zur ver­mu­ten ist und nicht fest­steht, ob die­se auch zu einer Ver­let­zung i.S.v. Art. 12 Nr. 4 DSGVO (bspw. einem unbe­rech­tig­ten Zugriff geführt hat. In die­sem Fall soll eine Mel­de­pflicht aber nur dann grei­fen, wenn die Sicher­heits­ver­let­zung zu einem „hohen“ Risi­ko der betrof­fe­nen Per­so­nen führt.
  • Bei der Zweck­bin­dung fragt sich, ob ein mit dem ursprüng­li­chen Zweck kom­pa­ti­bler wei­te­rer Zweck eine eige­ne Rechts­grund­la­ge braucht oder – infol­ge der Kom­pa­ti­bi­li­tät – direkt auf die Rechts­grund­la­ge des Erst­zwecks gestützt wer­den kann. Hier möch­te die DSK eine Klar­stel­lung, dass der Zweit­zweck eine eige­ne Rechts­grund­la­ge braucht. Dafür sol Erw­Gr 50 Satz 2 gestri­chen wer­den („In die­sem Fall ist kei­ne ande­re geson­der­te Rechts­grund­la­ge erfor­der­lich als die­je­ni­ge für die Erhe­bung der per­so­nen­be­zo­ge­nen Daten“).
  • Für die Direkt­wer­bung sol­le in der DSGVO eine eige­ne Rechts­grund­la­ge bzw. Inter­es­sen­ab­wä­gung auf­ge­nom­men wer­den.
  • Beim Pro­filing brau­che es eine Ver­schär­fung des Rechts­rah­mens: „Zu die­sem Zweck soll­te das Ver­bot der auto­ma­ti­sier­ten Ein­zel­ent­schei­dung in Art. 22 DS-GVO um die Daten­ver­ar­bei­tung zu Zwecken der Pro­fil­bil­dung erwei­tert wer­den. Als Rechts­grund­la­gen für das Pro­filing soll – neben einer spe­zi­al­ge­setz­li­chen Grund­la­ge – allein eine Ein­wil­li­gung oder ein Ver­trag in Betracht kom­men. Damit wird sicher­ge­stellt, dass ein Pro­filing nur statt­fin­det, wenn die betrof­fe­ne Per­son sich des­sen bewusst ist und damit ein­ver­stan­den ist.“

Im Doku­ment fin­det sich eine Liste wei­te­rer Ände­rungs­vor­schlä­ge.