Das Jahr 2019 nähert sich dem Ende entgegen und vielerorts wird es Zeit für Jahresabschlüsse, Jahresberichte und Evaluationen. Ebenso hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Bericht über ihre Erfahrungen bei der Anwendung der DSGVO erstellt. Ziel der Bestandsaufnahme ist es, die Erkenntnisse deutscher Aufsichtsbehörden mit in den anstehenden Evaluierungsprozess nach Art. 97 DSGVO einfließen zu lassen.
Der Inhalt im Überblick
- DSK identifiziert 9 Schwerpunktthemen
- Nach wie vor Probleme bei der Umsetzung von Informationspflichten
- Pflicht zur Meldung von Datenschutzbeauftragten
- Meldepflicht bei Datenschutzpannen
- Datenschutz durch Technikgestaltung
- Werbung in Zeiten der DSGVO
- Das Erstellen von umfassenden Nutzerprofilen
- Datenschutz ist ein Langzeitprojekt
DSK identifiziert 9 Schwerpunktthemen
Der Bericht gliedert sich in nachfolgende Schwerpunktthemen. Darüber hinaus findet sich noch eine Liste mit kleineren Änderungsvorschlägen sowie die Hambacher Erklärung zur künstlichen Intelligenz.
- Alltagserleichterung & Praxistauglichkeit
- Datenpannenmeldungen
- Zweckbindung
- data protection by design
- Befugnisse der Aufsichtsbehörden und Sanktionspraxis
- Zuständigkeitsbestimmungen, Zusammenarbeit und Kohärenz
- Direktwerbung
- Profiling
- Akkreditierung
In diesem Beitrag sollen einzelne Themen aufgegriffen und ergänzt mit eigenen Erfahrungen dargestellt werden:
Nach wie vor Probleme bei der Umsetzung von Informationspflichten
Zunächst widmet sich die DSK dem Thema Praxistauglichkeit der DGSVO und ihrer Alltagsumsetzung. Dabei merkt sie an, dass die Erfüllung von Informationspflichten aus Art. 13 und 14 DSGVO insbesondere kleinere Verantwortliche, wie etwa KMU oder Vereine weiterhin vor große Umsetzungsprobleme stellt. Auch besteht Unsicherheit darüber, wie Informationspflichten etwa bei telefonischer Terminabsprache oder telefonischem Vertragsschluss rechtswirksam erbracht werden können.
Keine Befreiung von Infopflichten
Von dem teilweise geforderten Lösungsansatz, eine Ausnahme der Informationspflichten für Vereine und KMU mit unter 250 Mitarbeitern zu schaffen hält die DSK jedoch nichts. Ziel der Normen sei es, die Betroffenen in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ über die jeweilige Verarbeitungstätigkeit zu informieren. Die Unternehmensgröße dürfe hierbei jedoch keine Rolle spielen. Die DSK räumt jedoch ein, dass die Informationspflichten zumindest in bestimmten „nicht digitalen Sachverhalten“, also in der Offline-Welt, nicht immer praxisgerecht zu erfüllen sind. Vor allem bei mündlichen oder telefonischen Kontakten im geschäftlichen Bereich sei es lebensfremd zu erwarten, dass der Verantwortliche umfassende Informationen im Sinne des Art. 13 DSGVO am Telefon erteilt.
Sie spricht sich daher dafür aus, die notwendigen Informationen auch in einem gestuften Verfahren erteilt werden könne, etwa zeitgleich mit Übersendung einer Auftragsbestätigung.
Spannend ist der Vorschlag der DSK, einen neuen Absatz in Art. 13 DSGVO einzufügen. Danach sollen die Informationen des Abs. 1 und 2 nur noch auf Verlangen der betroffenen Person mitgeteilt werden, soweit der Verantwortliche Datenverarbeitungen vornimmt, mit denen der Einzelne rechnen durfte. Die Pflicht zur Information soll jedoch bestehen bleiben, wenn Daten an Drittländer übermittelt werden, besonders sensible Daten verarbeitet werden oder die Daten zum Zwecke der Direktwerbung verarbeitet werden.
Informationspflichten schaffen Transparenz und Bewusstsein
Informationspflichten mögen die Verantwortlichen vor einen nicht immer nachvollziehbaren Aufwand stellen. Gleichwohl sollte die Axt an dieser Stelle gemäßigt angelegt werden zumal es bereits Ausnahmetatbestände gibt. Erstens schaffen Informationspflichten Transparenz für den künftig von der Verarbeitung Betroffenen. Zweitens zwingen Sie den Verantwortlichen sich stets mit dem Ausmaß seiner Verarbeitung auseinanderzusetzen: Welche Rechtsgrundlage legitimiert meine Erhebung? Zu welchen Zwecken verarbeite ich die erhobenen personenbezogenen Daten überhaupt?
Nichtsdestotrotz sollte man an den Zeitpunkt und die Art und Weise der Informationserteilung künftig großzügigere Regelungen schaffen. Informationen „zum Zeitpunkt der Erhebung“ (Art. 13 Abs. 1 DSGVO) sind zwar wünschenswert, viel wichtiger ist jedoch, dass die Informationen überhaupt zur Kenntnis genommen werden. In räumlich, zeitlicher Nähe die Möglichkeit einer Kenntnisnahme zu schaffen könnte künftig im Einzelfall durchaus ausreichend sein.
Pflicht zur Meldung von Datenschutzbeauftragten
Die DSK bemängelt ferner die fehlende Praxistauglichkeit des Art. 37 Abs. 7 DSGVO. Derzeit besteht die Pflicht des Verantwortlichen der Aufsichtsbehörde die Kontaktdaten der Datenschutzbeauftragten mitzuteilen und stets auf dem aktuellen Stand zu halten. Das Melden und beständige Aktualisieren von Kontaktdaten bei den Behörden hält sie indes für nutzlosen bürokratischen Aufwand. Der Verantwortliche sei ohnehin zur Veröffentlichung verpflichtet. Es besteht daher keine Notwendigkeit zusätzlich die Behörden zu informieren.
Die DSK wünscht sich daher folgerichtig, dass in Art. 37 Abs. 7 DSGVO der letzte Halbsatz gestrichen werden sollte. Die Kontaktaufnahme mit dem Verantwortlichen durch die Behörde ist ohnehin durch weitergehende Veröffentlichungspflichten gewährleistet (Impressumspflicht, Handelsregister etc.). Sofern es um die Aufklärung von vermeintlichen Verstößen geht, sind die Behörden darüber hinaus gemäß Art. 58 Abs. 1 DSGVO mit umfassenden Untersuchungsbefugnissen ausgestattet. Eine Abfrage des aktuellen Datenschutzbeauftragten im Bedarfsfall erscheint daher begrüßenswert.
Meldepflicht bei Datenschutzpannen
Die DSK kritisiert, dass nach Art. 33 Abs. 1 DSGVO grundsätzlich jede Datenschutzverletzung der Aufsichtsbehörde zu melden ist. Eine Ausnahme besteht nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für Verantwortliche sei mitunter schwierig, einzuschätzen, wann ein solches Risiko nicht gegeben ist. Viele Verantwortliche würden aus Furcht vor hohen Bußgeldern melden, ohne überhaupt eine Risikoabwägung durchzuführen.
Da ein Risiko für die Rechte und Freiheiten in der Regel jedoch nie vollkommen ausgeschlossen werden kann schlägt die DSK vor, die Meldepflicht künftig auf Fälle zu beschränken, die voraussichtlich zu einem „mehr als nur geringen Risiko“ führen.
In der Tat besteht in der Praxis häufig die Unsicherheit, wann welcher Vorfall gemeldet werden muss. Es ist nachvollziehbar, wenn Verantwortliche lieber einmal mehr als zu wenig melden und somit auch eine Vielzahl von Bagatellfällen bei den Aufsichtsbehörden zur Bearbeitung landen. Der Vorschlag erst bei einem „mehr als nur geringen Risiko“ zu melden dürfte an der allgemeinen Verunsicherung nicht viel ändern. Abfangen sollte dies ein interner Prozess in enger Abstimmung mit dem Datenschutzbeauftragten. Dieser kann meistens das Risiko besser einschätzen und beurteilen, wann ein meldepflichtiger Vorfall tatsächlich vorliegt.
Datenschutz durch Technikgestaltung
Die DSK bemängelt, dass die Grundsätze “data protection by design / data protection by default” gemäß Art. 25 Abs. 1 DSGVO lediglich für die Verantwortlichen vorgeschrieben sind. Sie fordert daher, künftig auch die Hersteller von Hard- und Software stärker in die Pflicht zu nehmen. Verantwortliche seien in der Regel auf nahezu Standardbetriebssysteme und -anwendungssoftware angewiesen. Das Gesetz sehe jedoch keine Anreize für Hersteller vor, bereits in der Entwicklung ihrer Produkte den Datenschutzproblematiken hinreichend zu bedenken. Orientieren möchte sich die DSK hierbei am Produkthaftungsrecht. Danach haften Hersteller für Schäden, die durch ihre fehlerhaften Produkte entstehen.
Die DSK trifft hier den Nagel auf den Kopf. In der Praxis kommen viele Unternehmen ohne die Angebote der großen Hard- und Softwareriesen nicht aus. Deren Marktmacht ist gleichwohl so dominant, dass die Aufsichtsbehörden bisher versucht haben, über den Druck auf die Kleinen den Druck auf die Großen zu erhöhen. Paradebeispiele sind hier der Einsatz von Windows 10 sowie Office 365 mit ihren nicht unerheblichen datenschutzrechtlichen Problemen.
Ob dieser drastische Schritt bei einer Novellierung der Verordnung tatsächlich Berücksichtigung findet, darf eher bezweifelt werden. Gleichwohl wäre (zumindest) eine transparentere, sanktionsfähige, Informationspflicht für die vom Hersteller werkseitig implementierten Verarbeitungsprozesse eine Wohltat für alle Beteiligten.
Werbung in Zeiten der DSGVO
Kurz gesagt: Die DSK wünscht sich beim Thema Direktwerbung vom Gesetzgeber deutlichere Vorgaben. Erwägungsgrund 47 sei diesbezüglich zu unpräzise, da er lediglich den Anhaltspunkt gebe, dass Direktwerbung auf das berechtigte Interesse des Werbenden gestützt werden könne.
Die Konferenz macht an dieser Stelle auch auf die unterschiedlichen Traditionen der Mitgliedstaaten aufmerksam, so dass auch die Erwartungen der Betroffenen, die bei der Interessenabwägung zu berücksichtigen sind, durchaus divers sein können.
Im Kern wird dies neben Direktwerbung wohl auch auf weitere Verarbeitungstätigkeiten aufgrund berechtigter Interessen zutreffen. Gerade weil Werbung viele Wirtschaftsbereiche betrifft und am Ende oftmals auch einzelne Verbraucher betroffen sein können ist der Wunsch nach einer gewissen gesetzgeberischen „Profiltiefe“ sicherlich wünschenswert. Hier werden künftig auch Gerichtsentscheidungen helfen müssen, die Auslegung der Gesetze mit Leben zu füllen.
Das Erstellen von umfassenden Nutzerprofilen
Die DSK hält die Bildung von persönlichen Profilen und deren kommerzielle und politische Auswertung für eine der zentralen datenschutzpolitischen Herausforderungen unserer Zeit. Sie kritisiert, dass die Normen der DSGVO zwar den Begriff des Profiling erwähnt, die Profilbildung selbst gleichwohl von den meisten Normen nicht erfasst wird. Gerade aber das umfassende Anlegen, Auswerten und Analysieren von Datensätzen eröffnet die Möglichkeit das Verhalten von Einzelnen womöglich zu steuern und vorherzusagen (Cambridge Analytica lässt grüßen).
Um das Problem zu lösen, schlägt die DSK eine Verschärfung der Rechtslage vor. Der Profilbildung mithilfe personenbezogener Daten sollen effektive und durchsetzbare Grenzen gesetzt werden. Sie fordert daher, das Verbot der automatisierten Einzelentscheidung in Art. 22 DSGVO um die Datenverarbeitung zu Zwecken der Profilbildung zu erweitern. Als Rechtsgrundlage dürfe künftig neben spezialgesetzlichen Grundlagen einzig die Einwilligung des Betroffenen oder ein Vertrag in Betracht kommen.
Datenschutz ist ein Langzeitprojekt
Der Bericht zeigt, dass viele Bereiche der DSGVO nach wie vor an Kinderkrankheiten leiden. Es bleibt abzuwarten, inwieweit die Vorschläge der DSK in Brüssel Gehör finden werden. Fakt ist, es ist noch kein Meistergesetz vom Himmel gefallen aber dran bleiben lohnt sich!