Content

Alexander Roßnagel, Christian Geminn

Datenschutz-Grundverordnung verbessern

Änderungsvorschläge aus Verbrauchersicht

1. Edition 2020, ISBN print: 978-3-8487-7706-8, ISBN online: 978-3-7489-2099-1, https://doi.org/10.5771/9783748920991

Series: Der Elektronische Rechtsverkehr, vol. 43

CC-BY-NC-ND

Bibliographic information
Änderungsvorschläge aus Verbrauchersicht Datenschutz-Grundverordnung verbessern Alexander Roßnagel | Christian Geminn Der Elektronische Rechtsverkehr 43 Nomos Der Elektronische Rechtsverkehr Herausgegeben von Prof. Dr. Alexander Roßnagel und Prof. Dr. Gerrit Hornung, LL.M. in Zusammenarbeit mit dem TeleTrusT Deutschland e.V. Band 43 BUT_Rossnagel_7706-8.indd 2 10.08.20 11:35 Alexander Roßnagel | Christian Geminn Datenschutz-Grundverordnung verbessern Änderungsvorschläge aus Verbrauchersicht Nomos BUT_Rossnagel_7706-8.indd 3 10.08.20 11:35 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. 1. Auflage 2020 © Alexander Roßnagel | Christian Geminn Publiziert von Nomos Verlagsgesellschaft mbH & Co. KG Waldseestraße 3-5 | 76530 Baden-Baden www.nomos.de Gesamtherstellung: Nomos Verlagsgesellschaft mbH & Co. KG Waldseestraße 3-5 | 76530 Baden-Baden ISBN (Print): 978-3-8487-7706-8 ISBN (ePDF): 978-3-7489-2099-1 DOI: https://doi.org/10.5771/9783748920991 Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz. Onlineversion Nomos eLibrary BUT_Rossnagel_7706-8.indd 4 10.08.20 11:35 Vorwort Die Datenschutz-Grundverordnung ist ein großer Wurf. Sie regelt erstmals für die gesamte Europäische Union einheitlich und unmittelbar die Grundsätze einer zentralen Gestaltungsaufgabe aller Bereiche der digitalen Gesellschaft, nämlich der Verarbeitung personenbezogener Daten. Die Verordnung hat globale Dimensionen und dient vielen Staaten als Vorbild für einen dritten Weg der Entwicklung in die digitale Welt: Zwischen dem Modell des rücksichtslosen kalifornischen Datenkapitalismus und dem Modell der totalen chinesischen Überwachungsdiktatur zeigt die Datenschutz-Grundverordnung einen Entwicklungspfad. Sie gibt die Richtung an, wie die Nutzung personenbezogener Daten für gesellschaftliche, ökonomische und staatliche Zwecke mit der Achtung und dem Schutz von Grundrechten und Freiheiten vereinbart werden kann. Die Datenschutz-Grundverordnung ist ein erster Wurf. Sie ist das Ergebnis des Versuchs, für die Gesellschaften, Volkswirtschaften und Staaten der Europäischen Union ein einheitliches normatives Grundgerüst des Datenschutzes zu bauen. Sie ist das Ergebnis eines mühsamen Aushandlungsprozesses, der Kompromisse zwischen vieldimensionalen Interessengegensätzen und gegebenen Machteinflüssen finden musste. Sie ist das Resultat von unterschiedlichen normativen Ordnung- und Entwicklungsvorstellungen, und Wirkungsprognosen, die die vielen und vielfältigen Praxisprobleme gar nicht kennen konnten, die bei ihrer Umsetzung in allen von ihr erfassten Wirtschafts-, Verwaltungs- und Gesellschaftsbereichen entstehen. Sie ist schließlich ein mühsamer Versuch, die aus unterschiedlichsten Einflüssen entstandenen Einzelregelungen nachträglich in einem in sich stimmigen Gesetzeswerk zu systematisieren. Aus diesen Gründen verwundert es nicht, dass bereits vier Jahre nach Inkrafttreten und zwei Jahre nach Geltungsbeginn in der Praxis des Datenschutzes Handwerksfehler, Inkonsistenzen, Wertungswidersprüche, Regelungslücken und Überregulierungen deutlich werden. Sie verursachen Unverständnis, Abwehrhaltungen, Rechtsunsicherheiten, Investitionsstau, Vollzugshemmnisse und Handlungsbarrieren. Gerade gegenüber neuen Herausforderungen der Digitalisierung zeigen sich Schutzlücken, die befürchten lassen, dass das Datenschutzrecht nicht geeignet ist, auch künftig ausreichenden Grundrechtsschutz zu gewährleisten. Diese Defizite verhindern, dass die Datenschutz-Grundverordnung in der Lage ist, das Ziel ei- 5 nes einheitlichen, rechtssicheren und effektiven Datenschutzes zu erreichen. Um ihren eigenen Zielen und ihrer globalen Vorbildfunktion gerecht zu werden, ist die Datenschutz-Grundverordnung dadurch zu verbessern, dass ihre erkannten Defizite beseitigt werden. Hierfür bot die Evaluierung der Verordnung 2020 eine gute Gelegenheit. In der Evaluation sollten insbesondere die Defizite aufgedeckt und Lösungen diskutiert werden. Geeignete Verbesserungsvorschläge sollten in einem Überarbeitungsprozess umgesetzt werden. Wie im Entstehungsprozess der Datenschutz-Grundverordnung wurden auch im Evaluationsprozess aus den Blickwinkeln der unterschiedlichsten Interessen Wirkungsanalysen und normative Gestaltungsvorschläge vorgetragen. Ein sehr wichtiges, aber seiner Bedeutung meist nicht angemessen gewürdigtes Interessenbündel ist das der Verbraucher, die weitgehend mit den „betroffenen Personen“ identisch sind. Bei einer Überprüfung aus der Sicht der Verbraucher geht es also überwiegend um die Personen, deren informationelle Selbstbestimmung durch das Datenschutzrecht geschützt und gestärkt werden soll. Dass diese und viele andere Stellungnahmen im Bericht der Europäischen Kommission über die Evaluation der Datenschutz-Grundverordnung vom 24. Juni 2020 ignoriert wurden, ist enttäuschend. Dass der Bericht sich ausschließlich mit ausgewählten Aspekten der Umsetzung der Datenschutzgrundverordnung befasst, ist kurzsichtig. Dass kein einziger Vorschlag zur Verbesserung der Datenschutz-Grundverordnung auch nur erörtert wurde, ist für die Zukunftsfähigkeit des Datenschutzrechts in der Europäische Union schädlich. Dennoch muss und wird die öffentliche Diskussion um notwendige und mögliche Verbesserungen der Datenschutz- Grundverordnung weitergehen. Das Ziel dieses Buches ist es, Verbesserungsnotwendigkeiten aufzudecken, Verbesserungsmöglichkeiten zu erkennen und Verbesserungsvorschläge aus der Sicht der Verbraucher zu erarbeiten und vorzustellen. Es beruht in seiner Grundstruktur und in wesentlichen Ergebnissen auf einem Rechtsgutachten, das die Autoren für den Verbraucherzentrale Bundesverband (vzbv) erstellt haben. Es diente diesem als argumentative Grundlage dafür, sich in der Debatte um die Evaluation der Datenschutz- Grundverordnung und um die künftige Fortentwicklung des Datenschutzrechts in der Europäischen Union zu positionieren. Das Rechtsgutachten wurde im November 2019 abgeschlossen und vom vzbv im Internet veröffentlicht. Für das Buch wurde das Rechtsgutachten im Rahmen des Projekts „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“, das Vorwort 6 vom Bundesministerium für Bildung und Forschung gefördert wird, intensiv überarbeitet und aktualisiert. Zum einen wurde neuere Literatur – auch zur Evaluation der Datenschutz-Grundverordnung – berücksichtigt. Zum anderen wurden zahlreiche Stellungnahmen zur Evaluation von Rat und Kommission, Mitgliedstaaten, Bundesregierung und Bundesrat sowie Verbänden und Organisationen in die Ausarbeitung integriert und der Evaluationsbericht der Europäischen Kommission vom 24. Juni 2020 berücksichtigt. Drittens erfolgten auf kritische Anmerkungen hin zahlreiche Präzisierungen, Klarstellungen und Erläuterungen der Analysen, Bewertungen und Änderungsvorschläge. Außerdem wurden zusätzliche Erkenntnisse zum Änderungsbedarf der Verordnung gewonnen und weitere Verbesserungsvorschläge erarbeitet. Die in diesem Buch präsentierten Analysen, Bewertungen und Vorschläge sollen dazu beitragen, Argumente für die notwendige Diskussion zur Fortentwicklung des Datenschutzrechts in der Europäischen Union zu liefern und Möglichkeiten aufzuzeigen, wie Grundrechte und Freiheiten in der Entwicklung zu einer digitalen Welt besser gefördert und geschützt werden können. Kassel, Juli 2020 Alexander Roßnagel Christian Geminn Vorwort 7 Inhaltsverzeichnis Einführung1 15 Status quo des europäischen Datenschutzrechts1.1 16 Herausforderungen für den Verbraucherdatenschutz1.2 18 Zielsetzungen und Gliederung1.3 20 Evaluation der Datenschutz-Grundverordnung2 23 Rechtlicher Rahmen2.1 23 Stellungnahmen2.2 24 Bilanz der Kommission2.2.1 25 Mitgliedstaaten2.2.2 26 Rat2.2.3 27 Europäischer Datenschutzausschuss2.2.4 28 Bundesregierung2.2.5 28 Bundesrat2.2.6 29 Datenschutzkonferenz2.2.7 29 Zivilgesellschaft2.2.8 30 Evaluation der Europäischen Kommission2.3 31 Die Datenschutz-Grundverordnung aus Verbrauchersicht3 39 Ausübung persönlicher oder familiärer Tätigkeiten3.1 39 Datenschutzrisiken3.1.1 41 Beschränkte Anwendung der Datenschutz- Grundverordnung 3.1.2 43 Aufenthaltsprinzip3.2 44 Grundsätze der Datenverarbeitung3.3 46 Grundsatz der Fairness3.3.1 46 Grundsatz der Datenvermeidung3.3.2 47 Einwilligung und andere Erlaubnistatbestände3.4 49 Bestimmung des Vertragszwecks3.5 53 Verarbeitung der Daten von Kindern3.6 55 9 Informationspräsentation3.7 62 Interessengerechte und an der Aufnahmekapazität ausgerichtete Information 3.7.1 63 Mediengerechte Information3.7.2 64 Situationsadäquate Information3.7.3 64 Information durch Bildsymbole3.7.4 66 Technik- und bereichsspezifische Informationen3.7.5 66 Informationspflichten des Verantwortlichen3.8 67 Informationen über Empfänger3.8.1 67 Konflikt zwischen rechtlich geschützten Geheimnissen und Informationspflicht 3.8.2 67 Informationen über automatisierte Entscheidungsverfahren 3.8.3 68 Information über Profiling3.8.4 70 Das Auskunftsrecht der betroffenen Person3.9 71 Auskunft über Empfänger3.9.1 71 Auskunft über automatisierte Entscheidungsverfahren3.9.2 72 Recht auf Erhalt einer Kopie3.9.3 72 Das Recht auf Datenübertragung3.10 76 Anwendungsbereich der Vorschrift3.10.1 77 Beschränkung auf geltende Einwilligungen oder Verträge 3.10.2 79 Form der Datenübertragung3.10.3 80 Automatisierte Entscheidungen im Einzelfall3.11 82 Ausweitung des Anwendungsbereichs der Vorschrift3.11.1 82 Automatisierte Entscheidungen Dritter als Bedingung3.11.2 85 Qualitative Anforderungen3.11.3 86 Pflicht zur Erläuterung der Entscheidung3.11.4 86 Nichtabdingbarkeit von Rechten der betroffenen Person3.12 87 Anforderungen an Profiling3.13 88 Datenschutz durch Systemgestaltung3.14 90 Unbestimmtheit der Gestaltungspflicht3.14.1 90 Fehlende Verpflichtung der Hersteller3.14.2 91 Gestaltungsmacht der Verantwortlichen3.14.3 93 Datenschutz durch datenschutzfreundliche Voreinstellungen3.15 94 Effektive Datenschutzaufsicht3.16 95 Inhaltsverzeichnis 10 Sanktionen3.17 96 Handlungsbedarf4 99 Handlungsbedarf zu den allgemeinen Bestimmungen (Kapitel I) 4.1 100 Handlungsbedarf zu den Grundsätzen (Kapitel II)4.2 101 Handlungsbedarf zu den Rechten der betroffenen Person (Kapitel III) 4.3 103 Handlungsbedarf zu den Pflichten des Verantwortlichen, Auftragsverarbeiters und Herstellers (Kapitel IV) 4.4 109 Handlungsbedarf zu den unabhängigen Aufsichtsbehörden (Kapitel VI) 4.5 113 Handlungsbedarf zu Rechtsbehelfen, Haftung und Sanktionen (Kapitel VIII) 4.6 113 Regelungsvorschläge5 115 Aufenthaltsprinzip5.1 115 Datenschutzrechtliche Grundsätze5.2 116 Vorrang der Einwilligung5.3 116 Bestimmung des Vertragszwecks5.4 117 Prüfung der Vereinbarkeit von Verarbeitungszwecken5.5 118 Ausschluss der Einwilligung eines Kindes in Werbung und Profiling 5.6 118 Ausschluss der Einwilligung eines Kindes in die Verarbeitung besonderer Kategorien personenbezogener Daten 5.7 118 Beschränkung der Information auf die nächstfolgende Datenverarbeitung 5.8 119 Ausgleich zwischen Informationspflicht und Geheimnisschutz5.9 120 Zeitnahe relevante Information über die Datenerhebung5.10 121 Information über Empfänger5.11 121 Information bei automatisierten Entscheidungsverfahren5.12 122 Information über Profiling5.13 123 Informationserleichterung5.14 123 Inhaltsverzeichnis 11 Auskunft über Empfänger5.15 124 Auskunft über automatisierte Entscheidungsverfahren5.16 125 Auskunft über Profiling5.17 125 Recht auf eine Kopie5.18 126 Recht auf Datenübertragung5.19 127 Schutz von Kindern im Rahmen eines Widerspruchs5.20 128 Automatisierte Entscheidungen im Einzelfall5.21 129 Protokollierung der Datenübertragungen und der Empfänger5.22 131 Nichtabdinbarkeit der Rechte der betroffenen Person5.23 131 Pflichten für Hersteller5.24 132 Datenschutz durch Systemgestaltung5.25 134 Datenschutz durch Voreinstellungen5.26 135 Informationspflichten bei gemeinsamer Verantwortlichkeit5.27 136 Berücksichtigung der Risiken eines Kindes in der Datenschutz- Folgenabschätzung 5.28 137 Befugnisse der Aufsichtsbehörden gegenüber Herstellern5.29 138 Neue Aufgaben für den Europäischen Datenschutzausschuss5.30 139 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Hersteller 5.31 140 Recht auf Schadensersatz gegen Hersteller5.32 141 Sanktionsverfahren5.33 142 Fortentwicklung des Datenschutzrechts6 145 Datenschutz in der Welt von heute6.1 145 Datenschutzherausforderungen in der Welt von morgen6.2 148 Vorschläge zur Fortentwicklung des Datenschutzes6.3 149 Risikoadäquate Weiterentwicklung oder Ergänzung des Datenschutzrechts 6.3.1 150 Stärkung der Stellung der Verbraucher6.3.2 158 Verhinderung einer Überforderung der Verbraucher6.3.3 160 Verhinderung negativer Auswirkungen auf Dritte6.3.4 162 Stärkung der Datenschutzprinzipien6.3.5 167 Inhaltsverzeichnis 12 Gewährleistung der Zukunftsfähigkeit des Datenschutzrechts7 171 Zusammenfassung der Ergebnisse8 175 Executive Summary9 182 Literatur 189 Inhaltsverzeichnis 13 Einführung Am 24. Mai 2016 trat nach mehr als vierjähriger Verhandlung die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO)1 in Kraft. Nach Ablauf einer zweijährigen Übergangsfrist ist sie seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten unmittelbar anwendbar. Seitdem wird die Datenschutz-Grundverordnung in der Praxis der Datenverarbeitung personenbezogener Daten angewendet. Für die von der Verarbeitung personenbezogener Daten betroffenen Personen bringt die Datenschutz-Grundverordnung sowohl Vor- als auch Nachteile gegenüber der bisherigen Rechtslage.2 Bezogen auf die Datenverarbeitung durch private Unternehmen sind die meisten betroffenen Person auch zugleich Verbraucher.3 Daher bezeichnen im Folgenden „betroffene Person“ und „Verbraucher“ immer dieselbe natürliche Person. Diese Gruppe betroffener Personen benötigt den stärksten Schutz, weil sie wirtschaftlich die Gruppe der schwächsten Markteilnehmer ist. Für sie stellt sich am dringendsten die Frage, ob in der Datenschutz-Grundverordnung die Vor- und Nachteile für unterschiedliche Interessengruppen ausgeglichen sind. Genau diese Frage untersucht die folgende Abhandlung. Vier Jahre nach Inkrafttreten und zwei Jahre nach Geltungsbeginn konnten bereits ausreichende Erfahrungen mit der Datenschutz-Grundverordnung gewonnen werden. Auf deren Grundlage muss sich die folgende Untersuchung nicht darauf beschränken, Defizite der Datenschutz-Grundverordnung aus Verbrauchersicht festzustellen, sondern kann auch erste Vorschläge entwickeln, wie sie aus der Perspektive von Verbrauchern verbessert werden kann. 1 1 EU ABl. L 119 vom 4.5.2016, 1. 2 S. z.B. Roßnagel, VuR 2015, 361; Roßnagel, in: Brönneke/Willburger/Bietz, 2020, 299ff. 3 Zur besseren Lesbarkeit des Textes wird auf die Aufzählung mehrerer Geschlechter verzichtet. Der Begriff „Verbraucher“ und ähnliche Begriffe umfassen immer auch alle Personen anderen Geschlechts. 15 Status quo des europäischen Datenschutzrechts Die Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018 mit all ihren Regelungen in allen Mitgliedstaaten unmittelbar und ist Teil ihrer Rechtsordnung. Sie bestimmt vorrangig das Datenschutzrecht in der Union und im Europäischen Wirtschaftsraum. Sie genießt gegenüber allen Regelungen der Mitgliedstaaten Anwendungsvorrang. Kommt die Anwendung mitgliedstaatlicher Regelungen und der Datenschutz-Grundverordnung zu unterschiedlichen Ergebnissen, ist die Datenschutz-Grundverordnung anzuwenden. Dies gilt allerdings nur dem Grundsatz nach. Denn die Datenschutz-Grundverordnung enthält 70 Öffnungsklauseln. Durch diese überlässt sie in vielen Bereichen und Aspekten die Regelungskompetenz den Mitgliedstaaten. Für das europäische Datenschutzrecht besteht somit eine Ko-Regulierung durch Union und Mitgliedstaaten.4 Zwar wurden aufgrund der Datenschutz-Grundverordnung das Bundesdatenschutzgesetz novelliert und allein im Bund Anpassungen in ca. 200 Gesetzen mit Datenschutzregelungen durch drei umfangreiche Artikelgesetze vorgenommen.5 Doch sind dadurch kein einziges Datenschutzgesetz und kein einziger Abschnitt zum Datenschutzrecht in einem Gesetz gestrichen worden. Sie gelten trotz Datenschutz-Grundverordnung weiter. Die Datenschutz-Grundverordnung hat daher das Datenschutzrecht in Europa nicht vereinheitlicht, sondern dieses einer Ko-Regulierung durch die Gesetzgeber der Union und der Mitgliedstaaten unterworfen. Wer wissen will, was nach geltendem Datenschutzrecht in Deutschland geregelt ist, muss somit immer in die Datenschutz-Grundverordnung und in das einschlägige deutsche Gesetz schauen. Für den Datenschutz der Verbraucher gelten grundsätzlich und überwiegend die Vorgaben der Datenschutz- Grundverordnung, für einzelne Fragestellungen aber auch die Regelungen des Bundesdatenschutzgesetzes. Die Datenschutz-Grundverordnung orientiert sich in weiten Teilen weiterhin an den alten Zielen und Grundsätzen der Datenschutzrichtlinie 95/46/EG6 von 1995.7 Sie übernimmt unter anderem in Art. 2 und 3 1.1 4 S. Roßnagel, in: Roßnagel, 2018, § 1 Rn. 47ff. 5 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30.6.2017 (DSAnpUG- EU), BGBl. I, S. 2097; Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU), BT-Drs 19/4674; Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679, BT-Drs 19/4671. 6 EG ABl. L 281 vom 23.11.1995, 31. 7 S. Erwägungsgrund 9 DSGVO. 1 Einführung 16 DSGVO weitgehend die Regelungen zum sachlichen und räumlichen Anwendungsbereich, in Art. 5 DSGVO nahezu unverändert die Grundsätze der Datenverarbeitung, in Art. 6 Abs. 1 DSGVO wörtlich die Voraussetzungen für die Zulässigkeit der Datenverarbeitung und in Art. 9 DSGVO grundsätzlich die Regelungen zu besonderen Kategorien personenbezogener Daten. Hinsichtlich der Rechte der betroffenen Person orientiert sie sich in den Art. 12 bis 23 DSGVO ebenfalls stark an der Richtlinie. In Art. 28 und 29 DSGVO greift die Verordnung grundsätzlich auf die Vorgaben der Richtlinie zur Auftragsverarbeitung zurück. In Art. 32 DSGVO übernimmt sie weitgehend die Anforderungen an die Datensicherheit, in Art. 44 bis 50 DSGVO konzeptionell die Grundsätze zur Datenübermittlung in Drittländer und in Art. 51 bis 59 DSGVO die Konzeption der Stellung und Aufgaben der Aufsichtsbehörden. Diese Regelungen werden in der Verordnung präzisiert, neugestaltet oder erweitert, aber konzeptionell nicht weiterentwickelt. Allerdings enthält sie in wenigen Bereichen auch Innovationen, die in der Richtlinie nicht enthalten oder nur angedeutet waren. Diese neuen Instrumente betreffen vor allem die Pflichten der Verantwortlichen und deren Durchsetzung durch die Aufsichtsbehörden, die betroffenen Personen und ihre Verbände.8 Diese Innovationen sind für Verbraucher mit großen Hoffnungen verbunden.9 Innovativ ist z.B. in Art. 3 Abs. 2 DSGVO die Ausweitung des räumlichen Anwendungsbereichs durch das Aufenthaltsprinzip. Danach ist die Verordnung auch anwendbar, wenn ein Datenverarbeiter personenbezogene Daten von Personen verarbeitet, die sich in der Union aufhalten. Dies gilt allerdings nur, wenn der Verarbeiter entweder der betroffenen Person Waren oder Dienstleistungen anbietet oder die Datenverarbeitung der Beobachtung ihres Verhaltens in der Europäischen Union dient. Diese Erweiterung sorgt auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der Union und Anbietern außerhalb der Union und vereinfacht die Wahrnehmung von Betroffenenrechten. Bisher unbekannt ist das Recht für betroffene Personen in Art. 20 DSGVO, ihre Daten, die sie einem Verantwortlichen bereitgestellt haben, auf einen anderen Datenverarbeiter zu übertragen. Innovativ sind auch die Anforderungen an den Verantwortlichen in Art. 25 DSGVO, Datenschutz durch Systemgestaltung und Voreinstellungen herzustellen. Neu 8 S. zu den Innovationen ausführlich Roßnagel, DuD 2019, 467ff. und das gesamte Heft 8 der DuD 2019. 9 S. z.B. Verbraucherzentrale Bundesverband, 2013; Verbraucherzentrale Bundesverband, 2018. 1.1 Status quo des europäischen Datenschutzrechts 17 ist auch seine Verpflichtung in Art. 35 DSGVO, vor riskanten Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen. Die engere Zusammenarbeit der Aufsichtsbehörden in der Union erforderte in Art. 60 bis 76 DSGVO eigene Regelungen zu deren Durchführung. Eine auffällige Veränderung bringt auch Art. 83 DSGVO, der für Verstöße gegen Vorgaben der Verordnung drastische Sanktionen ermöglicht. Nach Art. 83 Abs. 5 DSGVO können bei den dort aufgelisteten Verstößen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Herausforderungen für den Verbraucherdatenschutz Die Datenschutz-Grundverordnung will das Datenschutzrecht der Mitgliedstaaten ablösen. Wo bisher die Mitgliedstaaten jeweils viele Hunderte von Vorschriften zum Datenschutz hatten, sollen nun die 99 Artikel der Datenschutz-Grundverordnung gelten. Von diesen befassen sich nur 50 Artikel mit materiellen Fragen des Datenschutzes und die anderen Artikel vor allem mit Aufgaben und Kompetenzen und Zusammenarbeit der Aufsichtsbehörden und sonstigen organisatorischen Fragen. Um alle vielfältigen Datenschutzprobleme in der gesamten Union in allen Gesellschafts-, Wirtschafts- und Verwaltungsbereichen in 50 Artikeln zu regeln, musste der Unionsgesetzgeber für die Datenschutz-Grundverordnung ein sehr hohes Abstraktionsniveau wählen. Für den Datenschutz von Verbrauchern enthält die Datenschutz-Grundverordnung auf diesem Abstraktionsniveau eine Reihe von Verbesserungen – in der Regelung des Anwendungsbereichs, in der Anerkennung von Grundsätzen der Datenverarbeitung, in den Rechten für betroffene Personen,10 in neuen Pflichten für Verantwortliche, in drastischen Sanktionsdrohungen und in neuen Möglichkeiten für Verbraucher, die Aufsichtsbehörden anzurufen und Verbraucherverbände einzuschalten. 1.2 10 S. Aridor/Che/Nelson/Salz, 2020 zu den empirischen Wirkungen der DSGVO auf die Überwachung und die Verhaltensvorsage von Verbrauchern: Zunahme von Opt-out. 1 Einführung 18 Sie hat aber auch die Verarbeitung personenbezogener Daten erleichtert,11 Zweckänderungen der Datenverarbeitung ermöglicht, eine Reihe von Pflichten der Verantwortlichen reduziert und zahlreiche Möglichkeiten geschaffen, Betroffenenrechte außer Kraft zu setzen. Vor allem hat sie keine einzige Regelung getroffen, die die modernsten Herausforderungen für den Datenschutz von Technikanwendungen spezifisch adressieren. Die Risiken von Big Data, Cloud Computing, smarten Informationstechniken im Alltag, Künstlicher Intelligenz, lernfähigen Systemen, Social Networks oder anderen datengetriebenen Geschäftsmodellen haben keine spezifische Regelung erfahren.12 In der Praxis entscheidend ist, wie die vorteilhaft oder nachteilig klingenden Regelungen in ihrer hohen Abstraktheit konkretisiert werden. Hierfür ist entscheidend, dass zwar die Datenschutzaufsichtsbehörden eingreifen und irgendwann die Gerichte entscheiden können, den ersten Zugriff auf das Verständnis und die Konkretisierung der Regelungen aber die Verantwortlichen haben. In jedem Interessenkonflikt nutzen sie jede Unklarheit, Ungenauigkeit, Regelungslücke – schlicht jeden Abstraktionsgrad für ihre Interessen. Die Erfahrung zeigt, dass überall da, wo das Recht normative Spielräume eröffnet, letztlich soziale, politische und wirtschaftliche Macht eindringt und einseitige Ergebnisse durchsetzt.13 Als ein Defizit der Datenschutz-Grundverordnung gelten im Folgenden zwei verschiedene regulatorische Schwachstellen. Eine solche kann zum einen darin liegen, dass die Verordnung bestimmte Anwendungsvoraussetzungen oder Anwendungsfolgen ausgeblendet oder übersehen hat, die zu unausgeglichenen Regelungen führen. Die gleiche Wirkung haben Regelungslücken, die regelungsbedürftige Fragen ungeregelt lassen und ihre Beantwortung dem Stärkeren überlassen. In der Folge bevorzugen sie ungerechtfertigt bestimmte Interessen und benachteiligen andere. Zum anderen kann eine Schwachstelle in der mangelnden Praktikabilität der Regelung liegen. Diese fehlt, wenn die Vorschrift uneindeutig oder missverständlich ist, Wertungswidersprüche zu anderen Vorschriften oder sonstige Inkonsistenzen enthält oder Widersprüchliches regelt. Sie werden zu Defiziten der Datenschutzpraxis, wenn sie Rechtsunsicherheit, Investitionsstau, Vollzughemmnisse, Unverständnis und Handlungsbarrieren ver- 11 S. Aridor/Che/Nelson/Salz, 2020 zu den empirischen Wirkungen der DSGVO auf die Überwachung und die Verhaltensvorsage von Verbrauchern: Zunahme der Intensivierung der Datenverarbeitung. 12 S. hierzu kritisch Roßnagel, in: Roßnagel, 2018, § 1 Rn. 41 f. 13 Roßnagel, MMR 2020, 222. 1.2 Herausforderungen für den Verbraucherdatenschutz 19 ursachen. Vielfach versuchen Berater, Anwälte und Literatur sowie nach und nach die Aufsichtsbehörden und – bisher nur langsam und in wenigen Fällen – auch der Europäische Datenschutzsauschuss, diese Defizite durch entsprechende Auslegungsversuche zu beseitigen. Diese führen jedoch immer zu interessengeleiteten Meinungsstreitigkeiten, die erst nach langer Zeit und mit hohem Aufwand und großem Zeitverlust aufgelöst werden können. Bis letztlich der Europäische Gerichtshof in Einzelfällen die Defizite beseitigt und für Rechtssicherheit und Interessenausgleich sorgt, vergeht geraume Zeit. Vielfach hat die Dynamik der technischen Entwicklung das Problem dann bereits überholt. Da der Gerichtshof an den Text der Datenschutz-Grundverordnung gebunden ist,14 dürfte ihm in vielen Fällen die gebotene Korrektur auch gar nicht möglich sein. Schließlich sorgt nicht jede Entscheidung des Gerichts für Klarheit, sondern hinterlässt – wie bei der gemeinsamen Verantwortung15 – mehr Fragen als vorher bestanden. Daher sollte der europäische Gesetzgeber diese Defizite, die er ja verursacht hat, möglichst bald beheben. Die notwendigen und möglichen Verbesserungen des Verordnungstextes sind daher das zentrale Thema der folgenden Untersuchung. Zielsetzungen und Gliederung Die folgende Untersuchung verfolgt somit zwei Ziele, die sich auf unterschiedliche Dimensionen und Qualitäten von Regelungsproblemen der Datenschutz-Grundverordnung beziehen: Zum einen zielt sie auf die Behebung einzelner Schwachstellen in der Regulierung spezifischer Datenschutzfragen. Hierfür analysiert sie die derzeitige Ausgestaltung der Datenschutz-Grundverordnung aus Verbrauchersicht und legt ihr Hauptaugenmerk auf die Frage, welche Defizite der Verordnung bei ihrer Anwendung bisher aufgetreten sind und wie die Verordnung nachgeschärft werden muss, um diesen Defiziten in der Textformulierung zu begegnen. Sie sollen im Sinne des Gewollten beseitigt, klargestellt oder präzisiert werden, damit die Datenschutz-Grundverordnung 1.3 14 Es sei denn, er erklärt eine Vorschrift der Verordnung als Verstoß gegen die GRCh für unionsrechtswidrig. 15 EuGH vom 5.6.2018, ECLI:EU:C:2018:388 (Facebook-Fanpage); EuGH vom 10.7.2018, C-25/17, ECLI:EU:C:2018:551 (Zeugen Jehovas); EuGH vom 29.7.2019, ECLI:EU:C:2019:629 (Fashion ID). 1 Einführung 20 ihre Regelungsziele auch tatsächlich erreicht. Das Ziel dieses Teils sind konkrete Regelungsvorschläge, die zur Verbesserung der Verordnung genutzt werden können, ohne ihre generelle Regelungskonzeption in Frage zu stellen. Diese Verbesserungen könnten ohne großen Aufwand und tiefgreifende Diskussionen umgesetzt werden. Zum anderen zielt sie auf eine längerfristige inhaltliche Konzeption für die Fortentwicklung der Datenschutz-Grundverordnung und des Datenschutzes in der Europäische Union, die ermöglicht, den bisher nicht adressierten und den künftigen Herausforderungen für den Datenschutz gerecht zu werden. Hier geht es um Ideen und Argumente für die laufenden Diskussionen zur zukünftigen Ausgestaltung des Datenschutzregulierungssystems. Diese beiden Ziele bestimmen die Gliederung der folgenden Untersuchung. Das dieser Einleitung folgende Kapitel 2 greift die Evaluation der Datenschutz-Grundverordnung durch die Europäische Kommission auf und analysiert deren Rechtsrahmen, Zielsetzung, Vorbereitung und Ergebnis. Nach dieser Grundlegung widmen sich die Kapitel 3 bis 5 der ersten Zielsetzung einer Verbesserung spezifischer Vorschriften der Datenschutz- Grundverordnung aus Verbrauchersicht. Kapitel 3 analysiert auf der Grundlage von Literatur, Rechtsprechung, Gutachten, Berichten der Datenschutzaufsichtsbehörden und Stellungnahmen zur Evaluation sowie Tagungsteilnahmen und Gesprächen einzelne aus Verbrauchersicht relevante Vorschriften der Datenschutz-Grundverordnung. Hierbei wird vor allem untersucht, wie diese Vorschriften ausgelegt und angewandt werden, ob sich inzwischen Rechtsicherheit durch eine einheitliche Meinung zur Interpretation von Tatbestandsmerkmalen ergeben oder ob die unklare Fassung einer Vorschrift zu Meinungsstreitigkeiten und Verunsicherung geführt hat. Das jeweilige Verständnis der Vorschrift wird danach bewertet, wie es sich auf die Interessen der Verbraucher oder Gruppen von Verbrauchern auswirkt. Das Kapitel 4 bewertet dann die Ergebnisse danach, ob die erkannten Defizite durch den Unionsgesetzgeber oder durch andere berufene Stellen wie den Gesetzgebern der Mitgliedstaaten, den Europäischen Datenschutzausschuss oder Datenschutzaufsichtsbehörden beseitigt werden müssen. Soweit der Unionsgesetzgeber zuständig ist, untersucht das Kapitel weiter, ob die Defizite so klar sind, dass sie durch Textänderungen einer Vorschrift behoben werden können, oder ob sie Teil von konzeptionellen Problemen der Datenschutz-Grundverordnung sind, die einer umfassenderen Diskussion bedürfen. Das Kapitel 5 enthält schließlich 33 kon- 1.3 Zielsetzungen und Gliederung 21 krete Formulierungsvorschläge zur aktuellen Verbesserung der Datenschutz-Grundverordnung. Die Kapitel 5 und 6 widmen sich sodann inhaltlich der zweiten Zielsetzung und untersuchen, wie eine längerfristige inhaltliche Konzeption für die Fortentwicklung der Datenschutz-Grundverordnung und des Datenschutzes aussehen könnte. Kap. 6 greift dabei auch die konzeptionellen Defizite der Verordnung auf, die sich nicht durch eine einfache Textänderung beseitigen lassen, sondern die eine konzeptionelle Neuausrichtung des Datenschutzes benötigen. Das Kapitel 6 bietet zu dieser notwendigen inhaltlichen Diskussion Anregungen und Lösungsansätze. Das Kapitel 7 greift den zweiten Themenkomplex prozedural auf und untersucht, in welchen Prozessen eine Fortentwicklung der Datenschutz-Grundverordnung und des Datenschutzes in der Europäischen Union und in den Mitgliedstaaten erfolgen kann und wer dafür zuständig sein sollte. Die Kapitel 8 und 9 fassen die Ergebnisse des Gutachtens in deutscher und englischer Sprache zusammen. 1 Einführung 22 Evaluation der Datenschutz-Grundverordnung Mit vergleichbaren Fragestellungen hätte sich auch die amtliche Evaluation der Datenschutz-Grundverordnung beschäftigen sollen, die bereits nach zwei Jahren Praxiserfahrungen mit der Verordnung durchgeführt wurde. Rechtlicher Rahmen Das Europäische Parlament und der Rat haben in Art. 97 Abs. 1 DSGVO der Europäischen Kommission vorgegeben, bis zum 25. Mai 2020 einen Bericht über die „Bewertung und Überprüfung dieser Verordnung“ vorzulegen und diesen Bericht auch zu veröffentlichen. Danach sollen Evaluationen alle vier Jahre erfolgen. Nach Abs. 2 soll die Kommission „insbesondere“ die Anwendung und die Wirkungsweise des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer insbesondere im Hinblick auf Angemessenheitsfeststellungen und des Kapitels VII über Zusammenarbeit und Kohärenz überprüfen. Sie kann nach Abs. 3 für die Evaluation „Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern“. Nach Abs. 4 hat sie die „Standpunkte und Feststellungen des Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen“ zu berücksichtigen. Die Kommission legt nach Abs. 5 in ihrem Bericht „erforderlichenfalls geeignete Vorschläge zur Änderung“ der Datenschutz- Grundverordnung vor und „berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“.16 Die Regelung des Art. 97 DSGVO zur regelmäßigen Evaluation der Verordnung gibt der Erkenntnis Ausdruck, dass die Digitalisierung Wirtschaft, Staat und Gesellschaft sehr schnell und sehr nachhaltig verändert und dass der Schutz der Werte, die in diesem Wandel unverändert bleiben sollen, sich immer wieder neuen Herausforderungen anpassen muss. Art. 97 DSGVO ist auch Ausdruck des Wissens um den Entwurfscharakter der Datenschutz-Grundverordnung. Sie ist eine erste Fassung einer unions- 2 2.1 16 S. hierzu und zum Folgenden auch Roßnagel, DuD 2020, 287ff. sowie den gesamten Schwerpunkt in Heft 5 der DuD 2020. 23 weiten Datenschutzregelung, deren Autoren die vielen und vielfältigen Praxisprobleme in allen von ihr erfassten Wirtschafts-, Verwaltungs- und Gesellschaftsbereichen gar nicht kennen konnten. Sie ist außerdem eine Sammlung von unterschiedlichen, nur mühsam systematisierten Kompromissergebnissen, die bei den vieldimensionalen Interessengegensätzen und den 2015 im Parlament, im Rat und im Trilog gegebenen Machtverhältnissen durchsetzbar waren. Sie ist somit ein legislativer Versuch, der angesichts neuer Herausforderungen für Persönlichkeitsrechte, Grundrechte und Demokratie immer wieder neu zu konzipieren und zu verhandeln ist. Die regelmäßigen Evaluationen sind ein wichtiges Instrument zur Verbesserung und Modernisierung der Datenschutz-Grundverordnung. Wie sich aus Art. 97 Abs. 2 und 5 DSGVO ergibt, soll die Kommission in ihren Evaluationen die jeweilige Ausgestaltung der Verordnung daraufhin überprüfen, welche Defizite bei ihrer Anwendung zu erkennen sind, und Maßnahmen vorschlagen, diese Defizite zu beseitigen. Das erste Ziel erfordert, die Evaluation nicht auf die Beispiele des Abs. 2 zu beschränken, sondern auf alle Regelungen zu erstrecken. Dabei sind nicht nur die jeweils gegenwärtigen Datenschutzpraktiken zu berücksichtigen, sondern – wie Abs. 5 deutlich macht – auch die absehbaren Herausforderungen. Das zweite Ziel kann nur erreicht werden, wenn alle mögliche Maßnahmen in den Blick genommen werden, von Hilfestellungen der Aufsichtsbehörden über Beschlüsse des Ausschusses bis hin zu Änderungen des Verordnungstextes.17 Stellungnahmen Für die Evaluation der Europäischen Kommission haben viele Institutionen und Organisationen nach Art. 97 Abs. 4 DSGVO „Standpunkte und Feststellungen“, die als Grundlage der amtlichen Evaluation dienen sollten, abgegeben. Im Folgenden werden solche Stellungnahmen auf der Ebene der Europäische Union und aus Deutschland kurz vorgestellt. Sie vertreten zur Aufgabe, zum Umfang und zu Inhalten der Evaluation unterschiedliche Meinungen. Ihre Analysen der Datenschutz-Grundverordnung gehen in das folgende Kapitel ein, ihre Verbesserungsvorschläge werden im Kapitel 5 berücksichtigt. 2.2 17 S. hierzu z.B. auch Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 2020, 15 f. 2 Evaluation der Datenschutz-Grundverordnung 24 Bilanz der Kommission Den Auftakt für den Evaluationsprozess gab die Kommission mit ihrer „Bilanz“ zur Umsetzung der Datenschutz-Grundverordnung, die sie am 24. Juli 2019 quasi als Evaluationsbericht nach einem Jahr Geltung veröffentlichte.18 In dieser beschränkt sie sich nicht auf die Abschnitte V und VII, die Art. 97 Abs. 2 DSGVO als Beispiel anführt, sondern nimmt zu allen Themen Stellung, die sie für berichtenswert hält. Die Datenschutz- Grundverordnung habe das Ziel, unionsweit für Rechtssicherheit zu sorgen „weitgehend“ erreicht.19 Allerdings bedauert die Kommission die Fragmentierung des Datenschutzrechts durch die vielen spezifischen Regelungen der Mitgliedstaaten. Hier nennt sie insbesondere das unterschiedliche Alter für Einwilligungen von Kindern zur Datenverarbeitung in Internetdiensten, ohne Art. 8 DSGVO selbst zu problematisieren, der diese Unterschiede erlaubt und provoziert. Bereits nach dem ersten Jahr stellt sie fest: Das neue System der Datenschutzaufsicht in der Union sei etabliert, funktioniere und erzeuge eine „EU-Datenschutzkultur“.20 Auch die Ziele, die Rechte des Einzelnen zu stärken und Unternehmenspraktiken zu ver- ändern, seien erreicht worden.21 Im internationalen Bereich habe sich die Datenschutz-Grundverordnung zu einem Vorbild entwickelt. Viele Staaten strebten danach, sich ähnliche Datenschutzregelung zu geben.22 Die Kommission sieht zwar den Datenschutz in vielen unterschiedlichen Politikbereichen der Union als wichtige Komponente, hält aber die abstrakten Regelungen der Verordnung für ausreichend, um die vielfältigen Regelungenbedarfe ausreichend zu befriedigen. Sie beschränkt daher für sich die Aufgabe der Evaluation darauf, allein die „Umsetzung“ der Verordnung zu evaluieren.23 Sie berücksichtigt nicht „die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“ und legt keine „geeignete Vorschläge zur Änderung“ der Datenschutz-Grundverordnung vor, wie sie Art. 97 Abs. 5 DSGVO „erforderlichenfalls“ fordert. Über die von ihr selbst verursachten Handwerksfehler, Inkonsistenzen und kontraproduktiven Effekte der Datenschutz-Grundverordnung sah sie in ihrer „Bilanz“ elegant hinweg. 2.2.1 18 Europäische Kommission, COM(2019) 374 final. 19 Europäische Kommission, COM(2019) 374 final, 3. 20 Europäische Kommission, COM(2019) 374 final, 5ff. 21 Europäische Kommission, COM(2019) 374 final, 7ff. 22 Europäische Kommission, COM(2019) 374 final, 12ff. 23 Europäische Kommission, COM(2019) 374 final, 21. 2.2 Stellungnahmen 25 Mitgliedstaaten Der Rat hat zur Vorbereitung seines Standpunkts Stellungnahmen einzelner Mitgliedstaaten gesammelt.24 Diese Stellungnahmen sind unterschiedlich ausführlich.25 Die finnische Ratspräsidentschaft hatte die Mitgliedstaaten aufgefordert, drei Fragen zu beantworten, nämlich zu ihren Erfahrungen mit Angemessenheitsentscheidungen, mit der Unabhängigkeit und Ausstattung der Aufsichtsbehörden und mit der Kohärenz der Auslegung der Verordnung.26 Viele Mitgliedstaaten27 haben sich darauf beschränkt, kurz über die Relevanz dieser drei Fragen für ihren praktizierten Datenschutz zu berichten. Slowenien hat sogar nur zu den zwei Themen des Art. 97 Abs. 2 DSGVO berichtet. Die anderen Mitgliedstaaten haben sich jedoch weder auf diese beiden Beispiele noch auf die drei Fragen der Ratspräsidentschaft beschränkt, sondern zu allen Themen berichtet, die ihnen wichtig waren. Belgien, Deutschland, Frankreich und Niederlande haben sogar ausdrücklich gefordert, die Evaluation auf alle Regelungen der Datenschutz-Grundverordnung zu erstrecken. Die meisten Mitgliedstaaten berichten daher über ihre Probleme in der Anwendung der Verordnung und fordern Klarstellungen zur Erhöhung der Rechtssicherheit. Dabei lassen sie jedoch überwiegend offen, ob die Klarstellungen im Verordnungstext oder etwa durch den Europäischen Datenschutzausschuss erfolgen sollen.28 Mehrere Staaten betonen die Notwendigkeit nationaler Spielräume,29 die ihnen die Datenschutz-Grundverordnung ausdrücklich einräumt.30 Während Irland davor warnt, Änderungen an der Verordnung vorzunehmen, fordern mehrere Staaten ausdrücklich solche Änderungen,31 ohne allerdings Formulierungsvorschläge zu unterbreiten.32 Die Niederlande thematisieren sogar technologische Veränderungen, die in 2.2.2 24 Rat, ST 12756/1/19. 25 Einerseits Dänemark, Estland, Luxemburg (je 1 S.), Belgien, Bulgarien, Lettland, Litauen, Polen, Portugal, Rumänien, Schweden (je 2 S.) und Kroatien, Österreich, Tschechien (3 S.) – andererseits Niederlande (20 S.), Deutschland (8 S.), Frankreich (6 S.). 26 Rat, ST 11292/19. 27 Kroatien, Lettland, Litauen, Rumänien, Schweden. 28 Z.B. Belgien, Bulgarien, Estland, Österreich, Polen. 29 S. zu diesen ausführlich Roßnagel, DuD 2017, 277. 30 Z.B. Tschechien, Dänemark, Deutschland, Frankreich und Niederlande. Portugal, in: Rat, ST 12756/1/19, 64, sieht durch sie die Harmonisierung im Datenschutzrecht gefährdet. 31 Insb. Deutschland, Niederlande und Österreich. 32 S. zu den Vorschlägen Kap. 5. 2 Evaluation der Datenschutz-Grundverordnung 26 den vier Jahren seit Inkrafttreten der Verordnung erfolgt sind, nämlich die Datenmacht der globalen Tech-Konzerne, Big Data und Profiling, Preisdiskriminierungen sowie Blockchain-Anwendungen, und fordern, im Rahmen der Evaluation über die regulative Reaktion auf diese Herausforderungen zu diskutieren.33 Rat Diese Stellungnahmen hat der Rat zu seinem Standpunkt zusammengeführt und am 15. Januar 2020 veröffentlicht.34 Er vertritt die Meinung, dass die Evaluation sich nicht auf die Themen des Art. 97 Abs. 2 DSGVO beschränken sollte. „Angesichts der Bedeutung und der Auswirkungen der DSGVO in einer sich ständig weiterentwickelnden digitalen Gesellschaft“ sieht er „starke Argumente, die für eine umfassendere Überprüfung und eine fortlaufende Debatte über dieses Thema sprechen“.35 „Aus Sicht des Rates ist die DSGVO ein Erfolg.“36 Zugleich stellt er aber fest, dass „aufkommende Technologien auch neue Herausforderungen … mit sich bringen. Diese sieht er z.B. in Big Data, KI, IoT, Blockchain, Gesichtserkennung, Profiling und „Deep Fakes“. Um mit diesen Technologien Schritt zu halten, hält er es für „notwendig, das Zusammenspiel zwischen technologischer Entwicklung und Datenschutz-Grundverordnung auf EU-Ebene kontinuierlich zu überwachen und zu bewerten“.37 Hierfür sollten die für Wettbewerb, Verbraucher und Datenschutz zuständigen Behörden zusammenarbeiten.38 Die Datenschutz-Grundverordnung habe „in hohem Ma- ße“ zur „Rechtssicherheit… in der gesamten EU“ beigetragen.39 Dennoch sei ein „gewisser Spielraum“ für die nationalen Gesetzgeber notwendig und ein „gewisses Maß an Fragmentierung … vorgesehen und gerechtfer- 2.2.3 33 Rat, ST 12756/1/19, 38ff. Regelungen zu Blockchain fordert auch Polen, in: Rat, ST 12756/1/19, 62. 34 Rat, ST 14994/2/19, Rev. 2. 35 Rat, ST 14994/2/19, Rev. 2, Rn. 6. 36 Rat, ST 14994/2/19, Rev. 2, Rn. 9. 37 Rat, ST 14994/2/19, Rev. 2, Rn. 14, 43; s. hierzu auch Niederlande, in: Rat, ST 12756/1/19, Rn. 40. 38 Rat, ST 14994/2/19, Rev. 2, Rn. 11. 39 Rat, ST 14994/2/19, Rev. 2, Rn. 24. 2.2 Stellungnahmen 27 tigt“.40 Für die Evaluierung seien die Stellungnahmen und Vorschläge der Mitgliedstaaten zu berücksichtigen.41 Europäischer Datenschutzausschuss Der Europäische Datenschutzausschuss gab nach seiner 18. Plenarsitzung am 18. und 19. Februar 2020 bekannt, dass die Umsetzung der Datenschutz-Grundverordnung in den ersten 20 Monaten erfolgreich war, dass alle noch anstehenden Probleme lösbar seien und dass es derzeit noch zu früh sei, die Datenschutz-Grundverordnung einer Revision zu unterziehen.42 Bundesregierung In Deutschland hat die Bundesregierung im Oktober 2019 ihre Position zur Evaluierung der Datenschutz-Grundverordnung formuliert.43 Auch sie betont, dass die Evaluierung über die Themen in Art. 97 Abs. 2 DSGVO hinausgehen sollte.44 Sie nennt elf Themengebiete, in denen die Datenschutz-Grundverordnung Rechtsunsicherheit hervorruft:45 Die spezifischen Interessen von Kindern im Rahmen der Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO, freiwillige Einwilligung ohne Auswahlmöglichkeit, technische und organisatorischen Anforderungen des Privacy by Design and by Default nach Art. 25 DSGVO, die Sicherheitsanforderungen nach Art. 32 DSGVO, die Transparenzanforderungen nach Art. 12 DSGVO, die Grenzen des Auskunftsrechts und des Rechts auf eine Kopie nach Art. 15 DSGVO, die Anforderungen an eine Datenlöschung, die Anforderungen an Anonymisierung und Pseudonymisierung sowie die Auslegung der „Risiken für Grundrechte und Freiheiten einer natürlichen Person“. Für manche dieser Fragen kann Rechtsklarheit durch Hinweise und Hilfestellungen der Aufsichtsbehörden erreicht werden, für andere sind 2.2.4 2.2.5 40 Rat, ST 14994/2/19, Rev. 2, Rn. 25. 41 S. zu diesen Kap. 2.2.2. 42 Europäische Datenschutzausschuss, Presseerklärung vom 20.2.2020, https://edpb. europa.eu/news/news/2020/eighteenth-edpb-plenary-session_de. 43 Bundesregierung, in: Rat, ST 12756/1/19, 11ff. 44 Bundesregierung, in: Rat, ST 12756/1/19, 11. 45 Bundesregierung, in: Rat, ST 12756/1/19, 12 f. 2 Evaluation der Datenschutz-Grundverordnung 28 aber Änderungen der Datenschutz-Grundverordnung erforderlich.46 Die Bundesregierung fordert die Kommission zur Prüfung auf, ob Schutzlücken durch die Verwendung von Scoring, Profiling und Anwendungen der Künstlichen Intelligenz entstehen und diese durch zusätzliche (eventuell auch bereichsspezifische) Regelungen geschlossen werden müssen.47 Bundesrat Im Bundesrat hat Bayern im November 2019 einen Entschließungs-Antrag eingebracht.48 Nach diesem fordert der Bundesrat, die Evaluation auf weitere Fragestellungen als nur die in Art. 97 Abs. 2 DSGVO zu erstrecken.49 Vor allem sei die Aufforderung in Art. 97 Abs. 5 DSGVO ernst zu nehmen und „kontinuierlich die Entwicklung in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft“ zu berücksichtigen „und den Zielsetzungen der DSGVO gegenüber(zu)stellen“. Der Bundesrat nennt die zunehmende Datenkonzentration bei einzelnen Anbietern und Plattformen, die Verbreitung von Scoring und Profiling, Künstliche Intelligenz sowie Blockchain-Anwendungen.50 Er unterstreicht „nachdrücklich“ die „Bedeutung der in der Verordnung klar beschriebenen Regelungsspielräume für ergänzende nationale Datenschutzbestimmungen“.51 Datenschutzkonferenz Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat auf ihrem 98. Treffen am 6. November 2019 eine Stellungnahme auf der Grundlage der Erfahrungen mit der Datenschutz-Grundverordnung seit Geltungsbeginn beschlossen.52 Die Datenschutz-Grundverordnung habe sich „im Wesentlichen bewährt“. Dennoch sieht die Datenschutzkonferenz viele Notwendigkeiten der Klarstellung und Möglichkeiten zur Verbesserung, die sie in neun Schwerpunktthemen zusammenfasst und aus 2.2.6 2.2.7 46 S. zu diesen Kap. 5. 47 Bundesregierung, in: Rat, ST 12756/1/19, 14. 48 BR-Drs. 570/19.. 49 BR-Drs. 570/19, 1. 50 BR-Drs. 570/19, 2. 51 BR-Drs. 570/19, 3. 52 Datenschutzkonferenz, Erfahrungsbericht, 2019. 2.2 Stellungnahmen 29 denen sie sieben Änderungsvorschläge ableitet.53 Die Schwerpunktthemen sind Alltagserleichterung und Praxistauglichkeit (Informationspflichten, Recht auf Kopie und Meldung von Datenschutzbeauftragten), Datenpannenmeldungen, Zweckänderungen, Data Protection by Design, Befugnisse der Aufsichtsbehörden und Sanktionspraxis, Sanktionen bei Verstößen gegen Anordnung der Aufsichtsbehörde, Zuständigkeitsbestimmungen, Zusammenarbeit und Kohärenz, Direktwerbung, Profiling und Akkreditierung. Zu jedem Schwerpunktthema werden auch Vorschläge zur Änderung der Datenschutz-Grundverordnung vorgelegt.54 Zur Vorbereitung dieser Stellungnahme führte der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, der den Vorsitz in der DSK-Arbeitsgruppe zur Evaluation führte, am 28. Juni 2019 zusammen mit der Industrie- und Handelkammer Stuttgart einen eintägigen Workshop durch, um Erfahrungen von Verantwortlichen, Interessenvertretern, Verbänden und der Wissenschaft kennenzulernen. Diese Erfahrungen hat er im November 2019 in einem Erfahrungsbericht zusammengefasst,55 der fünf Schwerpunktthemen anspricht: Informations-, Auskunfts- und Transparenzpflichten, Verarbeitungsverzeichnis, Benennungspflicht von Datenschutzbeauftragten, Herstellerhaftung für Privacy by Design und Unklarheiten bei der Gemeinsamen Verantwortlichkeit, insbesondere im Social Media-Bereich. Für diese Schwerpunktthemen bietet er jeweils auch immer Lösungsansätze.56 Zivilgesellschaft Auch viele Verbände haben Stellungnahmen veröffentlicht, die je nach Interessenlage unterschiedliche Änderungen an der Datenschutz-Grundverordnung einfordern. In Deutschland haben u.a. der Deutsche Industrieund Handelskammertag (DIHK),57 der Verbraucherzentrale Bundesverband (vzbv),58 die Gesellschaft für Datenschutz und Datensicherheit 2.2.8 53 S. zu diesen Kap. 5. 54 S. zu diesen Kap. 5. 55 Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019. 56 S. zu diesen Kap. 5. 57 Deutscher Industrie- und Handelskammertag, 2019. 58 Verbraucherzentrale Bundesverband vom 27.11.2019; s. hierzu auch Glatzner, DuD 2020, 312. Die Stellungnahme beruht auf Roßnagel/Geminn, 2019. 2 Evaluation der Datenschutz-Grundverordnung 30 (GDD),59 das Netzwerk Datenschutzexpertise,60 die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID),61 Digitaleurope,62 das „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“63 und die Deutsche Telekom AG64 Verbesserungen der Datenschutz-Grundverordnung vorgeschlagen. Evaluation der Europäischen Kommission Am 24. Juni 2020 – um einen Monat verspätet – legte die Europäische Kommission ihren Evaluationsbericht vor.65 Der nur 18 Seiten umfassende „Bericht über die Bewertung und Überprüfung“ der Datenschutz-Grundverordnung trägt den Titel „Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation“. Er wird durch ein „Commission Staff Working Document“ von 52 Seiten ergänzt,66 das die Feststellungen des Berichts näher begründet. Die Kommission gibt an, sie habe viele der Stellungnahmen von Institutionen der Union, der Mitgliedstaaten, der Aufsichtsbehörden und der Organisationen und Institutionen der Zivilgesellschaft für ihren Bericht berücksichtigt.67 Im Wesentlichen bestätigt sie aber die Ergebnisse, die sie schon nach einem Jahr Geltung in ihrer „Bilanz“ zur Umsetzung der Datenschutz-Grundverordnung vom 24. Juli 2019 festgestellt hat68 – noch bevor die vielen ihr widersprechenden Stellungnahmen zur Kenntnis nehmen konnte. Die Europäische Kommission legt in ihrem Evaluationsbericht69 zwar – entsprechend Art. 97 Abs. 2 DSGVO – Schwerpunkte auf die Überprüfung 2.3 59 Gesellschaft für Datenschutz und Datensicherheit, 2019; s. auch Jaspers/Jaquemain, DuD 2020, 297. 60 Netzwerk Datenschutzexpertise, 2019; s. auch Weichert, DuD 2020, 293. 61 Europäische Akademie für Informationsfreiheit und Datenschutz, 2020. 62 Digitaleurope, 2020. 63 Forum Privatheit, 2019; s. hierzu auch Geminn, DuD 2020, 307. 64 Deutsche Telekom, 2019. 65 Europäische Kommission, Communication from the Commission to the European Parliament and the Council, COM(2020) 264 final (SWD(2020) 115 final) vom 24.6.2020. 66 Commission Staff Working Document vom 24.6.2020. 67 Europäische Kommission, COM(2020) 264 final, 4; Commission Staff Working Document, 3 f. 68 S. Kap. 2.2.1. 69 Europäische Kommission, COM(2020) 264 final, 1. 2.3 Evaluation der Europäischen Kommission 31 und Bewertung des Kapitels V zur Datenübermittlung in Drittstaaten70 und des Kapitels VII zur Zusammenarbeit der Aufsichtsbehörden und der Kohärenz im Vollzug der Verordnung,71 schränkt ihre Evaluation aber nicht auf diese beiden Bereiche ein, sondern untersucht auch weitere ausgewählte Themen.72 Insgesamt hält sie die Zeit seit dem Geltungsbeginn der Verordnung in den Mitgliedstaaten am 25. Mai 2018 für zu kurz für endgültige Schlussfolgerungen hinsichtlich der Umsetzung der Datenschutz-Grundverordnung,73 stellt aber dennoch in ihrem Bericht die folgenden wesentlichen Erkenntnisse fest:74 Aus Sicht der Europäischen Kommission hat sich die Datenschutz- Grundverordnung bewährt. Die Verordnung habe ihre Ziele erreicht, die Betroffenenrechte zu stärken und den freien Datenverkehr in der Europäischen Union sicherzustellen.75 Mit der Verordnung sieht die Kommission die Europäische Union als Speerspitze des Datenschutzes. Dies werde nicht zuletzt durch einen erfolgreichen Export des Regelungsmodells in zahlreiche Drittländer belegt.76 Viele Staaten haben sich Datenschutzgesetze gegeben, für die die Europäische Kommission nach Art. 45 DSGVO feststellen konnte, dass sie ein angemessenes Datenschutzniveau bieten.77 Das europäische Datenschutzrecht sei „ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist“.78 Sie ist eine weltweite Referenz für Länder, die wie die Europäische Union ein hohes Datenschutzniveau anstreben – „von Chile bis Süd-Korea, von Brasilien bis Japan, von Kenia bis Indien und von Kalifornien bis Indonesien“.79 Bezogen auf die Adressaten der Datenschutz-Grundverordnung stellt die Kommission fest, dass diese – aufbauend auf den unabhängigen Daten- 70 Europäische Kommission, COM(2020) 264 final, 10-13; Commission Staff Working Document, 28-49. 71 Europäische Kommission, COM(2020) 264 final, 5 f.; Commission Staff Working Document, 4-14. 72 Europäische Kommission, COM(2020) 264 final, 4. 73 Europäische Kommission, COM(2020) 264 final, 4. 74 Diese entsprechen weitgehend ihrer Bilanz ein Jahr zuvor – s. Kap. 2.2.1 75 Europäische Kommission, COM(2020) 264 final, 4; s. Erwägungsgrund 3 DSGVO. 76 S. hierzu Geminn, DVBl. 2018, 1593; Fujiwara/Geminn/Roßnagel, ZD 2019, 204. 77 Europäische Kommission, COM(2020) 264 final, 3; Commission Staff Working Document, 31ff. 78 Jourová, Pressemitteilung der Europäischen Kommission vom 24.6.2020. 79 Europäische Kommission, COM(2020) 264 final, 3, 10 f.; Commission Staff Working Document, 44ff. 2 Evaluation der Datenschutz-Grundverordnung 32 schutzaufsichtsbehörden und dem Europäischen Datenschutzausschuss – ein neues europäisches Verwaltungs- und Durchsetzungssystem für den Datenschutz etabliert habe.80 Die Verantwortlichen hätten die Vorgaben der Verordnung angenommen. Sie hätten inzwischen Datenschutz als Wettbewerbsvorteile und Verkaufsargument erkannt und genutzt.81 In vielen Unternehmen sei eine Compliance-Kultur entstanden.82 Insgesamt sei die Europäische Union auf dem Weg zu einer einheitlichen Datenschutz- Kultur.83 Den technologischen Herausforderungen der Zukunft widmet die Europäische Kommission – im Vergleich zu den vielen Stellungnahmen – vergleichsweise wenig Aufmerksamkeit. Sie stellt lediglich fest, dass die Datenschutz-Grundverordnung auf Prinzipien aufbaue und technikneutrale Regelungen gewählt habe, um auch künftigen Herausforderungen gerecht werden zu können.84 Die in Art. 5 DSGVO genannten Prinzipien seien auch gegenüber den neuen Herausforderungen von Künstlicher Intelligenz, Blockchain, Internet der Dinge, Gesichtserkennung und Quantencomputer anwendbar,85 auch wenn es im Einzelfall schwierig sein kann, die bewährten Prinzipien auf sie zu übertragen. Die Entwicklungen zu begleiten sei eine Aufgabe der Datenschutzaufsichtsbehörden.86 Vorschläge, wie das Datenschutzrecht auf diese Herausforderungen durch spezifische Vorgaben zur Abwehr ihrer jeweils besonderen Risiken und zu ihrer datenschutzgerechten Gestaltung reagieren sollte, entwickelt die Kommission nicht. Die Kommission verkennt, dass viele der neuen Technologien keine auf Einzelfälle begrenzten Herausforderungen für die informationelle Selbstbestimmung hervorrufen, sondern die Datenschutzgrundsätze konzeptionell in Frage stellen.87 Die Kommission stellt in ihrem Bericht zwar fest, dass es Bereiche gäbe, in denen in der Zukunft Verbesserungen möglich seien, schlägt jedoch – 80 Europäische Kommission, COM(2020) 264 final, 5; Commission Staff Working Document, 4. 81 Europäische Kommission, COM(2020) 264 final, 3. 82 Pressemitteilung der Europäischen Kommission vom 24.6.2020. 83 Europäische Kommission, COM(2020) 264 final, 5. 84 Europäische Kommission, COM(2020) 264 final, 10; Commission Staff Working Document, 26 f. 85 Europäische Kommission, Commission Staff Working Document, 28. 86 Europäische Kommission, COM(2020) 264 final, 10; Commission Staff Working Document, 27. 87 S. Kap. 6.3.5; s. näher Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 361 (363ff.); Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn. 40ff., 61ff., 111ff., 133ff., 146ff., 164ff. und 187 jeweils mit vielen Beispielen. 2.3 Evaluation der Europäischen Kommission 33 im Gegensatz zu den meisten Stellungnahmen und vielen Hoffnungen – keine Änderungen des Verordnungstextes vor, die diese Schwachstellen beseitigen. Sie geht vielmehr davon aus, dass sich wahrscheinlich die meisten der durch die Mitgliedstaaten und Stakeholder identifizierten Probleme durch mehr Erfahrung mit der Verordnung über die kommenden Jahre ohnehin erledigen würden.88 Die Kommission kündigt lediglich eine Prüfung an, ob Regelungen notwendig sind, um KMU zu entlasten, insbesondere hinsichtlich der Ausnahmeregelung zur Pflicht, ein Verarbeitungsverzeichnis zu führen,89 und ob entgegen Art. 8 Abs. 1 Satz 3 DSGVO eine Harmonisierung des Einwilligungsalters angezeigt ist, um den Anbietern von Diensten der Informationsgesellschaft die Datenverarbeitung zu erleichtern.90 Gegenüber den Verantwortlichen stellt die Kommission fest, dass einige von ihnen immer wieder bestimmte Pflichten nicht ausreichend erfüllen. So werden die Informationspflichten gegenüber den betroffenen Personen oft nur sehr legalistisch erfüllt, indem sie Datenschutzerklärungen lediglich als juristische Übung ansehen und sehr komplexe und schwerverständliche oder unvollständige Informationen anbieten,91 sie aber nicht – wie Art. 12 Abs. 1 DSGVO vorschreibt – „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ präsentieren. Die Verantwortlichen haben sich bisher nur in wenigen Branchen wie Kreditwesen und Telekommunikation darauf vorbereitet, das Recht auf Datenübertragung zu erfüllen.92 Die Pflicht der Verantwortlichen zur datenschutzgerechten Systemgestaltung und datenschutzfreundlichen Voreinstellung werde von großen digitalen Playern nicht beachtet.93 Sie zitiert „Organisationen aus der Zivilgesellschaft“, die festgestellt haben, dass die Praktiken der Datenverarbeitung dieser großen digitalen Player sich trotz der Datenschutz-Grundverordnung „noch nicht grundsätzlich zu mehr datenschutzfreundlichen Praktiken geändert haben“.94 Diese Praktiken will die Kommission jedoch nicht im Rahmen der Datenschutz-Grundverordnung angehen, sondern bezogen auf die weiter- 88 Europäische Kommission, COM(2020) 264 final, 4. 89 Europäische Kommission, COM(2020) 264 final, 9, 14; Commission Staff Working Document, 22ff. 90 Commission Staff Working Document, 17. 91 Commission Staff Working Document, 21. 92 Europäische Kommission, COM(2020) 264 final, 8 f.; Commission Staff Working Document, 21. 93 Commission Staff Working Document, 21 f. 94 Commission Staff Working Document, 27. 2 Evaluation der Datenschutz-Grundverordnung 34 gehende Frage des Marktverhaltens dieser großen digitalen Player im grö- ßeren Rahmen des Gesetzgebungspakets zu den digitalen Diensten analysieren.95 Schließlich appelliert die Kommission an Verantwortliche, dass sie, wenn sie sich auf Verhaltensregeln nach Art. 40 DSGVO einigen, den Schutz von Kindern stärker berücksichtigen sollten.96 In keiner dieser Feststellungen, dass Verantwortliche die Datenschutz-Grundverordnung nicht einhalten, wird nach den Gründen gefragt. Für den Handlungsbedarf der Kommission müsste es jedoch einen großen Unterschied bedeuten, ob die Pflicht deshalb nicht erfüllt wird, weil die Verantwortlichen sie nicht kennen, sie aus Gewinninteressen nicht vollziehen wollen oder sie nicht vollziehen können, weil die Verordnung sie unklar, rechtsunsicher, unvollständig oder widersprüchlich geregelt hat. Kritik der Kommission setzt nicht an Verbesserungsbedarfen und Verbesserungsmöglichkeiten der Datenschutz-Grundverordnung selbst an, sondern beschränkt sich ausschließlich auf den „Umgang“ mit ihr. Sie kritisiert vor allem ergänzende und konkretisierende Regelungen der Mitgliedstaaten. Konkret benennt die Kommission eine Überdehnung der Öffnungsklauseln der Verordnung durch mitgliedstaatliches Recht.97 In einer Liste in Annex I des „Commission Staff Working Document“ erkennt die Kommission nur 15 Öffnungsklauseln für fakultative Spezifizierungen der Vorschriften der Verordnung an. Warum in dieser Liste etwa die Öffnungsklauseln der Art. 6 Abs. 4, 9 Abs. 2, 17 Abs. 1 lit. d, 26 Abs. 1 Satz 2, 28 Abs. 3, 32 Abs. 4, 35 Abs. 10 und viele weitere fehlen, bleibt unverständlich und unbeantwortet. Spezifizierungen im mitgliedstaatlichen Recht ohne Öffnungsklausel – etwa bezogen auf die Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO – lehnt sie grundsätzlich ab: Der nationale Gesetzgeber dürfe die Abwägung der berechtigten Interessen des Datenverarbeiters mit den schutzwürdigen Interessen der betroffenen Person zu deren Schutz nicht allgemein regeln, sondern müsse diese im Einzelfall dem Verantwortlichen überlassen.98 Ebenso lehnt sie begriffliche Spezifizierungen im Recht der Mitgliedstaaten99 und die Etablierung zusätzlicher Voraussetzungen in spezifischen Verarbeitungssituationen ab. Sie kritisiert, dass die meisten nationalen Datenschutzgesetze bei Beschränkungen 95 Commission Staff Working Document, 27. 96 Commission Staff Working Document, 21. 97 Europäische Kommission, COM(2020) 264 final, 7; Commission Staff Working Document, 15. 98 Commission Staff Working Document, 15 f. 99 Commission Staff Working Document, 15. 2.3 Evaluation der Europäischen Kommission 35 der Betroffenenrechte nicht angeben, welche schutzwürdigen Ziele mit den Beschränkungen erreicht werden sollen und keinen Raum für eine Verhältnismäßigkeitsprüfung lassen.100 Selbst die Nutzung der in Art. 8 Abs. 1 Satz 3 DSGVO explizit angelegten Möglichkeit, die Altersgrenze innerhalb eines vorgegebenen Rahmens von dem vollendeten dreizehnten Lebensjahr bis zum vollendeten sechzehnten Lebensjahr bei der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft anzupassen, brandmarkt die Kommission als eine gefährliche Abweichung von einem Harmonisierungsgedanken des europäischen Datenschutzrechts.101 Es wird das Schreckgespenst einer Fragmentierung des Datenschutzes in der Europäischen Union wie noch unter der Datenschutzrichtlinie beschworen, die den freien Fluss von Daten in der Union bedrohe. Aufgrund dieser Analyse fordert die Kommission die Mitgliedstaaten auf, die Nutzung von Öffnungsklauseln zu beschränken, um eine Fragmentierung des Datenschutzes zu verhindern.102 Auch sollen sie überprüfen, ob sich die nationalen Umsetzungsgesetze tatsächlich innerhalb des Rahmens bewegen, den die Verordnung vorgibt. Die Kommission kündigt an, diesbezüglich in bilaterale Gespräche mit einzelnen Mitgliedstaaten einzutreten und vor der Nutzung des Instruments des Vertragsverletzungsverfahrens nicht zurückzuschrecken.103 In dieser überzogenen Kritik wird deutlich, dass die Kommission ihre Niederlage im Gesetzgebungsprozess der Datenschutz-Grundverordnung nicht überwunden hat. In diesem hat – vor allem der Rat – der Selbstermächtigung der Kommission durch 48 Ermächtigungen zur Konkretisierung der Verordnung Grenzen gesetzt und diese Ermächtigungen der Kommission überwiegend durch Öffnungsklauseln für die Mitgliedstaaten ersetzt.104 Die Kommission beschwört die Harmonisierung weiterhin als „zentrale Zielsetzung“ der Datenschutz-Grundverordnung,105 als hätte es diese Korrektur der Datenschutz-Grundverordnung im Trilog durch die Anerkennung von 70 Öffnungsklauseln nicht gegeben, die dieses Ziel zugunsten einer Ko-Regulierung durch Union und Mitgliedstaaten aufgege- 100 Commission Staff Working Document, 18. 101 Europäische Kommission, COM(2020) 264 final, 7; Commission Staff Working Document, 16 f. 102 Europäische Kommission, COM(2020) 264 final, 14. 103 Europäische Kommission, COM(2020) 264 final, 15; Commission Staff Working Document, 15. 104 S. hierzu ausführlich Roßnagel, in: Roßnagel, 2018, § 1 Rn. 15ff. 105 Commission Staff Working Document, 17. 2 Evaluation der Datenschutz-Grundverordnung 36 ben hat.106 Der europäische Gesetzgeber, also Rat und Parlament, hat dies – im Gegensatz zur Kommission – so gewollt und so entschieden und damit notwendig eine gewisse Fragmentierung des Datenschutzrechts in der Union akzeptiert. Die Kommission nimmt jedoch mit ihrem Evaluationsbericht den Machtkampf wieder auf und versucht, die Entscheidung des Gesetzgebers durch ihre Auslegung der Öffnungsklauseln zurückzudrehen. Auch wenn manche Mitgliedstaaten – auch Deutschland – im Einzelfall etwa unzulässig starke Einschränkungen der Rechte der betroffenen Personen vorgenommen haben, ist es – gemessen am Text der Datenschutz- Grundverordnung – übertrieben, die Legitimität der Ausfüllung der Öffnungsklauseln durch die Mitgliedstaaten grundsätzlich in Frage zu stellen. Die Kommission versucht mit ihrem Bericht eine Diskussion über die Verbesserung des europäischen Datenschutzrechts zu verhindern. Sie richtet den Scheinwerfer von den Defiziten der Verordnung selbst weg auf die Gesetzgebung der Mitgliedstaaten. Klar ist aber, dass die Diskussion um die Weiterentwicklung des Datenschutzrechts im Allgemeinen und der Datenschutz-Grundverordnung im Speziellen als Fundament dieses Datenschutzrechts dennoch nicht stehenbleiben darf. Zu groß ist der Druck durch moderne Verarbeitungspraktiken, neue Technologien und praktische Probleme. Gerade aus Sicht der Verbraucher zeigt sich, dass die Datenschutz-Grundverordnung trotz der zahlreichen, mitunter großen Verbesserungen des rechtlichen Status quo noch deutlichen Verbesserungsbedarf in sich trägt. Zudem sind auch zwei Jahre nach ihrem Geltungsbeginn die in der Verordnung angelegten Potenziale längst noch nicht ausgeschöpft.107 Dies gilt insbesondere für die wesentlichen Innovationen der Datenschutz-Grundverordnung, zu deren prominentesten Vertretern die Forderung nach Datenschutz durch Systemgestaltung und durch datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO gehört. Mit der Fokussierung ihrer Evaluation der Verordnung hat sich die Europäische Kommission auf die Untersuchung ausgewählter Probleme ihrer Umsetzung beschränkt. Eine echte Bewertung und Überprüfung der Verordnung selbst, wie in Art. 97 Abs. 1 Satz 1 DSGVO gefordert, ist unterblieben. Stattdessen führt die Kommission ihre Auseinandersetzung mit den Mitgliedstaaten fort, deren selbständige Ausfüllung der von der Verordnung ausdrücklich vorgesehenen Öffnungsklauseln sie als eine Bedrohung ihrer spezifischen, aber nicht Gesetz gewordenen Konzeption emp- 106 S. näher Roßnagel, in: Roßnagel, 2018, § 1 Rn. 29ff. 107 S. zu den Innovationen der DSGVO Roßnagel, DuD 2019, 467ff. sowie den Schwerpunkt des Heftes 8 der DuD 2019. 2.3 Evaluation der Europäischen Kommission 37 findet. Dabei sind einige der in den Mitgliedstaaten erfolgten Abweichungen gerade mit dem Ziel erfolgt, bestehende Regelungslücken der Verordnung zu schließen und Defizite zu beheben. Im Ergebnis zementiert die Kommission die Datenschutz-Grundverordnung mit all ihren Mängeln. Sie berücksichtigt nicht, dass ihre Konzeption bereits 10 Jahre alt ist, ihr Entwurf durch die Kommission acht Jahre her ist und die Verordnung bereits vor fünf Jahren im Trilog ihre endgültige Form gefunden hat – Zeiträume, die angesichts der technischen Entwicklung enorm sind. Umso fataler ist, dass die Europäische Kommission für die nächste Evaluation 2024 nur eine weitere Überprüfung ihrer Umsetzung ankündigt.108 Mag sein, dass die Kommission befürchtet hat, dass der über viele Jahre mühsam ausgehandelte Kompromiss erodiert, wenn sie an einzelnen Formulierungen rüttelt. Auch wollte sie wohl an der von ihr betriebenen Überhöhung der Datenschutz-Grundverordnung als besonders gelungenes Gesetzeswerk festhalten. Dass sie nicht einmal eine Diskussion über eine künftige Evolution des Datenschutzrechts in der Europäischen Union angestoßen hat, ist jedoch in höchstem Maße zu bedauern. Sie hat damit die in der Verordnung selbst angelegte Chance einer regelmäßigen Weiterentwicklung zum Stichtag der ersten vorgesehenen Evaluation vertan. Dabei zeigt sich, dass eine Adressierung vieler Defizite der Datenschutz-Grundverordnung bereits mit geringen textlichen Veränderungen erreicht werden könnte. Diese Änderungen würden sich in greifbaren Verbesserungen für die Verbraucher manifestieren. Für die Kommission könnte ihr Vorgehen ins Gegenteil dessen umschlagen, was sie als Ziel vorgegeben hat. Die Diskussion über die Weiterentwicklung des Datenschutzrechts wird weitergeführt werden und notwendige Anpassungen werden möglicherweise auf mitgliedstaatlicher Ebene stattfinden. Die Androhung von Vertragsverletzungsverfahren angesichts des rechtspolitischen Versagens der Kommission vor den datenschutzrechtlichen Herausforderungen ist kein besonders „scharfes Schwert“ um die Mitgliedstaaten vor legislativen Innovationen abzuschrecken. Fragen der Harmonisierung des Datenschutzrechts und der Reichweite der 70 Öffnungsklauseln der Datenschutz-Grundverordnung werden dann eine umso größere Rolle spielen und zu einer Evolution der Datenschutz-Grundverordnung zwingen.109 108 Europäische Kommission, COM(2020) 264 final, 14. 109 S. hierzu Kap. 7. 2 Evaluation der Datenschutz-Grundverordnung 38 Die Datenschutz-Grundverordnung aus Verbrauchersicht Vor diesem Hintergrund erfolgt eine nach einzelnen Artikeln der Datenschutz-Grundverordnung geordnete Evaluation der Regelungen der Verordnung aus Verbrauchersicht. Wo dies erforderlich ist, werden mitgliedstaatliche Umsetzungen und Ausgestaltungen der Datenschutz-Grundverordnung in Deutschland mitberücksichtigt. Ausübung persönlicher oder familiärer Tätigkeiten Die Regelung, den Anwendungsbereich der Datenschutz-Grundverordnung bei Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten auszuschließen, muss vor dem Hintergrund der Entwicklung der Datenverarbeitung kritisch hinterfragt werden. Nach Art. 2 Abs. 2 lit. c DSGVO findet die Datenschutz-Grundverordnung keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn diese durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten stattfindet. Erwägungsgrund 18 Satz 1 DSGVO präzisiert dies insofern, als kein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen werden darf. Satz 2 des Erwägungsgrundes enthält Beispiele, für die die Anwendung der Datenschutz-Grundverordnung ausgeschlossen sein „könnte“. Dies ist das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten. Satz 3 stellt fest, dass der Ausschluss der Anwendung für den Verantwortlichen nicht für die Verantwortlichen oder Auftragsverarbeiter gilt, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Persönliche Tätigkeiten sind im Ergebnis Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum dienen, während familiäre Tätigkeiten solche Tätigkeiten sind, die der Pflege familiärer Beziehungen und des familiären Zusammenhalts dienen.110 Der vollständige Ausschluss des Anwendungsbereichs der Datenschutz- Grundverordnung gilt generell und auch dann, wenn besondere Kategori- 3 3.1 110 Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 2 Rn. 25. 39 en personenbezogener Daten verarbeitet werden.111 Eine Einzelfallabwägung findet auch bei hohen tatsächlichen Risiken durch die Datenverarbeitung nicht statt. Es wird deshalb eine enge Auslegung der Regelung gefordert.112 Zu beachten ist, dass durch die Verwendung des Begriffs „ausschließlich“ in der Vorschrift eine Verarbeitung, die zu einem Teil auch außerhalb des persönlichen oder familiären Bereichs liegt, trotz der teilweisen Verortung in der persönlichen oder familiären Sphäre der Datenschutz-Grundverordnung unterliegt.113 Nicht unter die Ausnahme des Art. 2 Abs. 2 lit. c DSGVO fällt der Austausch von Informationen mit und in einem größeren Kreis von Kommunikationsteilnehmern.114 Problematisch ist es dabei festzustellen, wo die Grenze zwischen persönlicher Kommunikation und Kommunikation in einem größeren Teilnehmerkreis verläuft. Klar ist lediglich, dass der Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist, wenn der Empfängerkreis personenbezogener Daten eine unbestimmte Größe hat.115 Dies hat in der Praxis zu Unsicherheiten geführt, die sich in Fällen von Ubiquitous Computing116 künftig noch steigern werden. Findet etwa eine Datenverarbeitung im Smart Home statt, so ist im Zweifel, wenn eine Nutzungsbeschränkung auf den Wohnungsinhaber und seine Familie nicht sichergestellt ist, von der Anwendbarkeit der Datenschutz-Grundver- 111 S. Ennöckl, in: Sydow, 2018, Art. 2 Rn. 11. 112 EuGH C‑212/13, EuZW 2015, 234 Rn. 28 f. – Ryneš; Husemann, in: Roßnagel, 2018, § 3 Rn. 9; Kühling/Raab, in: Kühling/Buchner, 2018, Art. 2 Rn. 23; Zerdick, in: Ehmann/Selmayr, 2018, Art. 2 Rn. 10; zum Gebot der restriktiven Auslegung, um der Datenschutzkonvention des Europarats (Konvention 108, BGBl. II 1985, 538) zu genügen, die diese Ausnahme nicht kennt, s. Ennöckl, in: Sydow, 2018, Art. 2 Rn. 10; Dammann, in: Simitis, BDSG, 2014 § 1 Rn. 148. 113 S. z.B. Dammann, in: Simitis, BDSG, 2014, § 1 Rn. 150; Simitis, in: Simitis, BDSG, 2014, § 27 Rn. 47ff.; Buchner, in: Taeger/Gabel, BDSG, 2013, § 27 Rn. 19; a.A. Gola/Lepperhoff, ZD 2016, 9 (10). 114 Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 2 Rn. 29. 115 S. EuGH C-101/01, EuZW 2004, 245 Rn. 37ff. – Lindquist, Anm. Roßnagel, MMR 2004, 99 f.; Dammann, RDV 2004, 19; s. auch Ernst, in: Paal/Pauly, 2018, Art. 2 Rn. 21; Ennöckl, in: Sydow, 2018, Art. 2 Rn. 13; Kühling/Raab, in: Kühling/Buchner, 2018, Art. 2 Rn. 25; Albrecht/Jotzo, 2017, Teil 3 Rn. 30; Gola, in: Gola, 2018, Art. 2 Rn. 16; Dammann, in: Simitis, BDSG, 2014, § 1 Rn. 151; a.A. von Lewinski, in: Auernhammer, 2018, Art. 2 Rn. 24; Buchner, FamRZ 2019, 665 (666 f.). 116 Für eine Einschränkung der Ausnahme argumentiert Roßnagel, 2007, 131, 192 f. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 40 ordnung auszugehen.117 Erfassen Wearables oder das Smart Car personenbezogene Daten im öffentlichen Raum, so ist die Verordnung ebenfalls anwendbar.118 Unklar aber ist bei der gegenwärtigen Formulierung, wo die Grenzen liegen. Dadurch entstehen hohe Befolgungsrisiken bei den Personen, die Daten für persönliche und familiäre Zwecke verarbeiten. Datenschutzrisiken Auch jenseits von Abgrenzungsproblemen, denen durch Konkretisierungen durch den Europäischen Datenschutzausschuss zusätzlich zu der bereits erfolgten Rechtsprechung des Europäischen Gerichtshofs119 abgeholfen werden sollte, liegen Probleme. So hat der einzelne Verbraucher heute Zugriff auf hochkomplexe Technik, die etwa über Aktivitätsberichte oder direkt über Video und Audio auch zur Überwachung von Kindern120 oder des Lebenspartners eingesetzt werden kann.121 Soweit das Risiko der Datenverarbeitung über anerkannte Fallgruppen persönlicher und familiärer Tätigkeiten hinausgeht, ist zu fordern, dass die Ausnahme eingeschränkt wird – zumindest in Fällen, in denen eine deutliche Risikosteigerung vorliegt. Dies sollte in jedem Fall dann angenommen werden, wenn durch die Datenverarbeitung eine umfassende Überwachung ermöglicht wird. Eine vollständige Ausnahme auch dieser Art von Datenverarbeitung wird dem Schutzbedürfnis der betroffenen Personen, 3.1.1 117 S. hierzu Geminn, DuD 2015, 575; von Lewinski, in: Auernhammer, 2018, Art. 2 Rn. 30; Skistims, 2016, 393ff. Werden Daten etwa an den Energieversorger oder Dienstleister weitergegeben oder werden von Gästen, Handwerkern, Postboten etc. erfasste Daten weitergegeben, entfällt der persönliche oder familiäre Zweck. 118 Dies aber z.B. umstritten mit Blick auf sog. Dashcams; s. z.B. Reibach, DuD 2015, 157; Kinast/Kühnl, NJW 2014, 3057; Greger NVZ 2015, 114. Zu Drohnen s. Bischof DuD 2017, 142 (144 f.). Zu Kamerasystemen s. Stöber, NJW 2016, 3681 (3682); EuGH C‑212/13, EuZW 2015, 234, Rn. 34 f. – Ryneš. Zu Wearables s. Rose, DuD 2017, 137 (138 f.); Solmecke/Kocatepe, ZD 2014, 22; Schwenke, DuD 2015, 161. Zum Smart Car s. Roßnagel u.a., 2016, 59 f.; Roßnagel/ Hornung, 2019. 119 EuGH C-101/01, EuZW 2004, 245 Rn. 37ff. – Lindqvist, Anm. Roßnagel MMR 2004, 99 f.; Dammann, RDV 2004, 19; EuGH C‑212/13, EuZW 2015, 234 Rn. 34 f. – Ryneš. 120 S. z.B. Buchner, FamRZ 2019, 665 (667 f.). 121 Gola/Lepperhoff, ZD 2016, 9 (12); Roßnagel/Kroschwald, ZD 2014, 495; s. Husemann, in: Roßnagel, 2018, § 3 Rn. 9. 3.1 Ausübung persönlicher oder familiärer Tätigkeiten 41 insbesondere Minderjähriger, nicht gerecht.122 Deren Schutz ist aber gerade auch verfassungsrechtlich mit Blick auf Art. 7 und 8 GRCh geboten. Die Quantität der Datenverarbeitung sollte indes nicht entscheidend sein,123 sondern es sollte auf die Zwecke der Verarbeitung abgestellt werden. Bei Social Networks, Messengern und ähnlichen Diensten besteht überdies häufig das Problem, dass alle eingebrachten Daten dem Betreiber bekannt werden.124 Damit besteht gleichzeitig das Risiko einer Weitergabe an Dritte – sowohl an befreundete Unternehmen des Anbieters, Werbetreibende und staatliche Stellen.125 Zusammenfassend ist zu konstatieren, dass die Ausnahme des Art. 2 Abs. 2 lit. c DSGVO ein Beispiel für die Unzulänglichkeiten der Datenschutz-Grundverordnung bei der Gewährleistung eines risikoadäquaten Schutzes der betroffenen Personen ist. Ihre Übernahme aus Art. 3 DS- RL wird den seit den 1990er Jahren erfolgten enormen technischen Entwicklungen nicht gerecht. Diese Entwicklung betrifft nicht nur Rechenleistung, sondern auch Speicherkapazitäten und Möglichkeiten zur Daten- übermittlung. Darüber hinaus wurde Sensorik verschiedenster Art auf dem Verbrauchermarkt verfügbar und kann im privaten und familiären Bereich eingesetzt werden.126 Eine vollständige Ausnahme, wie sie Art. 2 Abs. 2 lit. c DSGVO darstellt, kann vor dem Hintergrund dieser Entwicklung und der damit verbundenen Risiken nicht gerechtfertigt werden.127 Vielmehr ist auch bei persönlichen und familiären Tätigkeiten risikoad- äquat zu differenzieren und nur bei – näher zu bestimmenden – geringen Risiken auf eine Anwendung des Datenschutzrechts zu verzichten. 122 In diese Richtung auch Albrecht/Jotzo, 2017, Teil 3 Rn. 30; Buchner, FamRZ 2019, 665 (667 f.). 123 So aber z.B. Dammann, in: Dammann/Simitis, DSRL, 1997, Art. 2 Rn. 8; Dammann, in: Simitis, BDSG, 2014, § 1 Rn. 150. 124 Dies gilt z.B. nicht für die Inhalte der Kommunikation, wenn Messenger-Dienste diese Ende-zu-Ende-verschlüsseln. 125 Buchner, FamRZ 2019, 665 (666) weist zurecht darauf hin, dass sich z.B. Facebook in seinen Nutzungsbedingungen eine „nicht-exklusive, übertragbare, unterlizenzierbare und weltweite Lizenz“ einräumen lässt, die Inhalte seiner Nutzer „zu hosten, zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren, öffentlich vorzuführen oder anzuzeigen, zu übersetzen und abgeleitete Werke davon zu erstellen“ (Ziff. 3.1; https//de-de.facebook.com/legal/terms). 126 S. hierzu ausführlich Roßnagel, 2007, 192ff.; Roßnagel u.a., 2016, 1ff. 127 Roßnagel/Nebel/Richter, ZD 2015, 455; Gola/Lepperhoff, ZD 2016, 9 (12). 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 42 Beschränkte Anwendung der Datenschutz-Grundverordnung Umgekehrt ist festzustellen, dass Datenverarbeitungen im privaten Handlungskontext aufgrund der enormen technischen Möglichkeiten, die ein Nutzer bereits heute und erst recht künftig hat, zwar in den Geltungsbereich der Verordnung fallen, aber dennoch sozial üblich sind. Da die Datenschutz-Grundverordnung keine Differenzierungen kennt, sind auf diese Handlungen, wenn sie unter die Verordnung fallen, alle Anforderungen der Datenschutz-Grundverordnung anzuwenden. Diese sind den (privaten) Verantwortlichen gegenüber weder zu vermitteln noch effektiv durchzusetzen. Das in der Praxis vielleicht relevanteste Beispiel dürfte die Veröffentlichung von Gruppenbildern auf einer privat genutzten Webseite oder auf einem Social Network sein. Die Veröffentlichung im Internet gehört nach Ansicht des Europäische Gerichtshofs „offensichtlich nicht“ zum Privat- und Familienleben von Einzelpersonen.128 Doch selbst wenn eine Einwilligung der abgebildeten Personen eingeholt und dokumentiert wurde, fehlt es in der Regel an datenschutzkonformer Information, Dokumentation, Systemgestaltung und Sicherungsmaßnahmen. Diese millionenfach durch Aufsichtsmaßnahmen einzufordern und durch Sanktionen durchzusetzen, wäre sozial inadäquat und unverhältnismäßig. Sowohl um bei der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten unvertretbare Risiken für betroffene Personen zu vermeiden als auch um bei sozial üblichem und vertretbarem Verhalten außerhalb dieses Bereichs unverhältnismäßige Datenschutzmaßnahmen nicht ergreifen zu müssen, sollte die Datenschutz-Grundverordnung einen Handlungsbereich definieren, der bei erhöhten Risiken zwar Datenschutzpflichten begründet, aber die Verordnung nicht vollständig zur Anwendung kommen lässt. Für diesen Bereich sollten nur ausgewählte Regelungen gelten.129 Denkbar wären etwa die Regelungen der Datenschutz- Grundverordnung zur Interessenabwägung, zum Schadensersatz, zur Datensicherung und zur Auftragsverarbeitung sowie angepasste Regelungen zur Signalisierung der Einwilligung und Identifizierung betroffener Personen sowie zur Auskunft.130 3.1.2 128 EuGH C-101/01, EuZW 2004, Rn. 47; s. auch EuGH C-73/ 07. S. auch Kühlung/ Raab, in: Kühling/Buchner, DSGVO, 2018, Art. 2 Rn. 25. 129 S. etwa Jandt/Roßnagel, ZD 2011, 160; Roßnagel/Richter/Nebel, ZD 2013, 104. 130 S. z.B. Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 2, Rn. 55. 3.1 Ausübung persönlicher oder familiärer Tätigkeiten 43 Aufenthaltsprinzip Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung wurde im Vergleich zur Datenschutzrichtlinie deutlich ausgeweitet. Die Ausweitung des Anwendungsbereichs der Datenschutz-Grundverordnung in Art. 3 Abs. 2 DSGVO gilt in zwei Fällen – wenn ein Datenverarbeiter personenbezogene Daten von Personen verarbeitet, die sich in der Union aufhalten, nämlich wenn er entweder der betroffenen Person Waren oder Dienstleistungen anbietet (Marktort) oder die Datenverarbeitung der Beobachtung ihres Verhaltens dient (Beobachtungsort).131 Dadurch will die Datenschutz-Grundverordnung auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der Union und Anbietern außerhalb der Union sorgen und die Wahrnehmung von Betroffenenrechten vereinfachen. Mit der Ausweitung ist die Geltung des europäischen Datenschutzrechts nicht mehr an die Niederlassung des Verantwortlichen geknüpft, sondern hängt auch vom Aufenthaltsort der betroffenen Person in der Europäischen Union ab. Möglich gewesen wäre indes auch eine Ausweitung des räumlichen Anwendungsbereichs, die sich nicht auf das Anbieten von Waren oder Dienstleistungen oder die Verhaltensbeobachtung beschränkt. Eine Erstreckung des Anwendungsbereichs auf jede Form der Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union aufhalten, hätte Abgrenzungsschwierigkeiten zwischen Art. 3 Abs. 2 lit. a und b DSGVO vermieden und eine weitere Steigerung des Schutzniveaus bedeutet.132 Zudem bereitet auch die Frage, wann ein Angebot („anbieten“) an betroffene Personen in der Europäischen Union vorliegt, Schwierigkeiten.133 Die Erwägungsgründe 23 und 24 DSGVO allein reichen zur Klarstellung dieser relevanten Abgrenzungsprobleme nicht aus. Problematisch gestaltet sich beispielsweise das Angebot von Waren oder Dienstleistungen auf einer Webseite in einer Sprache, die auch außerhalb der Europäischen Union Landessprache ist.134 Sofern hier nicht direkt Personen in der Europäischen Union angesprochen werden, ist fraglich, ob „offensichtlich“ im Sinn von Erwägungsgrund 23 DSGVO betroffene Personen in einem oder mehreren Mitgliedstaaten adressiert werden. 3.2 131 Die Bezeichnung Marktortprinzip trifft dementsprechend nur für Art. 3 Abs. 2 lit. a DSGVO zu, nicht aber für lit. b. 132 S. Husemann, in: Roßnagel, 2018, § 3 Rn. 17. 133 S. zur Problematik Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 80ff. 134 S. Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 87. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 44 In der Literatur wird ein Rückgriff auf Art. 57 Abs. 1 AEUV und Richtlinie 2006/123/EG (bezogen auf Dienstleistungen) sowie Art. 28ff. AEUV (bezogen auf Waren) diskutiert.135 Dies entspräche dem Gebot einer autonomen Auslegung der Datenschutz-Grundverordnung am Maßstab des europäischen Rechts, steht jedoch vor dem Problem, dass die dort befindlichen Definitionen nicht ohne Anpassungen übernommen werden können.136 In jedem Fall ist eine weite Auslegung der Begriffe angezeigt, um Schutzlücken auszuschließen. Den Abgrenzungsschwierigkeiten könnte zwar eine Klarstellung durch den Europäischen Datenschutzausschuss abhelfen, die insbesondere auf die Begriffe „Waren“, „Dienstleistungen“ und „anbieten“ konkretisierend eingeht.137 Wirksamer und eindeutiger wäre jedoch die Einschränkung auf das Angebot von Waren und Dienstleistungen zu streichen. Von besonderer Bedeutung ist für die Wahrnehmung des Datenschutzrechts in dem neu beschriebenen Anwendungsbereich, dass sich bei den Aufsichtsbehörden Praktiken herausbilden, die eine effektive Rechtsdurchsetzung auch jenseits der Grenzen der Europäischen Union ermöglichen. Hier wird kritisiert, dass insbesondere ein Durchgriff auf kleine Anbieter Schwierigkeiten bereiten dürfte,138 aber auch allgemein grundsätzliche Durchsetzungsprobleme außerhalb der Grenzen der Europäischen Union bestehen.139 Eine Beschlagnahme etwa von in der Europäischen Union befindlichem Vermögen ist nicht möglich, wenn ein solches Vermögen gar nicht existiert. Auch eine Durchsetzung gegenüber dem Vertreter in der Europäischen Union140 scheidet aus, wenn gar kein Vertreter bestellt wurde. Schon die Zustellung eines Bußgeldbescheides kann auf globaler Ebe- 135 So etwa Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 71ff. bzw. 76ff. S. auch Zerdick, in: Ehmann/Selmayr, 2018, Art. 3 Rn. 18. 136 So auch Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 73 bzw. 79. 137 S. Hornung, in: Simitis/Hornung/Spiecker, 2019, Art. 3 Rn. 48ff.; Ennöckl, in: Sydow, 2018, Art. 3 Rn. 13 f. 138 S. etwa Schwartmann, in: Schwartmann u.a., 2018, Art. 4 Rn. 38. Deutscher Industrie- und Handelskammertag, 2019, 5, fordert die Durchsetzung vor allem gegenüber großen Unternehmen aus Drittländern. 139 S. Klar, in: Kühling/Buchner, 2018, Art. 3 Rn. 27, der darauf verweist, dass „Ermittlungs- und Rechtsdurchsetzungsbefugnisse im EU-Ausland nur nach Maßgabe bislang nicht existierender zwischenstaatlicher Verträge bestehen“; vgl. Geminn, DVBl. 2018, 1593 (1594). 140 S. Art 27 Abs. 1 DSGVO. Auch die faktische Möglichkeit der Überprüfung des Vorliegens der Ausschlusskriterien von Art. 27 Abs. 2 DSGVO ist von der Kooperation des nicht in der Europäischen Union niedergelassenen Verantwortlichen oder Auftragsverarbeiters abhängig. 3.2 Aufenthaltsprinzip 45 ne leicht scheitern. Die Diskussion um Lösungsansätze steckt hier noch in den Anfängen. Grundsätze der Datenverarbeitung Die gesetzliche Festlegung der Datenschutzgrundsätze in Art. 5 DSGVO ist ein großer Fortschritt im Vergleich zu Art. 6 Abs. 1 DSRL. Sie sollte jedoch hinsichtlich des Grundsatzes „Treu und Glauben“ präzisiert und um den Grundsatz der Datenvermeidung, der nicht im Grundsatz der Datenminimierung enthalten ist, ergänzt werden. Grundsatz der Fairness Nach Art. 5 Abs. 1 lit. a DSGVO und Art. 8 Abs. 2 Satz 1 GRCh müssen personenbezogene Daten nach Treu und Glauben verarbeitet werden. Der Grundsatz von Treu und Glauben ist in seiner Tragweite jedoch umstritten. Der Europäische Gerichtshof hat festgestellt, er verpflichte etwa „eine Verwaltungsbehörde, die betroffenen Personen davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um von dieser […] weiterverarbeitet zu werden“.141 Dabei sind aber die Unterschiede zwischen Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSRL zu beachten, zu dem die Entscheidung erging. Bezogen auf Art. 5 Abs. 1 lit. a DSGVO dürfte die vom Europäischen Gerichtshof formulierte Anforderung im Transparenzprinzip aufgehen. Dem Grundsatz von Treu und Glauben muss also ein darüberhinausgehender Gehalt zukommen. Im deutschen Recht ist der Begriff bereits zivilrechtlich besetzt, muss aber in der Datenschutz-Grundverordnung autonom ausgelegt werden. Um hier Missverständnisse zu vermeiden, sollte die deutsche Sprachfassung der Datenschutz-Grundverordnung Treu und Glauben durch Fairness übersetzen.142 Der Begriff wird auch in der englischen Fassung verwendet und ist auch als deutscher Begriff im Duden zu finden. Bezogen auf Gehalt und Tragweite des Grundsatzes von Treu und Glauben ist zu verhindern, dass er einerseits durch den Grundsatz der Transparenz, andererseits durch den Grundsatz der Rechtmäßigkeit der Verarbei- 3.3 3.3.1 141 EuGH, C-201/14, ZD 2015, 577 (578) Rn. 56 – Bara. 142 So Reimer, in: Sydow, 2018, Art. 5 Rn. 14; Wolff, in: Schantz/Wolff, 2017, Rn. 392; Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn. 47. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 46 tung überflüssig ist. Er könnte die Rolle einer Auffangklausel einnehmen, wenn eine Verarbeitung zwar formell und materiell rechtmäßig erfolgt, dies aber in einem bestimmten Fall als unbillig erscheint, etwa weil das Machtgefälle zwischen Anbieter und Verbraucher „unfair“ zum Nachteil des Verbrauchers ausgenutzt wurde.143 Der Europäische Datenschutzausschuss sieht im Grundsatz von Treu und Glauben eine Würdigung der „reasonable expectations“ der betroffenen Person mit Blick auf die Machtasymmetrie zwischen dieser und dem Verantwortlichen.144 Zusammenfassend ist der Gehalt des Grundsatzes von Treu und Glauben in der Datenschutz-Grundverordnung zu präzisieren, denn er ist in höchstem Maße ausfüllungsbedürftig. Dies könnte etwa in Erwägungsgrund 39 DSGVO geschehen, so wie es dort auch bezogen auf den Grundsatz der Transparenz geschehen ist. Zudem sollte seine Rolle in der Interessenabwägung und der Bewertung der Wirksamkeit der Einwilligung145 gestärkt werden. Aber auch die weiteren Grundsätze für die Verarbeitung personenbezogener Daten bedürfen der Präzisierung. Statt solche Präzisierungen vorzunehmen, ist die Datenschutz-Grundverordnung wie an vielen Stellen auch hier von der Verwendung unbestimmter Begriffe geprägt,146 die äußerst interpretationsoffen sind.147 Der Europäische Datenschutzausschuss sollte hier durch die Formulierung von entsprechenden Leitlinien tätig werden. Grundsatz der Datenvermeidung § 3a BDSG a.F. enthielt das Gebot von Datenvermeidung und Datensparsamkeit. Obwohl es zu den allgemeinen Datenschutzprinzipien zählte, war es nicht sanktionsbewehrt und blieb unspezifisch; seine praktische Relevanz war denkbar gering. In Art. 5 Abs. 1 lit. c DSGVO spricht die Datenschutz-Grundverordnung nun von „Datenminimierung“. Es handelt sich 3.3.2 143 So Dammann, in: Dammann/Simitis, 1997, Art. 6 Rn. 3 für die Datenschutzrichtlinie; ebenso Reimer, in: Reimer, 2018, Art. 5 Rn. 14; Herbst, in: Kühling/ Buchner, 2018, Art. 5 Rn. 17 für die DSGVO. 144 Draft Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, version for public consultation, 9 April 2019, 5. 145 S. hierzu Kap. 3.4. 146 Z.B. „nachvollziehbar“, „geeignet“, „angemessen“, „legitim“, „vereinbar“, „erheblich“, „erforderlichenfalls“. 147 S. Richter, DuD 2015, 735 (739); Roßnagel/Nebel/Richter, ZD 2015, 455 (457 f.); Frenzel, in: Paal/Pauly, 2018, Art. 5 Rn. 55. 3.3 Grundsätze der Datenverarbeitung 47 dabei um eine Fortführung des Grundsatzes der Erforderlichkeit der Verarbeitung aus Art. 6 Abs. 1 lit. c DSRL. Daten dürfen nur insoweit verarbeitet werden, als sie als Mittel zur Erreichung des Zwecks der Verarbeitung erforderlich sind; der Verantwortliche ist aber frei, den Zweck der Verarbeitung zu wählen und auszugestalten. Dieser Zweck wird vom Grundsatz der Datenminimierung nicht weiter hinterfragt. § 3a BDSG a.F. forderte hingegen, die Vermeidung von personenbezogenen Daten bereits bei der Zweckfestlegung zu berücksichtigen, mithin den Zweck so auszuwählen, dass möglichst wenige personenbezogene Daten erforderlich werden.148 Geht es etwa um die Abrechnung der Nutzung eines Dienstes, so wäre ein Abrechnungsverfahren zu wählen, das möglichst wenige personenbezogene Daten erfordert.149 Umgangssprachlich zwar nahe verwandt, sind Datenminimierung und Datensparsamkeit damit nicht gleichbedeutend.150 Datenvermeidung kann als Gebot allenfalls aus Erwägungsgrund 78 Satz 3 DSGVO herausgelesen werden, der fordert als Teil von Art. 25 DSGVO die Verarbeitung personenbezogener Daten zu minimieren. Zudem kann er als Teil des Verhältnismäßigkeitsgrundsatzes in die Auslegung von Verarbeitungserlaubnissen der Datenschutz-Grundverordnung Eingang finden, wonach ein Eingriff in grundrechtlich geschützte Positionen so gering wie möglich gehalten werden muss.151 Aus Gründen der Rechtssicherheit sollte ein § 3a BDSG a.F. entsprechendes Grundprinzip dennoch explizit Eingang in die Datenschutz-Grundverordnung finden. Hierzu böte sich vor allem Art. 5 Abs. 1 lit. c DSGVO an. Dann würden auch Verstöße gegen das Prinzip mit Sanktionen belegt werden können. Abgesehen von den angesprochenen Problemen im Einzelfall ist den Grundsätzen der Datenverarbeitung gemein, dass sie mit moderner, insbesondere mit smarter Informationstechnik in Konflikt geraten. Sie müssen deshalb modernisiert und risikoadäquat weiterentwickelt werden.152 148 Roßnagel, in: Eifert/Hoffmann-Riem, 2011, 41ff. m.w.N. 149 So bereits Roßnagel/Pfitzmann/Garstka, 2001, 101. 150 Roßnagel, DuD 2016, 561 (562); Herbst, in: Kühling/Buchner, 2018, Art. 5 Rn. 55. Trotz anderslautender Stimmen in der deutschsprachigen Fachliteratur, z.B. Albrecht/Jotzo, 2017, 52; Buchner, DuD 2016, 155 (156); Heberlein, in: Ehmann/Selmayr, 2018, Art. 5 Rn. 22; Frenzel, in: Paal/Pauly, 2018, Art. 5 Rn. 53; Wolff, in: Schantz/Wolff, 2017, Rn. 427; Pötters, in: Gola, 2018, Art. 5 Rn. 21. 151 S. bezogen auf die Verarbeitung personenbezogener Daten EuGH, C-293/12 und C-594/12, NJW 2014, 2169 – Digital Rights Ireland; EuGH, C-362/14, NJW 2015, 3151 – Schrems; EuGH, C-203/15 und C-698/15, NJW 2017, 717 – Tele2 Sverige; BVerfGE 65, 1 (43, 46). 152 S. hierzu näher Kap. 5.3. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 48 Einwilligung und andere Erlaubnistatbestände Nach dem Geltungsbeginn der Datenschutz-Grundverordnung im Mai 2018 waren die E-Mail-Postfächer vieler Verbraucher voll von Nachrichten, die vor dem Hintergrund der Verordnung zur Abgabe einer Einwilligung aufforderten. Diese Aufforderungen erfolgten oftmals, obwohl bereits eine Verarbeitungserlaubnis nach Art. 6 Abs. 1 UAbs. 1 lit. b oder lit. f DSGVO bestand.153 Dies führte durch die bürokratische Aufforderung und die notwendige Zusatzarbeit nicht nur zu einem Prestigeverlust des Datenschutzes; lange gehegte Vorurteile sahen sich bestätigt. Vielmehr führt die Inanspruchnahme einer Einwilligung nach Art. 6 Abs. 1 lit. a oder 9 Abs. 2 lit. a DSGVO neben einem weiteren gesetzlichen Erlaubnistatbestand zu einer Verwirrung über die Voraussetzungen und Rechtsfolgen der Datenverarbeitung.154 Einerseits suggeriert Art. 6 Abs. 1 UAbs. 1 DSGVO durch die Verwendung des Begriffs „mindestens“, dass mehrere Erlaubnistatbestände nebeneinander Anwendung finden können.155 Dies wird unterstützt durch die Regelung des Art. 17 Abs. 1 lit. b DSGVO, nach der ein Widerruf der Einwilligung nur dann einen Anspruch auf Datenlöschung begründet, wenn es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.156 Dieser Vorbehalt betrifft nicht die Verpflichtung zur Datenverarbeitung gemäß Art. 6 Abs. 1 lit. c DSGVO. Denn bei einer solchen Verpflichtung gelten nach Art. 17 Abs. 3 lit. b DSGVO die Abs. 1 und 2 dieser Vorschrift überhaupt nicht. Der Löschanspruch nach Art. 17 Abs. 1 lit. b DSGVO ist somit dann ausgeschlossen, wenn eine Datenverarbeitung auf die Erlaubnistatbestände des Art. 6 Abs. 1 UAbs. 1 lit. b oder lit. f DSGVO gestützt wird. Dennoch verstößt bezogen auf die Einwilligung die Nutzung mehrerer Tatbestände gegen den Grundsatz von Treu und Glauben, da der Verantwortliche hier das Vertrauen der betroffenen Person missbraucht.157 Ähn- 3.4 153 S. hierzu und zum Folgenden auch Roßnagel, DuD 2018, 741 (745). 154 Klärungsbedarf sieht auch die Bundesregierung, in: Rat, ST 12756/1/19, 14; Deutsche Telekom, 2019, 6. 155 So auch Schulz, in: Gola, 2018, Art. 6 Rn. 11 f.; Buchner/Kühling, in: Kühling/ Buchner, 2018, Art. 7 Rn. 17; Schantz, in: Simitis/Hornung/Spiecker, 2019, Art. 6 Abs. 1 Rn. 12. 156 S. Dix, in: Simitis/Hornung/Spiecker, 2019, Art. 17 Rn. 13; Herbst, in: Kühling/ Buchner, 2018, Art. 17 Rn. 24 f. 157 S. Erwägungsgrund 43 DSGVO. S. auch Brink/Hertfelder, in: Roßnagel/ Hornung, 2019, 75ff.; Wolff, in: Schantz/Wolff, 2017, Rn. 475; Buchner/Petri, 3.4 Einwilligung und andere Erlaubnistatbestände 49 lich hat sich auch die Artikel 29-Datenschutzgruppe geäußert. In den Leitlinien zur Einwilligung nach der Datenschutz-Grundverordnung weist sie darauf hin, dass der Verantwortliche, der seine Verarbeitung auf eine Einwilligung stützt, bereit sein müsse, „die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft“.158 Die Artikel 29-Datenschutzgruppe beruft sich dabei zumindest indirekt auf den Grundsatz von Treu und Glauben, indem sie feststellt, es „wäre gegenüber Einzelpersonen ein in höchstem Maß missbräuchliches Verhalten, ihnen zu sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird“.159 Die Datenschutzgruppe erwartet, dass der Verantwortliche sich vor Datenerhebung auf eine Rechtsgrundlage festlegen muss.160 Zudem hat die Artikel 29-Datenschutzgruppe klargestellt, dass die Formulierung des Art. 17 Abs. 1 lit. b DSGVO, wonach personenbezogene Daten unverzüglich zu löschen sind, wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, auf Fälle abzielt, in denen ein Datensatz zu unterschiedlichen Zwecken aufgrund unterschiedlicher Rechtsgrundlagen verarbeitet wird.161 Dies dürfte auch für die Formulierung von Art. 6 Abs. 1 UAbs. 1 DSGVO zutreffen. Die Regelung der Datenschutz-Grundverordnung ist derzeit widersprüchlich. Sie sieht für die Einwilligung andere Voraussetzungen, Einwirkungsmöglichkeiten und Rechtsfolgen vor, wie für eine Datenverarbeitung, die auf die Erforderlichkeit einer Vertragserfüllung oder eines überwiegenden berechtigten Interesses gestützt wird. Es geht jeweils um die gleiche Datenverarbeitung. Diese kann nicht zugleich unterschiedlichen Regelungskomplexen unterliegen. Auch sieht die Datenschutz-Grundverordnung keine Wahlfreiheit des Verantwortlichen darüber vor, welche Regelungen für die Datenverarbeitung gelten sollen. in: Kühling/Buchner, 2018, Art. 6 Rn. 22; Buchner/Kühling, in: Kühling/Buchner, 2018, Art. 7 Rn. 18, 21; Uecker, ZD 2019, 248; Verbraucherzentrale Bundesverband, Evaluation, 2019, 5; Forum Privatheit, 2019, 4 f.; a.A. z.B. Schulz, in: Gola, 2018, Art. 6 Rn. 11 f. 158 Artikel 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung, WP 259 rev.01, 27. 159 Leitlinien in Bezug auf die Einwilligung, WP 259 rev.01, 27. 160 Leitlinien in Bezug auf die Einwilligung, WP 259 rev.01, 28. 161 Artikel 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung, WP 259 rev.01, 26. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 50 Mit der Einwilligung oder der Berufung auf einen gesetzlichen Erlaubnistatbestand sind unterschiedliche Informationspflichten verbunden. So muss der Verantwortliche nach Art. 13 Abs. 1 lit. c und 14 Abs. 1 lit. d DSGVO über die Rechtsgrundlagen der Datenverarbeitung informieren, ob er sich also auf Einwilligung, Vertrag oder überwiegende berechtigte Interessen beruft. Bei einer Berufung auf eine für ihn günstige Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO muss er nach Art. 13 Abs. 1 lit. d und 14 Abs. 2 lit. b DSGVO über seine berechtigten Interessen informieren. Er muss bei einer Einwilligung nach Art. 13 Abs. 2 lit. c DSGVO und nach Art. 14 Abs. 2 lit. d DSGVO auf die Möglichkeit und die Folgen eines Widerrufs hinweisen. Bei einer Datenverarbeitung, die auf eine Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt wird, muss er dagegen nach Art. 13 Abs. 2 lit. b und Art. 14 Abs. 2 lit. c DSGVO über die Möglichkeit eines Widerspruchs nach Art. 21 DSGVO informieren. Widerruf und Widerspruch haben jedoch unterschiedliche Voraussetzungen und Wirkungen. Informiert der Verantwortliche darüber, dass seine Datenverarbeitung sowohl durch eine Einwilligung als auch durch eine Interessenabwägung legitimiert ist, muss er also der betroffenen Person widersprüchliche Informationen zur gleichen Datenverarbeitung präsentieren. Lässt er sich nur eine Einwilligung geben und informiert über die durch Einwilligung gerechtfertigte Datenverarbeitung korrekt und beruft sich später auf eine Interessenabwägung, hat er die betroffene Person über ihre Rechte aus der Einwilligung getäuscht und ihr die notwendigen Informationen zur Datenverarbeitung aufgrund einer Interessenabwägung vorenthalten. Wenn ein Verantwortlicher seine Datenverarbeitung bereits auf die Erlaubnistatbestände der Art. 6 Abs. 1 UAbs. 1 lit. b oder f DSGVO stützen kann, missbraucht er das Vertrauen des Verbrauchers, wenn er zusätzlich eine Einwilligung verlangt. Dies wird dem Prinzip von Treu und Glauben aus Art. 5 Abs. 1 lit. a DSGVO nicht gerecht. Obwohl er ihn nach Art. 7 Abs. 3 Satz 3 DSGVO auf sein Widerrufsrecht hinweisen muss, wird er nach einem Widerruf die weitere Datenverarbeitung trotzdem auf der Grundlage des gesetzlichen Erlaubnistatbestands fortführen. Außerdem könnte für bestimmte Formen der Datenverarbeitung – wie z.B. Profilbildung oder personalisierte Werbung – der Verantwortliche dem Verbraucher mit der Bitte um eine Einwilligung das Recht vorgaukeln, dass er mit diesen Verarbeitungsformen nur nach einem Opt-in rechnen muss. Dieses mindert sich für ihn aber nachträglich zu einem Recht auf Opt-out, wenn der Verantwortliche auf den gesetzlichen Erlaubnistatbestand des überwiegenden berechtigten Interesses wechselt. 3.4 Einwilligung und andere Erlaubnistatbestände 51 Informiert der Verantwortliche den Verbraucher von Anfang an über beide Erlaubnistatbestände – Einwilligung einerseits und Vertragserfüllung oder berechtigte Interessen andererseits – und die mit ihnen verbundenen unterschiedlichen Regelungsregime, gibt er ihm widersprüchliche Informationen und behält sich die Wahl des Erlaubnistatbestands, auf den er sich später berufen will, vor. Dies wäre ein unzulässiges perplexes Verhalten, das nur dazu führen kann, den Verbraucher zu verwirren. Schließlich haben beide Rechtfertigungen der Datenverarbeitung unterschiedliche Rechtsfolgen. Mit der Einwilligung ist das Recht der betroffenen Person verbunden, eine Datenübertragung nach Art. 20 DSGVO einzufordern. Dies kann für die Entscheidung einzuwilligen bedeutsam sein. Wenn der Verantwortliche die Datenverarbeitung aber auch auf eine Interessenabwägung stützen kann, ist er in der Lage, dem Verbraucher dieses Recht zu nehmen, indem er sich auf den gesetzlichen Erlaubnistatbestand des überwiegenden berechtigten Interesses beruft. Für diesen Anspruch der betroffenen Person sieht Art. 20 DSGVO aber kein Wahlrecht des Verantwortlichen vor. Alle diese Ungereimtheiten erfordern eine Klarstellung in der Verordnung. Diese kann nur darin bestehen, dass ein Verantwortlicher sich neben einer Einwilligung nicht zusätzlich auf einen gesetzlichen Erlaubnistatbestand berufen kann. Wenn er von der betroffenen Person eine Einwilligung einfordert, muss er sich auch auf die Regeln zu einer Einwilligung einlassen. Er muss dann vor allem einen Widerruf der Einwilligung gegen sich gelten lassen und kann nicht trotz des Widerrufs die Datenverarbeitung unter Berufung auf einen anderen gesetzlichen Erlaubnistatbestand fortsetzen. Ansonsten suggeriert er dem Verbraucher durch den durch Art. 7 Abs. 3 Satz 3 DSGVO geforderten Hinweis auf das Widerrufsrecht, er könne durch Widerruf die weitere Datenverarbeitung verhindern, obwohl dies aber bei einem bestehenden weiteren gesetzlichen Erlaubnistatbestand faktisch nicht der Fall ist.162 Der notwendige Vorrang der Einwilligung sollte nicht nur aus Art. 5 Abs. 1 lit. a DSGVO als einzig faire Form der Datenverarbeitung abgeleitet werden müssen,163 sondern – zur Rechtssicherheit für alle Beteiligten – in den Text des Art. 6 Abs. 1 UAbs. 1 DSGVO aufgenommen werden.164 Eine 162 Eine maßvolle Begrenzung der Widerruflichkeit einer Einwilligung fordert Schulz, DuD 2020, 302. 163 S. hierzu Kap. 3.4. 164 S. hierzu Verbraucherzentrale Bundesverband, 2013, 7; Verbraucherzentrale Bundesverband, Evaluation, 2019, 5. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 52 Klarstellung der Formulierung in Art. 6 Abs. 1 UAbs. 1 DSGVO könnte Unsicherheiten abbauen und Missbrauch verhindern. Bestimmung des Vertragszwecks Die extrem weite Fassung des Erlaubnistatbestands der „Erfüllung eines Vertrags“ kann so genutzt werden, dass der vom Anbieter definierte Vertragszweck auf umfassende Verarbeitungen der personenbezogenen Daten einer Verbrauchers im Rahmen eines Persönlichkeitsprofils zielt und die Erhebung einer großen Zahl von Daten erforderlich macht.165 Hier ist eine Präzisierung des Erlaubnistatbestands zu empfehlen.166 Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erklärt die Verarbeitung personenbezogener Daten für rechtmäßig, die zur Erfüllung eines Vertrages erfolgt, dessen Vertragspartei die betroffene Person ist. Dies schließt auch vorvertragliche Maßnahmen ein, die auf Anfrage der betroffenen Person erfolgen. Der Europäische Datenschutzausschuss weist darauf hin, dass eine Verarbeitung, die nicht zur Erfüllung des Vertrages notwendig ist, auf eine andere Grundlage gestellt werden kann, insbesondere auf lit. a und f, die dem Betroffenen dann auch mitzuteilen ist.167 Zugleich müsse streng zwischen Einwilligung und Vertragserfüllung differenziert werden, da für diese unterschiedliche Voraussetzungen und Rechtsfolgen gelten. Der Bereich notwendiger Einwilligungen darf nicht durch die Ausweitung des Erlaubnistatbestands des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO eingeschränkt werden. Die notwendige datenschutzrechtliche Eingrenzung des Erlaubnistatbestands des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO kann nicht allein durch die Kontrolle der Allgemeinen Geschäftsbedingungen (AGB)168 erreicht wer- 3.5 165 Dieses Problem sieht auch der Europäische Datenschutzausschuss; s. Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, v2.0, 8. October 2019, 6 f. 166 S. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745 (3749 f.), die sich mit einer teleologischen Reduktion behelfen. 167 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, v2.0, 8 October 2019, 7. 168 S. RL 93/13/EWG. 3.5 Bestimmung des Vertragszwecks 53 den.169 Die AGB-Kontrolle schützt den Verbraucher lediglich vor unfairen allgemeinen für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine überraschende Regelung enthalten (§ 305c BGB) oder den Verbraucher entgegen den Geboten von Treu und Glauben unangemessen benachteiligen (§ 307 Abs. 1 BGB). Dies gilt nach § 307 Abs. 2 Nr. 1 BGB insbesondere, wenn eine AGB-Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren sind. Die AGB-Kontrolle erfasst nach § 305 Abs. 1 Satz 3 BGB jedoch gerade nicht die Bestimmung des individuellen Vertragszwecks – wie weit und wie gezielt auf die Verarbeitung personenbezogene Daten er auch immer ausgerichtet sein mag. Die notwendige datenschutzrechtliche Eingrenzung verstößt auch nicht gegen den Grundsatz der Privatautonomie und insbesondere den Grundsatz der Vertragsfreiheit. Zwar hat der Verbraucher grundsätzlich die Freiheit, auch in für ihn nachteilige Verträge einzutreten. Daher wird argumentiert, dass das Datenschutzrecht ihm diese Freiheit nicht nehmen dürfe. Das Argument der Freiheit der Vertragsparteien unterliegt jedoch dem Gesetzesvorbehalt. Das Datenschutzrecht schützt die Grundrechte und Freiheiten der betroffenen Person gegen übergroße Machtasymmetrien – vor allem aus Wissensmacht. Insbesondere dann, wenn soziale, rechtliche und sonstige Zwänge zur Nutzung bestimmter Angebote bestehen, bei denen ein weit definierter Vertragszweck den Verbraucher in eine umfassende Verarbeitung seiner personenbezogenen Daten drängen würde, muss die staatliche Schutzpflicht für machtausgleichende Regelungen sorgen. Dieser Schutz fordert eine eingrenzende Bestimmung des Erlaubnistatbestands des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Zur Frage, was für die Erfüllung eines Vertrages erforderlich ist, darf nicht auf die Vertragsformulierung oder auf den Willen des Verantwortlichen abgestellt werden. Ansonsten könnte der Verantwortliche den Vertragstext so formulieren oder den Vertragsgegenstand und den Vertragszweck so bestimmen, dass er jede von ihm gewünschte Datenverarbeitung durchführen kann – z.B. auch Datenverarbeitungen zu Werbemaßnahmen, zur Profilbildung, zur Weitergabe von Daten an Dritte, zur Durchführung von Sicherungsmaßnahmen, zur Erhebung der Kundenzufriedenheit, zur Verbesserung der Waren und Dienste und vieles mehr. Diese Zu- 169 So aber Engeler, ZD 2018, 55 (57 f.). Über „erprobte zivilrechtliche Werkzeuge wie die Prüfung von Treuwidrigkeit, Verstoß gegen die guten Sitten und die AGB-Kontrolle“ könne eine ausreichende Präzisierung erfolgen (ebd., 60); s. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 54 satzzwecke sollen nur nach einer Einwilligung der betroffenen Person oder nach der umfassenden und dokumentierten Abwägung der berechtigten Interessen der Verantwortlichen mit den Interessen und Freiheiten der betroffenen Person eine Datenverarbeitung rechtfertigen können. Daher fordert der Ausschuss, für die Zulässigkeit der Datenverarbeitung nach lit. b auf die objektive Erforderlichkeit der Datenverarbeitung für den Hauptzweck des Vertrags abzustellen.170 Es kann nicht auf das bloße Vorhandensein einer Vertragsklausel ankommen, die der betroffenen Person unilateral auferlegt wird.171 Entscheidend muss sein, dass die Vertragsleistung funktional ohne die Verarbeitung der relevanten personenbezogenen Daten nicht erbracht werden kann.172 Dies sollte zur Rechtssicherheit für alle Beteiligten im Text des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO klargestellt werden. Ohne Klarstellung, dass die funktional objektive Erforderlichkeit der Datenverarbeitung für den zentralen Vertragszweck entscheidend ist, wird es über die Reichweite des Erlaubnistatbestands des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO immer wieder zu interessengeleiteten Streitereien kommen. Die dadurch verursachte Rechtsunsicherheit wird den Vollzug des Datenschutzes erheblich behindern. Verarbeitung der Daten von Kindern Kinder wachsen heute in einer digitalisierten Welt auf. Sie sind Objekte der Datenverarbeitung im Säuglingsalter etwa durch Baby-Fon-Apps, im Kinderzimmer durch Smart Toys,173 Sprachassistenten174 und Tablet-Computer und im Kindergarten durch Lernroboter und Videoüberwachung. In der Schule werden ihre Verwaltungs-, Verhaltens- und Leistungsdaten 3.6 170 Draft Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, version for public consultation, 9.4.2019, 7 f.; s. auch Johannes, ZD-aktuell 2019, 06821, ZD 2019, Heft 12, VI f. 171 Unter Verweis auf Stellungnahme 6/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, 21 f. 172 S. hierzu auch Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 2019, 8; Verbraucherzentrale Bundesverband, Evaluation, 2019, 6. 173 S. z.B. Gilga, ZD-aktuell 2019, 06822, ZD 12/2019, V. 174 Wissenschaftliche Dienste des Deutschen Bundestags, Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware „Alexa“ durch Amazon, WD 10-3000-032/19, 2019, 9. 3.6 Verarbeitung der Daten von Kindern 55 durch Schulmanagementsysteme, biometrische Daten zum Zugangsschutz und ihre Konsumdaten durch Systeme für bargeldloses Bezahlen in der Schulkantine verarbeitet.175 Außerdem sind sie in der Welt des Electronic Commerce und der Social Networks, des Ubiquitous Computing und des Big Data den gleichen Praktiken der Datensammelei und der Profilbildung unterworfen wie die Erwachsenen.176 Sehr oft wenden sich Verantwortliche direkt an Kinder und verarbeiten deren Daten auf vielfältige Weise und speichern diese für lange Zeit. Dies gilt insbesondere für die Nutzung von Social Networks und Angebote im E-Commerce, die sich an Kinder richten. Z.B. nutzten in der Altersgruppe der 6- bis 13-jährigen im Jahr 2016 57% der Kinder WhatsApp, 50% YouTube und 30% Facebook mehrmals in der Woche oder am Tag.177 Das durchschnittliche Alter der Erstanmeldung bei Facebook lag 2016 bei 10 Jahren.178 2018 nutzten z.B. 73% der 14- bis 17-Jährigen Instagram.179 Die Datenverarbeitung von Kindern ist somit im Internet keine Ausnahme sondern ein Massenphänomen.180 Kinder unterliegen einer besonderen strukturell bedingten Gefährdungslage: Sie verstehen die meist langfristigen Nachteile der Verarbeitung ihrer personenbezogenen Daten noch unzureichend, sind aber für die meist kurzfristigen positiven Effekte der Nutzung von Internet-Diensten sehr offen und für Verführungen zu ihrer Nutzung leicht zugänglich. Wissen über Handlungsfolgen und -möglichkeiten müssen sich bei Kindern erst nach und nach herausbilden und festigen. Ihnen ist nicht klar, dass aus den Daten, die sie preisgeben und die durch die Beobachtung ihres Verhaltens entstehen, neue Daten über sie generiert werden, die ihr Weltverständnis bestimmen, ihre sozialen Beziehungen beeinflussen, ihr Selbstbild prägen und Vorhersagen über ihr Verhalten ermöglichen. Kinder können die Risiken der Verarbeitung ihrer Daten weniger gut vermeiden und sich gegen Eingriffe in ihre Grundrechte weniger gut wehren, als Erwachsene dies können. Schließlich ist zu berücksichtigen, dass Kinder in der Regel ihre eigenen Rechte als betroffene Person nicht kennen. Selbst wenn sie ihnen bekannt wären, sind sie meist nicht in der Lage, sie wahr- 175 S. z.B. Artikel 29-Datenschutzgruppe, WP 147, 16. 176 S. hierzu Roßnagel/Richter, 2017, 205 (209ff.). 177 MPFS, KIM-Studie 2016, 33. 178 MPFS, KIM-Studie 2016, 41. 179 MPFS, KIM-Studie 2018,39. 180 S. ähnliche Zahlen in BITKOM, 2017, 8. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 56 zunehmen. Aus diesen Gründen haben Kinder einen besonderen Bedarf an Schutz und Fürsorge.181 Diese besondere Schutz- und Fürsorgepflicht berücksichtigt auch die Datenschutz-Grundverordnung in vielen Zusammenhängen – allerdings nicht in allen notwendigen Aspekten. Nach Erwägungsgrund 38 Satz 1 DS- GVO verdienen Kinder „bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“. Wen die Datenschutz-Grundverordnung unter den Begriff „Kind“ versteht, hat sie zwar nicht definiert.182 Dennoch ist davon auszugehen, dass sie unter „Kind“ jede Person versteht, die das 18. Lebensjahr noch nicht erreicht hat. Die besondere Schutzbedürftigkeit von Kindern berücksichtigt die Datenschutz-Grundverordnung in sechs Regelungen für unterschiedliche datenschutzrechtliche Zusammenhänge:183 – Nach Art. 8 Abs. 1 Satz 1 DSGVO gilt die Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, schon als rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Nach Art. 8 Abs. 1 Satz 1 DSGVO dürfen Mitgliedstaaten diese Grenze sogar auf das dreizehnte vollendete Lebensjahr senken. In anderen Fällen ist das Kind erst mit Volljährigkeit einwilligungsfähig. Von der Öffnungsklausel des Art. 8 Abs. 1 UAbs. 2 DS-GVO hat jedoch die Mehrzahl der Mitgliedstaaten Gebrauch gemacht184 und diese Grenze durch gesetzliche Regelung gesenkt.185 Neun haben die Altersgrenze auf 13 Jahre festgesetzt,186 sechs 181 S. zum Schutzbedarf z.B. Artikel 29-Datenschutzgruppe, WP 147, 3ff.; Datenethikkommission, 2019, 114 f.; Roßnagel, in: Ammicht Quinn u.a. 2020, i.E.; Roßnagel, ZD 2020, 88. 182 Anders Art. 4 Nr. 18 Entwurf der Kommission und Entwurf des Parlaments, die ein Kind als „jede Person bis zur Vollendung des achtzehnten Lebensjahres“ definierten. 183 S. hierzu näher Roßnagel, ZD 2020, 88 (89 f.); Roßnagel, in: Ammicht Quinn u.a. 2020, i.E. 184 Frankreich, in: Rat, ST 12756/1/19, 28, und Niederlande, in: Rat, ST 12756/1/19, 46 f., setzen sich für eine unionseinheitliche Altersbestimmung ein. 185 S. hierzu auch die Kritik der Europäischen Kommission, Commission Staff Working Document, 17. 186 Diese Grenze richtet sich wohl nach den Nutzungsbedingungen der großen amerikanischen Plattformen. 3.6 Verarbeitung der Daten von Kindern 57 auf 14 Jahre, vier auf 15 Jahre und neun Staaten haben die Altersgrenze der DS-GVO beibehalten.187 – Nach Art. 6 Abs. 1 UAbs. 1 Satz 1 lit. f DSGVO muss eine Interessenabwägung die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person in besonderer Weise berücksichtigen, „wenn es sich bei der betroffenen Person um ein Kind handelt“.188 Allerdings wird vom Wortlaut kein bestimmter Zweck und keine bestimmte Form der Datenverarbeitung ausgeschlossen.189 Daher wird vertreten, die Vorschrift fordere nur eine intensivere Abwägung durch den Verantwortlichen.190 – Nach Art. 12 Abs. 1 Satz 1 DSGVO sind Informationen nach Art. 13 und 14 DSGVO sowie Mitteilungen nach Art. 15 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Dies soll umso mehr für Informationen gelten, die sich speziell an Kinder richten.191 „Wenn sich die Verarbeitung an Kinder richtet, sollten“ nach Erwägungsgrund 58 Satz 4 DSGVO „aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann“.192 – Eine Löschung personenbezogener Daten hat nach Art. 17 Abs. 1 lit. f. DSGVO zu erfolgen, wenn die Daten aufgrund einer Einwilligung von einem Kind nach Art. 8 Abs. 1 DSGVO erhoben worden sind. Die Vorschrift will erreichen, dass Kinder beim Übergang in das Erwachsenen- 187 S. die Übersicht von Nebel/Dräger, ZD-aktuell 8/2019, VIII. 188 Hier sehen die Bundesregierung, in: Rat, ST 12756/1/19, 12, und Irland, in: Rat, ST 12756/1/19, 20, einen Bedarf an Konkretisierung. Irland bedauert, dass die Mitgliedstaaten diese Klausel nicht konkretisieren dürfen. 189 Nach Buchner/Petri, in: Kühling/Buchner, 2018, Art. 6 Rn. 155, sollen bei einem Kind unter 16 Jahren regelmäßig die schutzwürdigen Interessen überwiegen; ähnlich Artikel 29-Datenschutzgruppe, WP 147, 14, für die Verarbeitung von Kinderdaten für Werbezwecke; s. dagegen Reimer, in: Sydow, Aufl. 2018, Art. 6 Rn. 64: nur „besonders gewichtig“. 190 S. z.B. Schantz, in: Simitis/Hornung/Spiecker, 2019, Art. 6 Abs. 1 Rn. 112. 191 Hier verweist die Artikel 29-Datenschutzgruppe auf die Konvention über die Rechte des Kindes – Für Kinder erklärt des Kinderhilfswerks der Vereinten Nationen als gelungenes Beispiel für kindgerechte Sprache; Leitlinien für Transparenz, WP 260 rev.01, 12. 192 Hier verweist die Art. 29-Datenschutzgruppe, Leitlinien für Transparenz, WP 260 rev.01, 2018, 12, auf die „Konvention über die Rechte des Kindes – Für Kinder erklärt“ des Kinderhilfswerks der Vereinten Nationen als gelungenes Beispiel für kindgerechte Sprache. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 58 alter nicht von „Jugendsünden“ verfolgt werden, deren langfristige Folgen sie im Kindesalter noch nicht abschätzen konnten.193 – Nach Art. 40 und 41 DSGVO können Verbände Verhaltensregeln für ihre jeweilige Branche beschließen, mit denen sie die Anwendung der Verordnung präzisieren. Diese Verhaltensregeln sind den Aufsichtsbehörden vorzulegen und von diesen zu genehmigen, wenn sie der Datenschutz-Grundverordnung entsprechen. Sie sind dann für die weitere Aufsichtstätigkeit verbindlich.194 Art. 40 Abs. 2 lit. g DSGVO sind auch „Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist,“ mögliche Regelungsgegenstände.195 – Nach Art. 57 Abs. 1 lit. b DSGVO ist es eine von vielen Aufgaben der Aufsichtsbehörden, „die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung (zu) sensibilisieren und sie darüber auf(zu)klären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.“ Diese Aufklärungsmaßnahmen sollen besonders sowohl auf den Schutz von Kindern gerichtet sein als auch sich an Kinder richten.196 Das sind allerdings nicht alle Situationen, in denen der besondere Schutz von Kindern erforderlich ist oder ihre besonderen Interessen zu berücksichtigen sind. In allen anderen Regelungen behandelt die Datenschutz- Grundverordnung Kinder zwar wie Erwachsene. Für sie gelten beispielsweise die gleichen Erlaubnistatbestände und die gleichen Verarbeitungsgrundsätze. Sie haben die gleichen Rechte wie Erwachsene. Die Verantwortlichen haben ihnen gegenüber grundsätzlich die gleichen Verpflichtungen und können ihre Daten unter den gleichen Voraussetzungen in Staaten außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung übertragen.197 In all diesen Fällen fordert die Datenschutz-Grundverordnung aber gerade nicht, die Schutzbedürftigkeit von Kindern besonders zu berücksichtigen. Die Datenschutz-Grundverordnung schützt Kinder in einer ihrer Schutzbedürftigkeit entsprechenden Weise somit nur punktuell, jedoch nicht in allen Situationen, in denen ein besonderer Schutz erforderlich ist. 193 S. Erwägungsgrund 65 DSGVO; s. hierzu z.B. Herbst, in: Kühling/Buchner, 2018, Art. 17 Rn. 31. 194 S. hierzu Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 40 Rn. 67ff. 195 Hier sehen der Rat, ST 14994/2/19, Rn. 13, und Irland, in: Rat, ST 12756/1/19, 21, eine Möglichkeit, Kindern adäquaten Schutz zu bieten. 196 Polenz, in: Simitis/Hornung/Spiecker, 2019, Art. 57 Rn. 11 und 20. 197 S. hierzu Niederlande, in: Rat, ST 12756/1/19, 47. 3.6 Verarbeitung der Daten von Kindern 59 Hinter den wenigen Regelungen ist kein Gesamtkonzept erkennbar.198 Daher sollte der Wortlaut der Verordnung z.B. in folgenden Vorschriften diesen besonderen Aspekt zusätzlich und ausdrücklich berücksichtigen:199 – Die Prüfung der Vereinbarkeit eines neuen Verarbeitungszwecks mit dem bisherigen Verarbeitungszweck nach Art. 6 Abs. 4 DSGVO sollte auch berücksichtigen, wenn die Daten eines Kindes für einen anderen Zweck verwendet werden sollen. In diesem Fall sollte die Feststellung der Vereinbarkeit einer Zweckänderung mit dem ursprünglichen Zweck restriktiver erfolgen als bei Daten von Erwachsenen. – In den Normtext des Art. 8 DSGVO sollte die Wertung des Erwägungsgrunds 38 Satz 2 DSGVO übernommen werden: „Ein solch besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“ Der Unionsgesetzgeber sollte in Art. 8 DSGVO festlegen, dass die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeitsoder Nutzerprofilen unzulässig ist.200 Ein solches Verbot würde die Werbung für Spiele und Spielsachen nicht ausschließen, sondern nur die Nutzung von Persönlichkeits- oder Nutzerprofilen und andere Sammlungen von Kinderdaten für Werbezwecke. Dabei sollte es keinen Unterschied machen, ob diese Datenverarbeitung auf eine Einwilligung des Kindes oder seiner Erziehungsberechtigten oder auf überwiegende berechtigte Interessen gestützt wird. – Von der Ausnahme des Verbots der Verarbeitung besonderer Kategorien von personenbezogenen Daten bei einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sollte die Einwilligung eines Kindes ausgenommen werden. Eine Einwilligung oder Zustimmung durch den Träger der elterlichen Verantwortung bliebe weiterhin möglich. Die Zielsetzung des Erwägungsgrunds 38 Satz 3 DSGVO, dass „die Einwilligung des 198 Besonders kritisch Irland, in: Rat, ST 12756/1/19, 20: „inadequate“, „both fragmented and disjointed“ „resemble a jigsaw puzzle but, unlike a complete jigsaw, they do not provide a coherent picture of protection for children“; s. auch Niederlande, in: Rat, ST 12756/1/19, 47; Däubler, in: Däubler/Wedde/Weichert/ Sommer, 2018, Art. 8 DSGVO, Rn. 2; Verbraucherzentrale Bundesverband, Evaluation, 2019, 6 f. 199 S. hierzu ausführlich Roßnagel, ZD 2020, 88 (90ff.); Roßnagel, in: Ammicht Quinn u.a. 2020, i.E. 200 So auch Glatzner, DuD 2020, 312. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 60 Trägers der elterlichen Verantwortung … im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein“ sollte, hat im Text der Verordnung keinen Ansatzpunkt gefunden. Sie könnte ebenfalls in Art. 9 DSGVO geregelt werden.201 Ein Kind sollte in psychischen Zwangslagen z.B. eine Sucht- oder Schwangerschaftsberatung in Anspruch nehmen können, ohne befürchten zu müssen, dass die Eltern davon erfahren.202 – Nicht nur bei der Forderung nach Löschung, sondern auch beim Widerspruch nach Art. 21 Abs. 1 DSGVO sollte es in besonderer Weise berücksichtigt werden, wenn die personenbezogenen Daten im Kindesalter erhoben worden sind. Kinder sind sich gemäß Erwägungsgrund 38 Satz 1 DSGVO „der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst“. Um hier Missverständnisse auszuschließen und Rechtsklarheit zu schaffen, sollte der Wortlaut des Art. 21 Abs. 1 DSGVO klarstellen, dass der Verantwortliche bei der Prüfung der Berechtigung des Widerspruchs den Umstand, dass er Daten von Kindern verarbeitet, besonders berücksichtigen muss. Dies würde auch mit der Pflicht des Verantwortlichen nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO korrespondieren, bei seiner Interessenabwägung die entgegenstehenden Interessen oder Grundrechte und Grundfreiheiten in besonderer Weise zu berücksichtigen, „wenn es sich bei der betroffenen Person um ein Kind handelt“. – Von der Ausnahme des Verbots der Verarbeitung personenbezogener Daten bei einer automatisierten Entscheidung aufgrund einer Einwilligung nach Art. 22 Abs. 2 lit. c DSGVO sollte die Einwilligung eines Kindes ausdrücklich ausgenommen werden.203 Die Wertung von Erwägungsgrund 71 Satz 5 DSGVO („Diese Maßnahme sollte kein Kind betreffen“) findet bisher im Normtext keinen Niederschlag, sollte sich aber in diesem wiederfinden.204 Die Einwilligung des Erziehungsberechtigten bliebe danach allerdings weiterhin möglich. – Bei der datenschutzgerechten Systemgestaltung nach Art. 25 Abs. 1 DSGVO205 sollte der Schutz der Grundrechte und Interessen von Kin- 201 S. z.B. auch Verbraucherzentrale Bundesverband, Evaluation, 2019, 7. 202 S. hierzu auch Klement, in: Simitis/Hornung/Spiecker 2019, Art. 8 Rn. 16. 203 Noch weitergehender Verbraucherzentrale Bundesverband, 2013, 17. 204 Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4, fordert bei der Begrenzung der Erlaubnis Daten von Kindern besonders zu berücksichtigen. 205 S. hierzu allgemein Kap. 3.14. 3.6 Verarbeitung der Daten von Kindern 61 dern in besonderer Weise gefordert werden. Gerade bei der Systemgestaltung wäre ein grundlegender Schutz von Kindern – vor allem in Social Networks und anderen Angeboten mit datengetriebenen Geschäftsmodellen – besonders wichtig – und meist auch leicht zu realisieren. – Auch bei der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO206 sollte der Schutz von Kindern in besonderer Weise gefordert werden. Sie übernehmen – mehr noch als Erwachsene – die voreingestellten Werte und konzentrieren sich allein auf die Nutzung des Geräts oder des Dienstes. Diese spezifische Voreinstellung für Kinder ist vor allem für Social Networks wichtig.207 Gerade von Kindern kann nicht angenommen werden, dass sie Voreinstellungen erkennen und deren Bedeutung für ihre informationelle Selbstbestimmung verstehen. Sie sind in besonderer Weise darauf angewiesen, dass die Grundeinstellung jedes Risiko für ihren Datenschutz vermeidet. – In der Datenschutzfolgenabschätzung nach Art. 35 DSGVO sollte das besondere Risiko und der besondere Schutzbedarf von Kindern in ad- äquater Weise berücksichtigt werden. Daher sollte sowohl für die Bestimmung der Notwendigkeit einer Datenschutzfolgenabschätzung nach Abs. 2 bis 4 als auch bei der Risikoanalyse und bei der Festlegung der Schutzmaßnahmen nach Abs. 7 dem Schutz der Grundrechte und Interessen von Kindern eine besondere Aufmerksamkeit entgegengebracht werden.208 Diese Schutzregelungen können mit geringem Aufwand, aber hoher Wirkung in den Text der jeweiligen Vorschrift aufgenommen werden. Über die besondere Schutzbedürftigkeit von Kindern dürfte auch kein politischer Streit entstehen. Informationspräsentation Die Informationspflichten wurden in Art. 13 und 14 DSGVO im Vergleich zu den Vorgängerregelungen der Datenschutzrichtlinie zwar inhaltlich ausgeweitet, aber an vielen Stellen sehr unscharf umschrieben. Vom Zweck der Informationspflichten, dem Verbraucher die Wahrnehmung seiner Rechte zu ermöglichen, sollten in der Form weiterentwickelt und im Inhalt präzisiert werden. Eine intensivere Überarbeitung ist für den 3.7 206 S. hierzu allgemein Kap. 3.15. 207 S. auch Roßnagel/Richter, 2017, 205 (242 f., 254 f.). 208 Anders noch der Kommissionsentwurf in Art. 32 Abs. 2 lit. d. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 62 Text der Informationspflichten nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO erforderlich. Interessengerechte und an der Aufnahmekapazität ausgerichtete Information Aus Verbrauchersicht von besonderer Relevanz ist zunächst die Form der Informationsvermittlung. Die Ausgestaltung der Information stellt für Verbraucher regelmäßig eine signifikante Hürde dar, tatsächlich Umfang und Tragweite einer Datenverarbeitung zu erfassen. Nach Art. 12 Abs. 1 Satz 1 DSGVO sind Informationen nach Art. 13 und 14 DSGVO sowie Mitteilungen nach Art. 15 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Dies soll umso mehr für Informationen gelten, die sich speziell an Kinder richten.209 In der Praxis ergeben sich hier zwei Problemkreise. Einerseits werden entsprechende Erklärungen unter Umständen in Sprache und Form bewusst so gestaltet, dass sie beschwichtigend auf aktive oder potenzielle Nutzer wirken. Andererseits ist die Datenverarbeitung auch bei bestem Willen des Verantwortlichen, die betroffenen Personen bestmöglich zu informieren, unter Umständen so komplex, dass eine leicht zu erfassende Darstellung nicht gelingt.210 Um den Zweck des Grundrechtsschutzes durch Information zu erreichen, müssten die Informationen so angeboten werden, dass sie den jeweiligen Interessen und der jeweiligen Aufnahmekapazität der betroffenen Person entsprechen. Sie müssten daher in unterschiedlichem Umfang und unterschiedlichen Konkretisierungsstufen (z.B. Icon, Informationen auf einer einzigen Seite oder umfangreiche Darstellung), die die betroffene Person wählen kann, präsentiert werden. Sie müsste somit der Nutzungssituation angemessen in unterschiedlichen Modi zur Verfügung gestellt werden. Dies wird so von Art. 12 DSGVO nicht ausdrücklich gefordert. 3.7.1 209 Hier verweist die Artikel 29-Datenschutzgruppe als auf die Konvention über die Rechte des Kindes – Für Kinder erklärt des Kinderhilfswerks der Vereinten Nationen als gelungenes Beispiel für kindgerechte Sprache; Leitlinien für Transparenz, WP 260 rev.01, 12. 210 Die Europäische Kommission kritisiert eine legalistische Übung der Verantwortlichen, Commission Staff Working Document, 21. 3.7 Informationspräsentation 63 Mediengerechte Information Die Übermittlung der Information sollte praktikabel sein. Sie soll zwar grundsätzlich im gleichen Medium übermittelt werden, wie die Datenerhebung erfolgt. Ein Medienbruch bei der Information sollte jedoch dann zulässig sein, wenn das Ausgangsmedium keinen Raum für eine ausreichende Information lässt oder keine geeignete Information ermöglicht. Dies kann etwa der Fall sein, wenn auf einem analogen Datenträger nicht alle notwendigen Informationen Platz haben und daher ergänzend ein Weblink auf die fehlenden Informationen verweist.211 Gleichzeitig darf der Medienbruch nicht zu einer Umgehung von Informationspflichten missbraucht werden oder dem Verbraucher die Informationserlangung erschweren. Dabei ist auch die jeweilige Adressatengruppe und deren Technikaffinität zu berücksichtigen. Ein Medienbruch wäre damit nur unter engen Voraussetzungen zulässig und entsprechend begründungspflichtig. Situationsadäquate Information Um ihren gesetzlichen Zweck zu erfüllen, müssten die Informationen situationsadäquat, also dann gegeben werden, wenn der Verbraucher eine Entscheidung zu treffen hat – z.B. unmittelbar vor einer Einwilligung, vor der Nutzung eines Dienstes oder vor der Übertragung von Daten. Nach Art. 13 Abs. 1 DSGVO müssen die Daten „zum Zeitpunkt der Erhebung“ mitgeteilt werden. In der bisherigen Praxis erfolgt die Mitteilung meist bei Vertragsabschluss oder beim ersten Kontakt mit der betroffenen Person. Dabei werden in Form von Datenschutzerklärungen oder Allgemeinen Geschäftsbedingungen alle Eventualitäten künftiger Datenverarbeitungen beschrieben.212 Die Mitteilung kann dadurch Jahre vor der Datenerhebung liegen. Keine betroffene Person wird sich an die umfassenden Inhalte dieser Mitteilung erinnern, wenn die Daten tatsächlich erhoben werden. Diese Praxis entspricht nicht der Forderung, die Informationen „zum Zeitpunkt der Erhebung“ mitzuteilen. Die Mitteilung muss vielmehr zum 3.7.2 3.7.3 211 S. hierzu z.B. Bundesrat, BR-Drs. 570/19, 5; Bundesregierung, ST 12756/1/19, 16; Datenschutzkonferenz, Erfahrungsbericht, 2019, 8; Deutscher Industrie- und Handelskammertag, 2019, 5, 7; Gesellschaft für Datenschutz und Datensicherheit, 2019, 2; Deutsche Telekom, 2019, 4; Jaspers/Jaquemain, DuD 2020, 297. 212 S. z.B. Dorfleitner/Hornuf, 2018, 2, 4, für die FinTech-Unternehmen in Deutschland. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 64 richtigen Zeitpunkt erfolgen: zum Zeitpunkt der Datenerhebung und – aus dem Blickwinkel der Selbstbestimmung – vor einer notwendigen oder möglichen Entscheidung der betroffenen Person.213 Dies sollte im Normtext dadurch zum Ausdruck gebracht werden, dass die relevante Information jeweils zum Zeitpunkt der Erhebung dieser Daten“ erfolgt.214 Eng mit dem Zweck der Information für den Grundrechtsschutz hängt die Frage zusammen, wie gesichert werden kann, dass die Informationen für die betroffene Person handlungsrelevant sind. Dies ist die für die Selbstbestimmung letztlich die entscheidende Frage. In einer Situation extremer Machtasymmetrie oder in einem Anschluss an eine Infrastruktur (Take it or Leave it) gibt es für die betroffene Person keine Selbstbestimmung hinsichtlich der Datenverarbeitung, wenn sie auf die Leistung der anderen Seite angewiesen ist. Daher kommt es darauf an, künftige Datenverarbeitungssysteme so zu gestalten, dass für die betroffene Person ein hohes Maß an Auswahlmöglichkeiten besteht. Dies ist eine zentrale Aufgabe der von Art. 25 Abs. 1 DSGVO geforderten Gestaltung der Funktion des Datenverarbeitungssystems.215 Die Leitlinien der Artikel 29-Datenschutzgruppe für Transparenz216 geben zwar wertvolle Hilfestellungen zur Auslegung der Art. 12ff. DSGVO, jedoch ist die Befolgung der dort formulierten Praxis noch deutlich verbesserungsbedürftig. Präzision und Redlichkeit bei der Information sind aber zentral, da der Verbraucher sonst nur schwer abschätzen kann, welche Reichweite seine Einwilligung hat, welche Datenverarbeitung ihn betrifft und welche Rechte er geltend machen kann. Bleibt der Verantwortliche hier vage, indem er beispielhaft verkürzt, anstatt vollständige Angaben zu machen, oder angibt, dass „möglicherweise“ mit bestimmten Handlungen seinerseits zu rechnen ist, anstatt definitive Angaben zu präsentieren, so können die mit den Transparenzpflichten der Grundverordnung verfolg- 213 S. auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 6 f.: „data processing actually intended”; Verbraucherzentrale Bundesverband, Evaluation, 2019, 8 214 Gesellschaft für Datenschutz und Datensicherheit, 2019, 2, fordert „im persönlichen Kontakt, beim Austausch von Visitenkarten, bei der Erst-Kontaktaufnahme per E-Mail oder der Erhebung von Daten am Telefon“ die Information über die Datenverarbeitung, wenn sie nicht ohnehin sozial üblich ist, später bekannt geben zu dürfen. Andernfalls würde „häufig der erste (persönliche) Kontakt mit bürokratischen Transparenzpflichten konterkariert“. S. hierzu auch Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 6; Jaspers/Jaquemain, DuD 2020, 297. 215 S. hierzu Kap. 3.14. 216 Artikel 29-Datenschutzgruppe, Leitlinien für Transparenz, WP 260 rev.01. 3.7 Informationspräsentation 65 ten Ziele nicht erreicht werden. Es sollte im Text des Art. 12 DSGVO festgehalten werden, dass sich die Information auf die gegenwärtig vorgesehene Datenverarbeitung beziehen muss. Künftige Änderungen in der Datenverarbeitung sollten zu neuen, dann wiederum aktuellen, Informationen führen. Es sollte ausdrücklich nicht zulässig sein, seine Informationspflicht zu erfüllen, indem alle denkbaren künftigen Datenverarbeitungen mit vagen Hinweisen auf künftige Möglichkeiten in eine einmalige Information aufgenommen werden. Information durch Bildsymbole Art. 12 Abs. 7 DSGVO sieht die Möglichkeit vor, die bereitzustellenden Informationen mit standardisierten Bildsymbolen zu kombinieren. Trotz initialer Rückschläge bei der Frage der konkreten Gestaltung dieser Bildsymbole stellt diese Neuerung einen äußerst begrüßenswerten Ansatz dar, in dem großes Potential steckt. Er sollte deshalb konsequent weiterverfolgt werden. In die gleiche Richtung geht letztlich die Etablierung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen.217 Hier geht es darum, den Verbraucher zu entlasten, der sich eine eigene Überprüfung der durch den Verantwortlichen bereitgestellten Informationen ersparen kann, wenn diese nachgewiesener Weise bereits durch einen vertrauenswürdigen Dritten erfolgt ist. Technik- und bereichsspezifische Informationen Außerdem sollte die Information für spezielle Anwendungsbereiche und Technologien bereichsspezifisch geregelt werden. Dies könnte im Rahmen von Verordnungen geschehen, die bereichsspezifisch etwa die Datenverarbeitung im intelligenten Fahrzeug regeln.218 Der technologieneutrale Ansatz der Datenschutz-Grundverordnung gerät hier an seine Grenzen. 3.7.4 3.7.5 217 S. zum Stand der Einführung solcher Verfahren Maier/Bile, DuD 2019, 478. 218 S. hierzu Husemann, in: Roßnagel/Hornung, 2019, 367ff. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 66 Informationspflichten des Verantwortlichen Bezogen auf konkrete Informationspflichten des Verantwortlichen zu Beginn der Datenverarbeitung sind einige Kritikpunkte zu erörtern. Informationen über Empfänger In Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO sollte die Formulierung aufgenommen werden, dass über „die Empfänger, soweit sie bestimmbar sind, oder Kategorien von Empfängern der personenbezogenen Daten“ zu informieren ist. Da die personenbezogenen Daten sehr oft weitergegeben werden, kann die betroffene Person ihre Rechte nur dann effektiv geltend machen, wenn sie die Empfänger kennt.219 Soweit der Verantwortliche die Empfänger, denen er die Daten der betroffenen Person weitergibt, kennen kann, sollte er diese der betroffenen Person mitteilen, damit diese auch den Datenempfängern gegenüber ihre Rechte geltend machen kann.220 Für den Verantwortlichen ist dies ein geringer Mehraufwand, für die betroffenen Personen aber die Grundvoraussetzung, um von ihren Rechten nach der Datenschutz-Grundverordnung überhaupt Gebrauch machen zu können. Konflikt zwischen rechtlich geschützten Geheimnissen und Informationspflicht Probleme bereitet auch die Information im Kontext von automatisierter Entscheidungsfindung im Einzelfall gemäß Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO. Die Reichweite der Informationspflicht wie auch des Auskunftsrechts nach Art. 15 Abs. 1 lit. h DSGVO bezogen auf Art. 22 Abs. 1 und 4 DSGVO umfasst dabei „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. Diese zu- 3.8 3.8.1 3.8.2 219 Dies findet in Deutschland selten statt – s. z.B. Dorfleitner/Hornuf, 2018, 2, 26ff. für die FinTech-Unternehmen in Deutschland. 220 S. z.B. auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 6; Verbraucherzentrale Bundesverband, Evaluation, 2019, 8; auf gegenteilige Forderungen weist Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 6, hin. 3.8 Informationspflichten des Verantwortlichen 67 nächst weit erscheinende Formulierung erfährt durch Erwägungsgrund 63 Satz 5 DSGVO jedoch eine einschränkende Auslegung. So sollen insbesondere Geschäftsgeheimnisse und Rechte des geistigen Eigentums nicht dem Auskunftsrecht unterfallen. Zwar stellt Erwägungsgrund 63 Satz 6 DSGVO klar, dass das Vorliegen eines Geschäftsgeheimnisses oder geistigen Eigentums nicht dazu führen darf, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies beinhaltet jedoch nur eine Grenzziehung nach unten, dass eine Information der betroffenen Person nicht vollständig entfallen darf. Wie der Konflikt zwischen Informationsanspruch und Geheimnisschutz oberhalb dieser Grenze gelöst werden soll, lässt die Datenschutz- Grundverordnung offen und gibt die Entscheidung damit in die Hand des Verantwortlichen. Hier ist eine Abwägung des Gesetzgebers notwendig, der zumindest eine Grundregel für die Auflösung des Konflikts festlegen müsste. Diese könnte zum Beispiel so lauten, dass – unter Wahrung des Geschäftsgeheimnisses oder des geistigen Eigentums – dennoch ein möglichst hohes Maß an Information bereitgestellt werden muss.221 Hier könnten Überlegungen ansetzen, in der Praxis die bereitzustellenden Informationen im Bereich des Geheimnisses zu „verrauschen“ und so etwa geheim zu haltende Bestandteile des Entscheidungsverfahrens zu schützen, gleichzeitig aber ein Maximum an Information zu ermöglichen.222 Informationen über automatisierte Entscheidungsverfahren Der Verantwortliche hat „aussagekräftige“ Informationen „über die involvierte Logik sowie die Tragweite“ für die betroffene Person zu geben. Über den Umfang und die Tiefe dieser Information ist großer Streit entbrannt. Hier sollte in einer Überarbeitung der Vorschrift klargestellt werden, dass die Information über die Tragweite auch die rechtlichen und tatsächlichen Auswirkungen auf die betroffene Person umfasst. Hinsichtlich der Information über die „involvierte Logik“ müssen auch die abstrakten Kriterien223 für die Entscheidung und ihre Gewichtung enthalten sein.224 Die betroffene Person muss nach der Information in der Lage sein, ihr Verhalten 3.8.3 221 S. auch Netzwerk Datenschutzexpertise, 2019, 7 f. 222 S. z.B. Bäcker, in: Kühling/Buchner, 2018, Art. 13 Rn. 54 unter Verweis auf Kugelmann, DuD 2016, 566 (568). 223 Im Gegensatz zur Auskunft nach Art. 15 Abs. 1 lit. h DSGVO – s. Kap. 3.9.2. 224 Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 30; Verbraucherzentrale Bundesverband, 2013, 13; Verbraucherzentrale Bundesverband, Algorithmen- 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 68 so anzupassen, dass sie die entscheidenden Kriterien erfüllt oder zumindest konkret nachvollziehen kann, warum die Entscheidung nicht zu ihren Gunsten ausfällt.225 Nur so kann verhindert werden, dass sie als Persönlichkeit einem für sie unverständlichen algorithmenbasierten System unterworfen wird. Aussagekräftig sind die Informationen, wenn sie in der Lage sind, bei der betroffenen Person das genannte Verständnis hervorzurufen. Dies fordert vom Verantwortlichen, „einfache Möglichkeiten [zu] finden, die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren“.226 Komplexität ist „keine Entschuldigung“ für mangelhafte Information. Dies dürfte gerade bei selbstlernenden Systemen eine Herausforderung für den Verantwortlichen darstellen. Gerade deshalb sollte diese Klarstellung zumindest in einen Erwägungsgrund aufgenommen werden. An dem Eingriff in das Datenschutzrecht und die informationelle Selbstbestimmung der betroffenen Person ändert sich gar nichts, wenn die automatisierte Entscheidung arbeitsteilig getroffen wird. Daher darf eine Arbeitsteilung nicht dazu führen, dass die Information unterbleibt oder verkürzt erfolgt. Findet das arbeitsteilige automatisierte Entscheidungsverfahren in einem Auftragsverhältnis nach Art. 28 DSGVO statt, hat der Auftraggeber die umfassende Information zu geben. Findet das arbeitsteilige automatisierte Entscheidungsverfahren durch mehrere Kooperationspartner statt, sollte jeder über den Teil samt den Schnittstellen zu allen anderen Teilen informieren, den er verantwortet. Dies sollte in der Vorschrift festgehalten werden. Im Ergebnis darf eine arbeitsteilige Durchführung der automatisierten Entscheidung etwa in der Form, dass die Auskunftei A ein Verbraucherprofil erstellt, aus dem der Bonitätsprüfer B einen Score-Wert errechnet, der im Kreditvergabesystem des Online-Händlers C zu einem Verbraucherkredit oder einer bestimmten Bezahlweise führt,227 nicht dazu führen, dass Informationslücken für die betroffene Person entstehen. In diesem Fall muss es so sein, dass alle drei Verantwortlichen die betroffene Person über kontrolle, 2019, 13; Netzwerk Datenschutzexpertise, 2019, 7; Glatzner, DuD 2020, 312. 225 Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 28. 226 Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 28. 227 S. ähnlich Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 28. 3.8 Informationspflichten des Verantwortlichen 69 ihren jeweiligen Beitrag zum automatisierten Entscheidungsverfahren informieren müssen, ganz gleich ob sie die eigentliche Entscheidung treffen oder diese lediglich vorbereiten. Dies muss die Vorschrift klarstellen. Inhaltliche Erweiterungen würde die Vorschrift indirekt erfahren, wenn das Verbot des Art. 22 Abs. 1 DSGVO den Vorschlägen dieses Gutachtens entsprechend erweitert würde.228 Information über Profiling Profiling ist in Art. 4 Nr. 4 DSGVO definiert und in Art. 22 Abs. 1 DSGVO sowie in Art. 13 Abs. 2 lit. f, 14 Abs. 2 lit. g und 15 Abs. 12 lit. h DSGVO in der eigentümlichen Form „einschließlich Profiling“ erwähnt. Profiling hat in der Datenschutz-Grundverordnung jedoch keine eigenständige Regelung erfahren, obwohl dies nach dem risikobasierten Absatz der Verordnung erforderlich gewesen wäre. Profiling als automatisierte Sammlung von Persönlichkeitsmerkmalen zur Bewertung einer betroffenen Person ist ein tiefer Eingriff in die Grundrechte auf Datenschutz und informationelle Selbstbestimmung. Von solchen Bewertungsprofilen gehen insbesondere für Verbraucher besondere, über die normale Verarbeitung personenbezogener Daten hinausgehende Risiken für die freie Entfaltung und Entscheidung und die gerechte Beurteilung aus. Daher sollte die betroffene Person zumindest über jedes Profiling informiert werden, auch wenn dieses nicht unmittelbar mit einer automatisierten Entscheidung verbunden ist, sondern für andere Bewertungszwecke verwendet wird.229 Daher sollten die Vorschriften der Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO dahingehend ausgeweitet werden, dass über jede automatisierte Entscheidung und über jedes Profiling informiert werden muss.230 3.8.4 228 S. näher Kap. 3.11. 229 S. z.B. auch Martini, 2019, 10; Glatzner, DuD 2020, 312; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4; Niederlande, ST 12756/1/19, 42, 44, fordert eine entsprechende Transparenz, insbesondere, wenn das Profil zu individueller Preisbildung genutzt wird. 230 Zu weiteren Regelungsvorschlägen hinsichtlich algorithmenbasierter Systeme s. Kap. 3.11. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 70 Das Auskunftsrecht der betroffenen Person Ähnlich wie für die Informationspflichten sind die Informationen, die zur Erfüllung des Auskunftsrechts nach Art. 15 DSGVO zu geben sind, zu präzisieren, um die grundrechtsschützende Funktion des Auskunftsrechts zu wahren.231 Auskunft über Empfänger Das Gleiche, wie zu Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO hinsichtlich der Empfänger von personenbezogenen Daten aufgeführt, gilt erst recht bei einem Auskunftsanspruch nach Art. 15 Abs. 1 lit. c DSGVO.232 Die Auskunft soll der betroffenen Person die Informationen verschaffen, um ihre Rechte nach der Datenschutz-Grundverordnung wahrnehmen zu können.233 Hierzu gehört in erster Linie die Identität aller Verantwortlichen, um ihnen gegenüber ihr Recht gelten machen zu können. Wenn der Verantwortliche, gegenüber dem die betroffene Person ihr Auskunftsrecht geltend macht, durch die Weitergabe der Daten dafür verantwortlich ist, dass die Empfänger auch zu Verantwortlichen geworden sind, die Daten der betroffenen Person verarbeiten, dann ist es auch gerechtfertigt, von ihm die Mitteilung zu verlangen, an wen er die Daten weitergeleitet hat. Denn diese Weiterleitung ist ein gesonderter Eingriff in das Grundrecht auf Datenschutz der betroffenen Person. Dieser Eingriff mag gerechtfertigt sein, eventuell auch die weitere Datenverarbeitung durch den Empfänger. Aber die betroffene Person sollte in der Lage sein, dies zu überprüfen. Der Verantwortliche sollte daher verpflichtet sein, alle 3.9 3.9.1 231 S. aber auch die Stimmen, die unter Verweis auf missbräuchliches Verhalten eine Einschränkung des Auskunftsrechts fordern: s. z.B. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 6 („Pervertierung des Auskunftsrechts als Instrument der ‚Selbstjustiz‘“); Digitaleurope, 2020, 8 f.; Deutsche Telekom, 2019, 5 („Ein erheblicher Teil der Auskunftsanfragen wird durch professionelle Anbieter erzeugt, die zur Geltendmachung von Auskunftsansprüchen motivieren. Diese Anbieter verfolgen häufig durch die Generierung einer möglichst hohen Anzahl von Auskunftsanfragen ein eigenes kommerzielles Interesse gegenüber dem Verantwortlichen.“); s. auch Schulz, DuD 2020, 302. 232 S. hierzu auch Verbraucherzentrale Bundesverband, 2013, 12. 233 Erwägungsgrund 63 DSGVO; s. z.B. auch Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 76; Brink/Joos, ZD 2019, 483 (384). 3.9 Das Auskunftsrecht der betroffenen Person 71 Empfänger der personenbezogenen Daten zu protokollieren und der betroffenen Person das sie betreffende Protokoll bekanntzugeben.234 Auskunft über automatisierte Entscheidungsverfahren Nach Art. 15 Abs. 1 lit. h DSGVO hat die betroffene Person einen Anspruch auf „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. Im Gegensatz zur Information nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO,235 die die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen nur abstrakt beschreiben muss, ist die Auskunft über diese Themen personenspezifisch zu erteilen. Diese Auskunft muss um die relevanten Merkmale und deren Bedeutung für die automatisierte oder automatisiert vorbereitete Entscheidung ergänzt werden. Nur mit dieser Information kann die betroffene Person ihr Verhalten so einrichten, dass sie Chancen hat, die gewünschte Entscheidung zu erreichen.236 Eine gesonderte Information sollte nach einem geänderten Art. 15 Abs. 1 lit. h DSGVO der betroffenen Person auch für jedes Profiling, dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck gegeben werden müssen.237 Recht auf Erhalt einer Kopie Nach Art. 15 Abs. 3 Satz 1 DSGVO hat der Verantwortliche der betroffenen Person auf Antrag „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen.238 Kaum eine Regelung in der Datenschutz-Grundverordnung ist so misslungen und daher umstritten.239 Dies beginnt schon mit der Frage, ob das „Recht auf Er- 3.9.2 3.9.3 234 S. Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 6 f. 235 S. Kap. 3.8.3. 236 S. auch Kap. 3.9. 237 S. hierzu auch Kap. 3.11. 238 Hier sieht auch die Bundesregierung einen Konkretisierungsbedarf – Bundesregierung, ST 12756/1/19, 13; Bundesrat, BR-Drs. 570/19, 6; Gesellschaft für Datenschutz und Datensicherheit, 2019, 3. 239 S. z.B. Zikesch/Sörup, ZD 2019, 239 (239, 243); Wybitul, ZD 2019, 278; Lapp, NJW 2019, 345 (347); Härting, CR 2019, 219 (221ff.); Engeler/Quiel, NJW 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 72 halt einer Kopie“ (Art. 15 Abs. 4 DSGVO) ein eigenständiger Anspruch der betroffenen Person ist240 oder nur eine Form der Auskunft nach Art. 15 Abs. 1 DSGVO.241 Der Streit geht weiter mit der Frage, was eine Kopie ist,242 ob diese eine umfassende Wiedergabe aller zu einer betroffenen Person vorhandenen Datensätze beinhalten muss,243 welcher „Gegenstand der Verarbeitung“ kopiert werden muss244 und endet nicht in den Problemen, ob der Anspruch auf eine Kopie eigens geltend gemacht werden muss245 oder nicht246 sowie in welcher Form die Kopie übergeben werden muss.247 Dieses „Recht auf Erhalt einer Kopie“ ist vom Ansatz her eine sinnvolle Lösung:248 Der Verantwortliche wird durch eine schlichte Kopie eines Da- 2019, 2201; Wybitul/Brams, NZA 2019, 672; Brink/Joos, ZD 2019, 483; Weik, DuD 2020, 98; Schulz, DuD 2020, 302; Jaspers/Jaquemain, DuD 2020, 297; LAG Baden-Württemberg, ZD 2019, 276. Der Bundesrat spricht von „großer Unsicherheit“: BR-Drs. 570/19, 5; s. auch Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 6; Datenschutzkonferenz, Erfahrungsbericht, 2019, 9; Gesellschaft für Datenschutz und Datensicherheit, 2019, 3; Deutschland, in: Rat, ST 12756/1/19, 13; Digitaleurope, 2020, 8; Deutsche Telekom, 2019, 2. 240 So z.B. Bäcker, in Kühling/Buchner, 2018, Art. 15 Rn. 39; Schwartmann/Klein, in: Schwartmann u.a., 2018, Art. 15 Rn. 34; Spindler, DB 2016, 937 (944); Härting, CR 2019, 219 (220); Engeler/Quiel, NJW 2019, 2201 (2202); Brink/Joos, ZD 2019, 483 f.; Weik, DuD 2020, 98 (100ff.). 241 So z.B. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 77 f.; Bayerisches Landesamt für Datenschutz, 2019, 46; Raith 2019, 223 f.; Paal, in: Paal/Pauly, 2018, Art. 15 Rn. 33; Franck, in: Gola, 2018, Art. 15 Rn. 27; Specht, in: Sydow, 2018, Art. 15 Rn. 18; Veil, in: Gierschmann/Schlender/Stenzel, 2018, Art. 15 Rn. 209; Zikesch/Sörup, ZD 2019, 239 (240); Wybitul, ZD 2019, 278 (279); Kamlah, in: Plath, 2018, Art. 15 Rn. 16. 242 S. z.B. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 77 f.; Härting, CR 2019, 219 (221ff.); Engeler/Quiel, NJW 2019, 2201 (2202 f.). 243 So z.B. Dix, in: Simitis/Hornung/Spiecker, 2019, Art. 15 Rn. 36; Engeler/Quiel, NJW 2019, 2201 (2203); a.A. Dausend, ZD 2019, 103; Zikesch/Sörup, ZD 2019, 239 (243); Specht, in: Sydow, 2018, Art. 15 Rn. 18; Wybitul 2016, Kap. IV, Rn. 166. 244 S. z.B. Härting, CR 2019, 219 (222). 245 S. z.B. Bäcker, in Kühling/Buchner, 2018, Art. 15 Rn. 39. 246 S. z.B. Dix, in: Simitis/Hornung/Spiecker, 2019, Art. 15 Rn. 29; Ehmann, in: Ehmann/Selmayr, 2018, Art. 15 Rn. 25; Engeler/Quiel, NJW 2019, 2201 (2205). 247 S. z.B. z.B. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 78. Engeler/Quiel, NJW 2019, 2201 (2204). 248 So z.B. auch Jaspers/Jaquemain, DuD 2020, 297; a.A. IHK München und Oberbayern, 2019, 1. 3.9 Das Auskunftsrecht der betroffenen Person 73 tensatzes nur wenig belastet.249 Eine Mitteilung aller verarbeiteten Daten ist dann nicht notwendig. Für die betroffene Person gibt die „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind,“ eine geeignete Prüfgrundlage für die Fragen, welche Daten von ihr in welchem Verarbeitungszusammenhang verarbeitet werden und ob diese Datenverarbeitung rechtmäßig ist. Allerdings kann eine Kopie der verarbeiteten Daten eine Erläuterung erforderlich machen, wenn sie für die betroffene Person ansonsten nicht verständlich wäre. Wenn das „Recht auf Erhalt einer Kopie“ sich vom Recht auf Auskunft unterscheidet, sollte dieses Recht ausdrücklich eingefordert werden müssen.250 Umstritten ist jedoch, was eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind,“ sein kann. Dies ist leicht zu beantworten, soweit die Daten der betroffenen Person in einem Datensatz oder in einem Dateiordner gespeichert sind, wie dies etwa ein Account, eine Personalakte, eine Kunden- oder eine Krankenakte, ein Persönlichkeitsprofil oder ähnlich geschlossene Datensammlungen sind. Schwierig ist es jedoch die „personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, von anderen Daten, auf deren Kenntnis die betroffene Person kein Recht hat, abzugrenzen, wenn sie mit anderen Daten in Geschäftsvorgängen, Protokollen, Logdateien, Backup-Dateien, Kommunikationsverläufen, Infrastruktur- oder Geräteprozessen verarbeitet werden, die nicht nach betroffenen Personen geordnet sind und auch nicht nach diesen strukturiert werden können.251 Dass ein Datum der betroffenen Person in einem Geschäftsvorgang vorkommt, kann nicht dazu führen, ihr den gesamten – unter Umständen sehr umfangreichen – Geschäftsvorgang in Kopie zur Kenntnis zu geben. Die Rechtsunsicherheit, wo die Grenze des berechtigten Anspruchs auf eine Kopie liegt, führt dazu, dass betroffene Personen davor zurückschrecken, dieses Recht in Anspruch zu nehmen, und dass Verantwortliche sich weigern, diesen Anspruch zu erfüllen. Daher ist es notwendig, dass das Recht auf eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, in einer Weise präzisiert wird, dass 249 S. den Hinweis des Erwägungsgrunds 63 DSGVO auf die Verwendung von Datendownloadtools. Diese werden von Social-Media-Anbieter überwiegend angewendet – s. zu den unzureichenden Ergebnissen jedoch Scheibel/Horn/Öksüz, 2018, 13ff. 250 S. auch Litauen, in: Rat, ST 12756/1/19, 36: „In our view Article 15(3) of the Regulation could be amended to provide that a data subject should only receive a copy of their personal data if they so request.” 251 S. z.B. Zikesch/Sörup, ZD 2019, 239. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 74 es in der Praxis handhabbar wird, und der Verbraucher in die Lage versetzt wird, es gezielt in Anspruch zu nehmen. Kann der Verantwortliche keine Kopie zur Verfügung stellen, ist eine strukturierte, aufgearbeitete Liste aller verarbeiteten Daten notwendig, damit die betroffene Person überprüfen kann, ob die über sie gespeicherten Daten korrekt sind und ihre Verarbeitung durch den angegebenen Erlaubnistatbestand erlaubt ist. Die Angabe der Kategorien personenbezogener Daten, die verarbeitet werden, nach Art. 15 Abs. 1 lit. b DSGVO kann dann nicht ausreichen. Für diese Fälle ist Abs. 1 um die Angabe der verarbeiteten Daten zu ergänzen. In bestimmten Fällen, in denen die Kopie eines Dokuments oder eines Auszugs aus einem komplexen Datensatzes notwendig ist, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen, ist eine solche Kopie oder ein solcher Auszug vorzulegen.252 Diese Klarstellung sowie die im folgenden Kapitel vorgeschlagene Klarstellung zum Anwendungsbereich des Rechts auf Datenübertragung nach Art. 20 DSGVO würde auch den Unterschied zwischen der Übermittlung einer Kopie und der Übertragung von Daten der betroffenen Person verdeutlichen:253 Die Kopie würde die der betroffenen Person zugeordnete Datensammlung betreffen, unabhängig davon, ob die betroffene Person die Daten „bereitgestellt“ hat und unabhängig davon, auf welcher Rechtsgrundlage die Daten verarbeitet werden. Dagegen besteht das Recht auf Datenübertragung nur unter zwei Voraussetzungen, die für das Recht auf eine Kopie nicht gelten: Zum einen kann die Datenübertragung nur gefordert werden, wenn die Verarbeitung personenbezogener Daten „auf einer Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a oder Art. 9 Abs. 2 lit. a oder auf einem Vertrag gemäß Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO beruht“. Zum anderen gilt sie nur für alle die Datensammlungen, die die betroffene Person verursacht oder veranlasst hat, auch wenn dies Daten von Dritten mit umfasst, die die betroffene Person rechtmäßig verarbeitet hat. Außerdem muss die Kopie nicht in einer weiterverarbeitbaren Form übermittelt werden, während die Datenübertragung nur dann Sinn macht, wenn sie vom Empfänger weiterverarbeitet werden kann. 252 Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 78; Zikesch/Sörup, ZD 2019, 239 (243). 253 Dies übersehen z.B. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 77 f.; Zikesch/Sörup, ZD 2019, 239 (241); Jaspers/Jaquemain, DuD 2020, 297; s. zum Problem auch Deutsche Telekom 2019, 2 f. 3.9 Das Auskunftsrecht der betroffenen Person 75 Das Recht auf Datenübertragung Während die Rechte der betroffenen Personen aus dem Katalog der Datenschutz-Grundverordnung im Wesentlichen dem entsprechen, was auch bereits unter dem Regime der Datenschutzrichtlinie galt, stellt das Recht auf Datenübertragung eine der prominentesten Neuerungen des neuen Datenschutzrechts dar.254 Es gibt der betroffenen Person das Recht, Daten, die sie dem Verantwortlichen bereitgestellt hat, auf einen anderen Datenverarbeiter zu übertragen. Diese nicht zuletzt auf soziale Netzwerke abzielende Regelung255 soll sog. Lock-in-Effekte reduzieren helfen und den Wettbewerb zwischen Anbietern steigern.256 Die Bezeichnung des Rechts ist missglückt. Art. 20 DSGVO regelt einen Anspruch auf eine Handlung und eine Pflicht zu einer Handlung, nämlich die Bereitstellung personenbezogener Daten (Abs. 1) und deren Übertragung durch die betroffene Person (Abs. 1) oder den Verantwortlichen (Abs. 2), nicht ein Recht zur Herstellung einer Möglichkeit. Wie die anderen Rechte der betroffenen Person nicht mit Informierbarkeit, Korrigierbarkeit, Löschbarkeit oder Einschränkbarkeit überschrieben sind, sondern mit Auskunft, Berichtigung, Löschung und Einschränkung die geforderte Handlung nennen, sollte auch Art. 20 DSGVO mit „Recht auf Übertragung“ überschrieben werden.257 Die Nutzung dieses Rechts ist für Verbraucher jedoch durch drei Probleme, die der Normtext verursacht, gefährdet: erstens durch den zu engen Anwendungsbereich258 des Rechts auf Datenübertragung und zweitens durch die zu geringe Bestimmtheit über das Format, in dem die Daten übergeben werden sollen.259 Schließlich ist die Regelung zu eng, weil sie eine bestehende Einwilligung oder einen bestehenden Vertrag voraussetzt. 3.10 254 Roßnagel, DuD 2019, 467 (468). 255 S. Gesellschaft für Datenschutz und Datensicherheit, 2019, 3 und Jaspers/Jaquemain, DuD 2020, 297, die mit Verweis auf die Genese der Norm eine Beschränkung ihres Anwendungsbereichs auf (Online-)Portale fordert. 256 S. Europäische Kommission, COM(2020) 264 final, 8; Commission Staff Working Document,21; Kühling/Sackmann, 2018, 21; Stiftung Datenschutz, 2018, 10, 13ff. 257 Das Recht als „Marketing-Gag“ ersatzlos zu streichen, fordert Schulz, DuD 2020, 302. 258 S. Niederlande, in: Rat, ST 12756/1/19, 41: „quite narrow“. 259 Den Mangel an Standards stellt selbst die Kommission fest, COM(2020) 264 final, 8; Commission Staff Working Document, 21. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 76 Anwendungsbereich der Vorschrift Das Recht auf Datenübertragung sollte nicht nur für die von der betroffenen Person „bereitgestellten“ personenbezogenen Daten gelten, sondern auch für die von der betroffenen Person verursachten Daten. Zwar könnte mit einer umstrittenen260 Auslegung vertreten werden, „bereitgestellten“ Daten seien nicht nur die aktiv in das Dienstangebot eingestellten Daten, sondern auch personenbezogene Daten, die das Ergebnis der Beobachtung der Tätigkeit der betroffenen Person sind.261 Die Bereitstellung durch den Nutzer erfolge dabei durch die Nutzung des Dienstes oder Geräts.262 Beispiele sind Suchverläufe, Playlists, Verkehrs- und Standortdaten, Fitnessdaten oder ähnliche Daten.263 Als eingegeben sollten auf jeden Fall auch Daten gelten, die der Verbraucher mittels eines Trackers erhebt und über eine Schnittstelle in das System des Verantwortlichen eingibt. Als nicht bereitgestellt sollen dagegen Daten gelten, die der Verantwortliche aus der Analyse und Zusammenführung der bereitgestellten Daten gewonnen hat – wie etwa Bonitäts-Scores und andere Profiling-Ergebnisse.264 Dieses Verständnis überzeugt vor dem Hintergrund des Normzwecks, der in einer Stärkung des Wettbewerbs und dem Schutz der Verbraucher liegt.265 Letztlich geht es darum, Einflusssphären zwischen Verantwortlichem und betroffener Person abzugrenzen und den Beitrag zum Entstehen der Daten zu würdigen. Aus ihrem Beitrag zum Entstehen der Daten leitet sich die Verfügungsbefugnis der betroffenen Person ab. Soweit die betroffene Person das Entstehen der Daten verursacht hat, der Verantwortliche aber hierzu wenig beigetragen hat, indem er etwa lediglich die Infrastruktur bereitstellt, sollen die entstandenen Daten auch unter der Verfügungs- 3.10.1 260 S. a.A. z.B. Piltz, in: Gola, 2018, Art. 20 Rn. 14; Richter, PinG 2017, 231; Kamann/Braun, in: Ehmann/Selmayr, 2018, Art. 20 Rn. 13; Westphal/Wichtermann, ZD 2019, 191 (192). 261 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 11; Kühling/Sackmann, 2018, 21. 262 S. Verbraucherzentrale Bundesverband, 2016, 6; Scheibel/Horn/Öksüz 2018, 4. 263 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 11; Niederlande, ST 12756/1/19, 41; Dix, in Simitis/Hornung/ Spiecker, 2019, Art. 20 Rn. 8; Herbst, in: Kühling/Buchner, 2018, Art. 20 Rn. 11. 264 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 11 nennen diese „abgeleitete“ Daten. S. hierzu auch Westphal/ Wichtermann, ZD 2019, 191. 265 S. Roßnagel/Richter/Nebel, ZD 2013, 103 (107); Nebel/Richter, ZD 2012, 407 (413); Schantz, NJW 2016, 1841 (1845). 3.10 Das Recht auf Datenübertragung 77 und Nutzungsgewalt der betroffenen Person stehen.266 Aus dieser Logik heraus wird klar, dass eine Erstreckung von Art. 20 DSGVO auch auf Rohdaten erfolgen muss, die vom Verhalten der betroffenen Person verursacht werden.267 Auch für Daten Dritter, die die betroffene Person in ihrem Bereich auf der Plattform verarbeitet hat, soll sie ein Recht auf Datenübertragung haben, wenn sie diese Daten rechtmäßig verarbeitet. Dies gilt etwa für ihre Kontaktdaten268 oder ihre Bilder, auf denen auch andere Personen zu sehen sind. Gerade Daten, die von anderen Personen an die betroffene Person übermittelt worden sind, werden vom Wortlaut der Vorschrift nicht erfasst, müssten aber von der Zielsetzung der Vorschrift erfasst sein. Dies gilt insbesondere bei Kommunikationsvorgängen. Zumindest sollten alle die Daten von der Vorschrift erfasst werden, die sich ausschließlich in der Sphäre der betroffenen Person befinden, wie z.B. E-Mails im Eingangspostfach. Dass die Nachrichten im Ausgangspostfach – weil von der betroffenen Person eingegeben – übertragen werden können, die Nachrichten im Eingangspostfach aber nicht, wäre widersinnig. Das Gleiche muss aber auch für Chats oder Messenger-Dienste gelten, auf die auch andere Personen zugreifen können. Wenn sich Beitrag an Beitrag reiht und die betroffene Person zur Kommunikation beigetragen hat, wäre es unverständlich, wenn sie nur ihre Beiträge übertragen könnte, nicht aber die Beiträge anderer, auf die sich ihre Beiträge beziehen. Bei beiden Gruppen handelt es sich um nachträglich nicht mehr veränderbare Nachrichten einer Person an die betroffene Person als Empfänger. Der Empfänger muss davon ausgehen können, dass eine persönliche Nachricht (auch) an ihn zu seiner freien Verfügung steht.269 Im Ergebnis muss dies auch für Geschäftsvorgänge gel- 266 S. auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 7: „It should also be ensured that the right covers all data processed by automated means that the data subject has generated (including metadata) and not only those that he has deliberately entered into a system.“ 267 S. zum Streit Kamann/Braun, in: Ehmann/Selmayr, 2018, Art. 20 Rn. 13. S. wie hier auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 7: „including metadata“; Verbraucherzentrale Bundesverband, Evaluation, 2019, 9; a.A. Deutsche Telekom 2019, 3, die eine Klarstellung fordert, dass das Recht „keine Daten erfasst, die bei der Nutzung des Dienstes durch die betroffene Person automatisch vom Dienst erzeugt wurden (z.B. Logdateien, Verkehrsoder Standortdaten)“. 268 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 10 f.; Niederlande, ST 12756/1/19, 41. 269 Ähnlich auch Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Daten- übertragbarkeit, WP 242 rev.01, 11; Schantz, NJW 2016, 1841 (1845). 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 78 ten, die die betroffene Person betreffen, wie etwa Einzahlungen oder Belastungen auf ihren Konten. So würde einer Lösung jede Plausibilität fehlen, wenn sie nur die von ihr veranlassten Überweisungen oder Einzahlungen übertragen könnte, nicht aber die Überweisungen Dritter auf ihr Konto oder die Abbuchungen Dritter von ihrem Konto. Der Begriff „bereitgestellt“ ist daher zu eng und sollte, um sinnvolle Ergebnisse zu erzielen, durch „verursacht oder veranlasst“ ersetzt werden. Beschränkung auf geltende Einwilligungen oder Verträge Das Recht auf Datenübertragung besteht nach Art. 20 Abs. 1 DSGVO nur, wenn die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO beruht. Ungeklärt ist die Frage, ob dieser Anspruch auch noch zu dem Zeitpunkt besteht, wenn die Einwilligung widerrufen oder der Vertrag beendet worden ist.270 Für diesen Fall wird vertreten, dass eine Übertragung der Daten nicht mehr gefordert werden kann, weil die Datenverarbeitung nach dem Widerruf oder der Vertragsbeendigung nicht mehr auf einer Einwilligung oder einem Vertrag beruht.271 Gerade nach einem Widerruf oder einer Beendigung des Vertrags besteht aber in besonderer Weise der Bedarf der Übertragung der Daten an die betroffenen Person oder an den neuen Provider. Der Zielsetzung der Vorschrift des Art. 20 DSGVO würde ein solcher Anspruch erst recht entsprechen. Für sie kann es keinen Unterschied machen, ob die betroffene Person zuerst die Einwilligung wiederrufen oder den Vertrag beendet hat und dann ihren Anspruch auf Datenübertragung geltend gemacht hat oder umgekehrt. Den Anspruch der betroffenen Person zu versagen, nur weil der Wortlaut des Art. 20 Abs. 1 DSGVO unpassend formuliert ist, wäre ungerechtfertigt. Daher sollte der Text dieser Vorschrift dahingehend verbessert werden, dass er die Datenübertragung auch noch nach Beendigung der Verarbeitungserlaubnis ermöglicht. Allerdings sollte dieser Anspruch in einem angemessenen zeitlichen Zusammenhand zum Widerruf oder zur Vertragsbeendigung geltend gemacht werden. Ohne Einwilligung oder ohne Vertrag müssen die Daten nach Art. 17 Abs. 1 lit. a, b oder d DSGVO gelöscht werden. Dies wird in der Praxis 3.10.2 270 Die Datenübertragung ist keine nachvertragliche Pflicht und dient nicht der Vertragserfüllung – s. Westphal/Wichtermann, ZD 2019, 191 (192). 271 S. z.B. Westphal/Wichtermann, ZD 2019, 191 (192). 3.10 Das Recht auf Datenübertragung 79 aber nicht sofort nach dem Widerruf oder der Vertragsbeendigung geschehen, sondern entsprechend dem jeweiligen Löschkonzept in einer angemessenen darauffolgenden Zeitspanne. Der Anspruch auf Datenübertragung kann nur geltend gemacht werden, solange die Daten noch im System des Verantwortlichen gespeichert sind. Daher wäre die Zeitspanne bis zur Löschung der Daten auch der notwendige und zugleich ein angemessener Zeitraum, um die Datenübertragung einfordern zu können.272 Der Verantwortliche hätte es dann in der Hand, durch eine baldige Löschung der Daten auch von seiner Pflicht zur Datenübertragung frei zu werden. Form der Datenübertragung Besteht ein Recht auf Datenübertragung aus Art. 20 Abs. 1 DSGVO, ist unklar, welche Form der Datenübertragung und welches Format der Daten der Verbraucher fordern darf. Das Recht auf Datenübertagung ist durch die Verwendung unbestimmter Rechtsbegriffe (z.B. „strukturiertes gängiges und maschinenlesbares Format“, „ohne Behinderung“, „technisch machbar“), gekennzeichnet,273 die von Anbietern höchst unterschiedlich und oft zum Nachteil der Verbraucher ausgelegt werden.274 So gibt die Datenschutz-Grundverordnung keine konkreten Formate vor. Der Begriff „ohne Behinderung“ lässt offen, ob lediglich ein Unterlassen von Behinderung gemeint oder eine weite Auslegung vorzunehmen ist.275 Bei einer weiten Auslegung dürfte die aktuelle Bereitstellungspraxis überwiegend einen Verstoß gegen Art. 20 DSGVO darstellen. Die Datenschutz-Grund- 3.10.3 272 S. hierzu auch Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Daten- übertragbarkeit, WP 242 rev.01, Anhang, Frage 5; Westphal/Wichtermann, ZD 2019, 191 (193 f.), die allerdings eine Datenübertragung nach Widerruf der Einwilligung ausschließen wollen. 273 S. z.B. Niederlande, ST 12756/1/19, 41; Strubel, ZD 2017, 355; Jülicher/Röttgen/ Schönfeld, ZD 2016, 358. 274 Sie sind nach Erwägungsgrund 68 nicht verpflichtet, „technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten“. Sie „sollten dazu aufgefordert werden interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen“. S. zur Praxis von Social-Media-Anbieter Scheibel/ Horn/Öksüz, 2018, 15ff. 275 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 18: „jedwede rechtliche, technische oder finanzielle Hürde […], durch die ein Verantwortlicher den Datenzugriff, die Datenübertragung oder die Datenwiederverwendung vonseiten der betroffenen Person oder eines anderen Verantwortlichen verlangsamen oder verhindern möchte. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 80 verordnung bestimmt auch nicht, was gängige Formate sind. So wären E- Mails, die als PDF-Datei übergeben werden, oder Chats, die als Screenshots in einem gängigen Bildformat herausgegeben werden, wohl nicht sachgerecht, obwohl es gängige Formate sind. Für welche spätere Funktion, die herauszugebenden Daten geeignet sein müssen, lässt die Verordnung jedoch offen. Die technische Machbarkeit soll etwa auch bei der Möglichkeit einer Bereitstellung der Daten auf einem physischen Medium „unter Umständen“ nicht entfallen,276 was wiederum Kosten beim Verarbeiter verursacht. Gerade für dieses Betroffenenrecht bleiben alle die Problembereiche im Streit, die der europäische Gesetzgeber nicht gelöst, sondern nur vertuscht hat. Vorschläge zur Verankerung von Interoperabilität im Normtext sowie zur Verpflichtung des Verantwortlichen zur Bereitstellung in einem von der betroffenen Person weiter verwendbaren Format277 wurden im Trilog nicht akzeptiert. Die mit der Einführung dieser rechtlichen Innovation bezweckten Regelungsziele werden durch die bestehenden Unsicherheiten gefährdet und durch die Anbieter von Social Networks weitgehend unterlaufen.278 Die Lösung dieser Problembereiche kann nur in der rechtlichen Forderung nach Interoperabilität der verwendeten Formate liegen.279 Der Aufruf des Erwägungsgrundes 68 DSGVO, Verantwortliche zur Entwicklung interoperabler Formate für die Datenübertragung aufzufordern, hat bislang indes kaum Nachhall gefunden. Interoperabilität der Formate benötigt klare und verbindliche Vorgaben. Diese sollten in der Verordnung gefordert und deren bestimmte Festlegung als verbindliche Pflichtaufgabe des Europäischen Datenschutzausschuss gewährleistet werden. Dieser sollte aufgefordert werden, verbindliche Formatvorgaben für die Übergabe der Daten zu bestimmen. Hilfreich hierfür könnten die Leitlinien zum Recht auf Datenübertragbarkeit der Artikel 29-Datenschutzgruppe vom Dezember 2016 sein. Interoperabilität wird dort als „gewünschte[s] Ergebnis“ der sich aus den Begrif- 276 So die vagen Vorgaben der Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 17. 277 „In einem interoperablen gängigen elektronischen Format […], das sie weiterverwenden kann“, Art. 15 Abs. 2a Parl-E; „in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format“, Art. 18 Abs. 1 KOM-E. 278 S. z.B. Scheibel/Horn/Öksüz, 2018, 15ff. 279 So auch Niederlande, in: Rat, ST 12756/1/19, 41; Verbraucherzentrale Bundesverband, 2013, 15; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 7; Verbraucherzentrale Bundesverband, Evaluation, 2019, 9; Kühling/Sackmann, 2018, 21. 3.10 Das Recht auf Datenübertragung 81 fen „strukturiert“, „gängig“ und „maschinenlesbar“ ergebenden „Leistungsvorgaben“ bezeichnet. Das erwartete Dateiformat, in dem Daten der betroffenen Person bereitzustellen sind, muss „mit einer Weiterverwendung vereinbar“ sein.280 Der dem Verbraucher bereitgestellte Datensatz soll mit Standardsoftware kompatibel sein. Neben Interoperabilität der Formate fordert das Recht auf Datenübertragung weitere gesetzlich Klärungen: So sollte festgelegt werden, dass die Daten durch den Verantwortlichen in der deutschen oder englischen Sprache bereitgestellt werden sollen. Rechtspolitisch besteht demnach Klärungs- und Präzisierungsbedarf bezüglich des Rechts auf Datenübertragung, um sicherzustellen, dass es die ihm zugedachten verbraucher- und wettbewerbsstärkenden Funktionen tatsächlich erfüllen kann. Daher sollte der Unionsgesetzgeber die vorgeschlagenen Änderungen in den Normtext der Datenschutz-Grundverordnung aufnehmen. Automatisierte Entscheidungen im Einzelfall Für Art. 22 DSGVO ist weniger entscheidend, was die Vorschrift verbietet, sondern was sie erlaubt.281 Ihre geltende Fassung verursacht für Verbraucher folgende Probleme, die eine Anpassung erfordern: Zum einen ist das Verbot automatisierter Entscheidungen im Einzelfall zu eng gefasst. Zum anderen erwähnt sie zwar das Problem des Profiling, ohne dessen spezifische Risiken zu regeln. Drittens rechtfertigt sie in Abs. 2 eine automatisierte Entscheidung im Einzelfall, wenn sie für den Abschluss oder eines Vertrags erforderlich ist, ohne dass die betroffene Person dem zustimmen muss.282 Ausweitung des Anwendungsbereichs der Vorschrift Art. 22 Abs. 1 DSGVO enthält das „Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung – ein- 3.11 3.11.1 280 Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 19. 281 S. Roßnagel, in: Baule u.a., 2019, 33ff. 282 Mit keiner dieser Fragen befasst sich der Evaluationsbericht der Europäischen Kommission. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 82 schließlich Profiling – unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Auch hier handelt es sich um eine Übernahme aus dem alten Datenschutzrecht; hier wurde der über 20 Jahre alte Art. 15 der Datenschutzrichtlinie fast wörtlich in die Datenschutz-Grundverordnung überführt. Diese Regelung wird ca. 25 Jahre nach ihrem Entstehungsprozess den Grundrechtsrisiken algorithmenbasierter Entscheidungen nicht ausreichend gerecht. Ihr Anwendungsbereich ist in dreifacher Weise eingeschränkt: Zunächst ist er begrenzt auf Entscheidungen und erstreckt sich nicht auf Verarbeitungen personenbezogener Daten, die den Entscheidungen zugrunde liegen, sodann ist er beschränkt auf „ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungen“ und schließlich ist er begrenzt auf Entscheidungen mit einer rechtlichen Wirkung oder einer ähnlichen erheblichen Beeinträchtigung. Durch diese Einschränkungen erfasst die Vorschrift nur einen Bruchteil der Grundrechtsbeeinträchtigungen von Verbrauchern und wird daher der Schutzpflicht des Gesetzgebers für die Grundrechte der Verbraucher nicht gerecht. Beispiele für automatisierte Entscheidungsverfahren sind die personalisierte Preissetzung von Gütern und Diensten, KI-basierte Gesundheitsratgeber, die Bestimmung individueller Kreditausfallrisiken, Smart-Home- Anwendungen, digitale Assistenzsysteme, Portfoliomanagement für Finanzanleger sowie das autonome Fahren.283 Alle diese Entscheidungsverfahren berühren die Grundrechte und Interessen der betroffenen Person in beträchtlicher Weise. Nicht erfasst von Art. 22 Abs. 1 DSGVO ist die auf einer automatisierten Verarbeitung beruhende Vorbereitung einer Entscheidung, sondern lediglich die Entscheidung selbst.284 Die vorausgehende Verarbeitung personenbezogener Daten richtet sich in ihrer Rechtmäßigkeit nach den risikoneutralen Erlaubnistatbeständen des Art. 6 Abs. 1 und 4 DSGVO. Das damit verbundene Problem einer adäquaten Regulierung der Risiken des Profiling wird im folgenden Unterkapitel aufgegriffen.285 Nicht erfasst sind zum anderen alle Entscheidungen, die nicht „ausschließlich“ auf einer automatisierten Verarbeitung beruhen. Die Vor- 283 S. Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 7 f. m.w.N. 284 Kritisch Martini, 2018, 19 f.; Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 12; Glatzner, DuD 2020, 312; Weichert, DuD 2020, 293. 285 S. Kap. 3.12. 3.11 Automatisierte Entscheidungen im Einzelfall 83 schrift erfasst damit nicht die Risiken, die durch eine teilautomatisierte Entscheidung oder eine arbeitsteilig durchgeführte automatisierte Entscheidung entstehen. Möglich bleiben dadurch Entscheidungen im Einzelfall, die in mehreren Stufen automatisiert vorbereitet werden, die am Ende zwar ein Mensch trifft, der aber die automatische Entscheidungsvorbereitung nicht zu verantworten hat, eventuell nicht einmal ihre Kriterien kennt, aber ihr Ergebnis übernimmt. Dadurch entstehen erhebliche Schutzlücken gegenüber den Risiken automatisierter Entscheidungen für die Grundrechte.286 Die Vorschrift des Art. 22 Abs. 1 DSGVO sollte daher auf die Einschränkung „ausschließlich“ verzichten, um eine Erstreckung auch auf teilautomatisierte Entscheidungen zu erreichen. Auch innerhalb einer Organisation ist die Beschränkung auf automatisierte Entscheidungen aus Verbrauchersicht problematisch. Das Recht nach Art. 22 Abs. 1 DSGVO gilt nicht, wenn am Ende ein Mensch entscheidet. Dieser wird in der Praxis die Vorgabe des Systems ungeprüft übernehmen. Zudem wird ihm zumeist das Fachwissen fehlen, diese Vorgabe kritisch zu hinterfragen. Der Mensch ist in solchen Fällen nur formal der Entscheider; die tatsächliche Entscheidung wird vom automatisierten System getroffen. Nicht erfasst werden schließlich die automatisiert entstandenen Entscheidungen im Einzelfall, die keine Rechtswirkung entfalten oder den Betroffenen auf ähnliche Weise erheblich beeinträchtigen. Laut Erwägungsgrund 71 DSGVO sollen die automatische Ablehnung eines Online-Kreditantrags oder eines Online-Einstellungsverfahrens ohne jegliches menschliche Eingreifen erfasst sein. Aufgrund dieser Beschränkung soll die Vorschrift aber keine Anwendung finden etwa auf die automatisierte Beschränkung von Zahlungsmöglichkeiten im E-Commerce oder die Verweigerung bestimmter Vertragskonditionen.287 Umstritten ist die Anwendbarkeit auf verhaltensbedingte Werbung und individualisierte Preise.288 Notwendig wäre in Art. 22 Abs. 1 DSGVO eine Ergänzung um ein Verbot, automatisiert vorbereiteten Entscheidungen ausgeliefert zu sein, die 286 S. auch Jaspers/Jaquemain, DuD 2020, 297; Glatzner, DuD 2020, 312; s. zu dem damit verbundenen Anspruch auf aussagekräftige Informationen s. Kap. 3.8. 287 Buchner, in: Kühling/Buchner, 2018, Art. 22 DSGVO, Rn 26; Born, ZD 2015, 66; Abel, ZD 2018, 304; s. auch Atzert, in: Schwartmann u.a., 2018, Art. 22 Rn. 51. 288 Dagegen Martini, in: Paal/Pauly, 2018, Art. 22 Rn. 23; Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 24; dafür Hladjk, in: Ehmann/Selmayr, 2018, Art. 22 Rn. 9. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 84 der menschliche Entscheider im Regelfall unbesehen übernimmt, ohne dass die betroffene Person vor der Entscheidung eine Möglichkeit hat, ihren Standpunkt vorzutragen.289 Hierzu benötigt sie zuvor eine aussagekräftige Information gemäß Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO aufgeführt oder eine Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO „über die involvierte Logik, die einzelnen Profilmerkmale und deren Bedeutung sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“.290 Schließlich sollte Abs. 1 auf die Einschränkung verzichten, dass die Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt. Für die Geltung des Art. 22 Abs. 1 DSGVO sollte genügen, dass die betroffene Person in ihren Grundrechten und Freiheiten beeinträchtigt wird.291 Wenn von ihr höhere Preise verlangt werden oder wenn sie durch personalisierte Werbung belästigt wird, sollte dies als Beeinträchtigung ausreichen. Eine Benachteiligung wie bei einer negativen rechtlichen Wirkung zu verlangen, bevorzugt den Verantwortlichen und benachteiligt die Verbraucher in ungerechtfertigter Weise. Automatisierte Entscheidungen Dritter als Bedingung Zudem soll Art. 22 Abs. 1 DSGVO nach Abs. 2 lit. a nicht greifen, wenn automatisierte Entscheidungen Dritter zur Bedingung der Entscheidung eines Anbieters werden.292 Dies ist etwa dann der Fall, wenn eine Bonitätsprüfung eingeholt wird, die dann über die Vergabe eines Kredits entscheidet. Art. 22 Abs. 2 lit. b DSGVO ermöglicht die Festsetzung weitere Aus- 3.11.2 289 S. auch Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Glatzner, DuD 2020, 312; im Unterschied dazu zielt Art. 22 Abs. 3 DSGVO nur auf eine nachträgliche nochmalige Überprüfung, wenn die vollautomatisierte Entscheidung im Einzelfall auf den Erlaubnistatbeständen des Abs. 2 lit. a oder c beruht – s. z.B. Scholz, in: Simitis/Hornung/Spiecker, 2019, Art. 22 Rn. 56 und 59; Hladjk, in: Ehmann/Selmayr, 2019, Art. 22 Rn. 15. 290 S. hierzu Kap. 3.8 und 3.9. 291 S. auch Verbraucherzentrale Bundesverband, 2013, 17; Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 3 f., 12; Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4. 292 Die Niederlande, ST 12756/1/19, 41, halten diese Regelung für rechtsunsicher. 3.11 Automatisierte Entscheidungen im Einzelfall 85 nahmen durch mitgliedstaatliches Recht, was in Deutschland in Form von § 37 BDSG geschehen ist. Art. 22 Abs. 2 lit. a DSGVO sollte entweder vollständig entfallen oder zumindest um die Formulierung „mit Einwilligung der betroffenen Person“ ergänzt werden. Dass eine Bank, ein Vermieter oder ein Verkäufer mit einer Auskunftei vereinbart haben, dass ein Scoring Voraussetzung für einen Vertragsabschluss oder die Erfüllung eines Vertrags mit der betroffenen Person sein soll, kann nicht dafür genügen, dass Abs. 1 zu Lasten der betroffenen Person ersatzlos ausfällt. Vielmehr sollte die betroffene Person auch in diesen Fällen das genannte Auskunfts- und Reklamationsrecht haben. Qualitative Anforderungen Jede auf einer automatisierten Verarbeitung beruhende Entscheidung sollte immer qualitativen Anforderungen unterliegen. Diese Anforderungen könnten sich an den Bedingungen des Erwägungsgrunds 71 DSGVO und des § 31 BDSG für Scoring und Bonitätsauskünften orientieren.293 Zumindest sollte gefordert werden, dass die Entscheidung unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Entscheidungsfindung erheblich ist und dass die Prognosetauglichkeit für das Verhalten einer Person, die Validität und Reliabilität des verwendeten mathematisch-statistischen Verfahren wissenschaftlich nachgewiesen werden kann.294 Pflicht zur Erläuterung der Entscheidung Nach Abs. 3 des Art. 22 DSGVO hat der Verantwortliche in den Fällen des Abs. 2 lit. a oder c „angemessene Maßnahmen“ zu treffen, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren.“ Zu diesen Maßnahmen gehören „mindestens“ die Rechte „auf 3.11.3 3.11.4 293 S. auch Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 2019, 8. 294 S. auch Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 21; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; weitergehende Forderungen auch in Netzwerk Datenschutzexpertise, 2020, 8; Verbraucherzentrale Bundesverband, Evaluation, 2019, 13; Datenethikkommission 2019, 180ff.; Weichert, DuD 2020, 293; Glatzner, DuD 2020, 312. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 86 Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“. Diese Vorschrift gewährleistet der betroffenen Person ein Recht auf Reklamation und auf nochmalige Überprüfung der automatisiert getroffenen Entscheidung durch einen Menschen. Der Wortlaut fordert keine Begründungen, Erklärungen oder Erläuterungen der automatisiert getroffenen Entscheidung. In der Kommentarliteratur wird dies zwar als Inhalt des Abs. 3 gefordert,295 aber auch bestritten.296 Um hier für Klarheit zu sorgen und einen Interessenausgleich sicherzustellen, sollte der Text des Abs. 3 eindeutig feststellen, dass der Verantwortliche im Fall einer Reklamation die wesentlichen Gründe der automatisiert getroffenen Entscheidung und deren Auswirkungen erläutern muss. Der betroffenen Person muss deutlich werden, welche Beurteilungsmaßstäbe der Entscheidung zugrunde lagen und welche Gesichtspunkte und Erkenntnisse in ihrem Fall ausschlaggebend waren.297 Soweit dies möglich ist, sollte er auch verpflichtet sein, anzugeben unter welchen Voraussetzungen die Entscheidung für die betroffene Person positiv ausgegangen wäre.298 Nichtabdingbarkeit von Rechten der betroffenen Person Die Datenschutz-Grundverordnung lässt es zu, dass die Rechte der betroffenen Person durch Rechtsgeschäft299 beschränkt werden. Diese Möglichkeit ist für Verbraucher besonders nachteilig. Sie erlaubt Verantwortlichen, ihre Macht über den Interessenausgleich, den die Datenschutz- Grundverordnung zwischen ihnen und betroffenen Person als angemessen festgelegt hat, hinaus dadurch auszuweiten, dass sie die Rechte der betrof- 3.12 295 S. z.B. Scholz, in: Simitis/Hornung/Spiecker, 2019, Art. 22 Rn. 57 f.; Schulz, in: Gola 2019, Art. 22 Rn. 42 – jeweils unter Berufung auf Erwägungsgrund 71 UAbs. 1 Satz 4. 296 S. z.B. nicht erwähnt in der Kommentierung von Helfrich, in: Sydow, 2018, Art. 22 Rn. 69 bis 73. 297 S. z.B. Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Scholz, in: Simitis/Hornung/Spiecker, 2019, Art. 22 Rn. 57 f. 298 S. hierzu auch Niederlande, in: Rat, ST 12756/1/19, 44; Verbraucherzentrale Bundesverband, Evaluation, 2019, 10. 299 Ein Rechtsgeschäft besteht aus einer einseitigen oder mehreren aufeinander bezogenen Willenserklärungen, die eine Rechtsfolge herbeiführen sollen – s. z.B. Dix, in: Simitis, BDSG, 2014, § 6 Rn. 11. 3.12 Nichtabdingbarkeit von Rechten der betroffenen Person 87 fenen Personen durch Rechtsgeschäft beschränken. Dies ist vor allem dann unfair, wenn diese aus sozialen oder beruflichen Gründen gezwungen sind, die Angebote der Verantwortlichen anzunehmen und zu nutzen. Die Datenschutz-Grundverordnung sollte in diesen Fällen einseitiger Machtausübung die betroffene Person als schwächere Partei nicht im Stich lassen. Sich auf die fehlende Fairness im Sinn des Art. 5 Abs. 1 lit. a DSGVO zu berufen, ist viel zu unsicher. Und die Vorschrift des Art. 7 Abs. 4 DSGVO bietet einen viel zu schwachen Ansatz. Sie enthält für die Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, nur eine „Berücksichtigungspflicht“ und soll im Ergebnis nicht bei den Social Networks greifen, wenn die Einwilligung wirtschaftlich die Gegenleistung für die geldfreien Leistungen der Plattform ist.300 Bis zum Geltungsbeginn der Datenschutz- Grundverordnung waren die Rechte der betroffenen Person im deutschen Datenschutzrecht nicht abdingbar.301 Diese Regelung ist mit der Datenschutz-Grundverordnung entfallen. Sie sollte unionsweit (wieder) eingeführt und ausgeweitet werden.302 Anforderungen an Profiling Ein großes Manko der Datenschutz-Grundverordnung ist, dass sie das Profiling zwar in Art. 4 Nr. 5 DSGVO definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“. Diese Definition ist deswegen notwendig, um durch sie besonders hohe Risiken für die Grundrechte der betroffenen Personen zu erfassen. Trotz seiner besonderen Risiken regelt die Datenschutz-Grundverordnung Profiling nur punktuell.303 Gegen Profiling kann nach Art. 21 Abs. 1 und 2 DSGVO Widerspruch angemeldet werden, wenn es der Wahrung 3.13 300 S. z.B. Klement, in Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 7 Rn. 58ff.; Buchner/Kühling, in: Kühling/Buchner, DSGVO, Art. 7 Rn. 48. 301 S. Dix, in: Simitis, BDSG, 2014, § 6 Rn. 7ff. 302 S. auch Roßnagel, MMR 2020, 222. 303 Kritisch hierzu auch Niederlande, in: Rat, ST 12756/1/19, 42. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 88 berechtigter Interessen, insbesondere dem Direktmarketing, dient. Es ist außerdem nach Art. 22 Abs. 1 DSGVO verboten, wenn es für eine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung dient, es sei denn eine der Ausnahmen des Art. 22 Abs. 2 DSGVO erlaubt dies. Alle anderen Formen und Gründe für Profiling sowie deren Risiken regelt die Datenschutz-Grundverordnung nirgendwo in einer ad- äquaten Weise. Auch die allgemeinen Zulässigkeitsregelungen in Art. 6 DSGVO enthalten keine Anforderungen zur Bekämpfung dieser Risiken.304 Profiling von Verbrauchern ist jedoch immer ein starker Eingriff in deren Grundrechte, der über die normale Verarbeitung von personenbezogenen Daten hinausgeht. So kann es in Folge einer automatisierten Entscheidung auf Grundlage eines Profils zu einer Preisdiskriminierung im Internet kommen, wenn etwa Kunden, bei denen aufgrund ihres Profils (Einkommen, Interessen, Präferenzen) eine höhere Zahlungsbereitschaft angenommen wird und daher ein höherer Preis verlangt wird, als dies ohne Profil der Fall wäre.305 Daher bedarf die Datenschutz-Grundverordnung einer risikoadäquaten Regelung, die Datenschutz und Entscheidungsfreiheit schützt und Diskriminierung verhindert.306 Eine solche Regelung ist nicht nur dann notwendig, wenn das Profil die Grundlage für eine automatisierten Entscheidungsfindung ist, sondern immer dann, wenn die Risiken üblicher Datenverarbeitung durch die Risiken einer Merkmalssammlung in Profilen deutlich gesteigert werden.307 Um den spezifischen Risiken zu begegnen, die mit Profiling für die Grundrechte der Verbraucher einhergehen, sind risikoadäquate Regelungen notwendig. Die Datenschutz-Grundverordnung könnte gesetzlich festlegen, für welche Zwecke Profiling zulässig ist und für welche nicht.308 Vergleichbar mit der Regelung in Art. 9 DSGVO für besondere Kategorien 304 So auch kritisch Datenschutzkonferenz, Erfahrungsbericht, 2019, 24. 305 S. hierzu Niederlande, in: Rat, ST 12756/1/19, 42ff. 306 S. auch Niederlande, in: Rat, ST 12756/1/19, 42; Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 2019, 8; Datenschutzkonferenz, Erfahrungsbericht, 2019, 24; Netzwerk Datenschutzexpertise, 2020, 7; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Glatzner, DuD 2020, 312. 307 Datenschutzkonferenz, Erfahrungsbericht, 2019, 24; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; Glatzner, DuD 2020, 312; ähnlich Netzwerk Datenschutzexpertise, 2019, 7; Forum Privatheit, 2019, 7 f.; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4; ähnlich für Profiling mit besonderen Kategorien personenbezogener Niederlande, in: Rat, ST 12756/1/19, 42. 308 S. Datenschutzkonferenz, Erfahrungsbericht, 2019, 24. 3.13 Anforderungen an Profiling 89 personenbezogener Daten könnte die Regelung festlegen, dass Profiling grundsätzlich nicht erlaubt ist und nur in ausdrücklich vorgesehenen Fällen zugelassen ist.309 Außerdem sollte die Sammlung von Persönlichkeitsmerkmalen immer qualitativen Anforderungen unterliegen. Zu fordern ist, dass die verwendeten Merkmale für den Verarbeitungszweck tatsächlich aussagekräftig sind, dass sie nicht unzulässig diskriminieren, dass die zugrundeliegenden und genutzten Daten für die Zweckerreichung erforderlich und erheblich sind und dass die Schlussfolgerungen, die aus den Daten gezogen werden, wissenschaftlich nachweisbar mit den Merkmalen, die durch die Daten belegt werden sollen, zusammenhängen. Datenschutz durch Systemgestaltung Eine besondere Innovation der Datenschutz-Grundverordnung310 ist die in Art. 25 Abs. 1 DSGVO geforderte datenschutzgerechte Systemgestaltung. Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Datenschutzgrundsätze wirksam umsetzen und den Schutz der Rechte der betroffenen Personen garantieren. Die Forderung einer datenschutzgerechten Systemgestaltung ist indes nicht neu311 und dennoch zentral für die Verwirklichung von Datenschutz in einem technisierten Alltag. Unbestimmtheit der Gestaltungspflicht Die Pflicht ist allerdings sehr weich formuliert („trifft der Verantwortliche“). Ergänzt wird sie in Erwägungsgrund 78 DSGVO dadurch, dass der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen „sollte“, die den Grundsätzen des Datenschutzes durch Technik sowie dem Datenschutz durch datenschutzfreundliche Voreinstellungen Genüge tun. Zur Konkretisierung enthält Erwägungsgrund 78 DSGVO in Satz 3 lediglich die sehr abstrakten Beispiele Datenminimierung, Pseudonymisierung, 3.14 3.14.1 309 S. auch Netzwerk Datenschutzexpertise, 2020, 7; Niederlande, in: Rat, ST 12756/1/19, 44, im Regelfall nur nach Einwilligung. 310 S. hierzu Roßnagel, DuD 2019, 467 (468 f.). 311 S. etwa Roßnagel, 1993, 241ff. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 90 Transparenz, Möglichkeit der Überwachung durch die betroffene Person sowie Schaffung und Verbesserung von Sicherheitsfunktionen durch den Verantwortlichen. Die konkrete Umsetzung bleibt offen.312 Zur Problematik hochgradiger Unbestimmtheit treten die zahlreichen Einschränkungen, die Art. 25 Abs. 1 DSGVO enthält. So sollen der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen Berücksichtigung finden. Die Bestimmung und Abwägung dieser Faktoren gestalten sich jedoch äußerst schwierig und geben dem Verantwortlichen einen sehr großen Entscheidungs- und Gestaltungsspielraum.313 Beide Problemkreise – unbestimmte Pflicht und weite Einschränkungsmöglichkeiten – gemeinsam führen in der Praxis dazu, dass die Verpflichtung zur Systemgestaltung nach Art. 25 Abs. 1 DSGVO beim Verantwortlichen meist auf der Strecke bleibt, solange diese Pflicht nicht für bestimmte Techniklinien (wie z.B. Künstliche Intelligenz oder Plattformen) durch bereichsspezifische Regelungen konkretisiert wird.314 Fehlende Verpflichtung der Hersteller Die Pflicht nach Art. 25 Abs. 1 DSGVO trifft überdies nur den Verantwortlichen. Dieser ist häufig darauf angewiesen, dass der Markt geeignete Techniken zur Verfügung stellt und Hersteller von Informationstechnik geeignete Produkte anbieten, die es dem Verantwortlichen erlauben, den Anforderungen der Datenschutz-Grundverordnung gerecht zu werden. Dies ist jedoch oft nicht der Fall: „Diejenigen, die es richtig machen wollten, waren auch nicht glücklich, weil sie feststellten, dass Hersteller von Produkten und Anbieter von Dienstleistungen ihnen oft keine Hilfe waren und es damit schwierig war, die eigene Rechenschaftspflicht zu erfüllen.“315 Gleiches gilt auch für die Verbraucher, wenn sie Software, die zwischen ihnen und dritten Datenverarbeitern steht, wie beispielsweise Webbrowser oder 3.14.2 312 S. Hartung, in: Kühling/Buchner, 2018, Art. 25 Rn. 17. 313 S. z.B. Hansen, in: Simitis/Hornung/Spiecker, 2019, Art. 25 Rn. 37 f. 314 S. hierzu Roßnagel, DuD 2018, 741 (745). Bereichsspezifische risikobezogene Konkretisierungen fordert auch die Bundesregierung, in: Rat: ST 12756/1/19, 15; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 5; Datenethikkommission, 2019, 116, 123. 315 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2019, 10. 3.14 Datenschutz durch Systemgestaltung 91 Betriebssysteme, oder IT-Geräte, für die es keine Verantwortlichen gibt, verwenden. Hersteller werden von der Verordnung aber nicht direkt adressiert, sondern durch Erwägungsgrund 78 Satz 4 DSGVO lediglich „ermutigt“, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.316 Die Vorschrift wird allein aus diesem Grund nicht die beabsichtigte Wirkung erzielen, eine Marktdurchdringung möglichst datenschutzfreundlicher Technologien zu erreichen. Konkrete Forderungen können aus der geltenden Fassung der Vorschrift des Art. 25 DSGVO nicht abgeleitet werden. Dies führt dazu, dass sich letztlich stets derjenige durchsetzt, der die Technikgestaltung durchführt, ohne dass Art. 25 DSGVO den Verbrauchern einen Anspruch verleiht, mehr zu verlangen. Eine verpflichtende und bußgeldbewehrte Adressierung der Hersteller wäre weitaus effektiver und würde die Vorschrift nicht lediglich auf einen wohlgemeinten Programmsatz reduzieren.317 Ohne diese Erstreckung bestehen nicht nur erhebliche Lücken im Schutz personenbezogener Daten, sondern es kommt zu einer Potenzierung von technischem und bürokratischem Aufwand bei dem Versuch, dezentral bei den Anwendern Mängel zu beseitigen, die zentral bei Hersteller verursacht werden. Dies belastet alle Verantwortlichen und Auftragsverarbeiter, wobei KMU überproportional belastet werden.318 Für Anbieter von Social Networks ist die Unterscheidung zwischen Hersteller und Anwender weitgehend bedeutungslos. Der Verantwortliche ist auch der Hersteller oder hat auf die Hersteller einen so starken Einfluss, dass er sie zwingen kann, das von ihm gewünschte Maß an Datenschutz zu realisieren. Bei ihnen könnte die Pflicht zur datenschutzgerechten Systemgestaltung theoretisch greifen, sie wird aber von ihnen bisher praktisch ignoriert. 316 S. Husemann, in: Roßnagel, 2018, § 5 Rn. 56. 317 Bundesrat, BT-Drs. 570/19, 4; Datenschutzkonferenz, Erfahrungsbericht, 2019, 15ff.; Verbraucherzentrale Bundesverband, Evaluation, 2019, 12; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10 f.; Datenethikkommission, 2019, 116, 123. 318 Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10; Datenschutzkonferenz, Erfahrungsbericht, 2019, 16. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 92 Sofern auch Herstellern datenschutzrechtliche Pflichten übertragen werden, sollten sich auch die möglichen Rechtsbehelfe der betroffenen Personen nach Art. 79 DSGVO und ihr Anspruch auf Schadensersatz nach Art. 82 DSGVO auf diese Pflichten beziehen, um den Herstellern ausreichende Anreize zu geben, ihre Pflichten zu erfüllen.319 Aus dem gleichen Grund sollten auch die Aufsichtsbehörden Anordnungen gegen Hersteller nach Art. 58 DSGVO320 und Sanktionen nach Art. 83 DSGVO gegen Hersteller anordnen können, die ihre Pflichten vernachlässigen. Gestaltungsmacht der Verantwortlichen Zusammenfassend kann also festgehalten werden, dass bezogen auf Datenschutz durch Technikgestaltung vornehmlich Konkretisierungen dieser Verpflichtungen und eine Ausweitung des Adressatenkreises notwendig sind. Die Pflicht zur Systemgestaltung als zentrale Neuerung des Datenschutzrechts kann nur dann volle Wirkung entfalten, wenn auch die Hersteller von IT-Produkten und -Programmen rechtlich bindend verpflichtet werden.321 Entsprechend sollten auch die Regelungen zum Recht auf einen wirksamen gerichtlichen Rechtsbehelf in Art 79 und zum Schadensersatz nach Art. 82 auf Hersteller erstreckt werden.322 Eine Präzisierung dessen, was Datenschutz durch Technikgestaltung konkret bedeutet, kann auf Unionsebene durch den Europäischen Datenschutzausschuss, auf mitgliedstaatlicher Ebene durch die Aufsichtsbehörden erfolgen.323 Zudem sind Verbänderegulierung und Normung als Instrumente denkbar. Eine Verpflichtung der Hersteller könnten sowohl die 3.14.3 319 S. hierzu Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 6. 320 S. hierzu Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11. 321 Bundesrat, BR-Drs. 570/19, 4; Datenschutzkonferenz, Erfahrungsbericht, 2019, 15ff.; Verbraucherzentrale Bundesverband, Evaluation, 2019, 12; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 10 f.; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 5 f. 322 Datenschutzkonferenz, Erfahrungsbericht, 2019, 17. 323 S. hierzu Roßnagel, 2017, 122ff. So etwa geschehen durch die spanische Datenschutzaufsichtsbehörde: Agencia Española de Protección de Datos, Guía de Privacidad desde el Diseño, Oktober 2019. 3.14 Datenschutz durch Systemgestaltung 93 mitgliedstaatlichen Gesetzgeber,324 besser aber der Unionsgesetzgeber vorsehen. Eine abstrakte Regelung, wie sie Art. 25 Abs. 1 DSGVO enthält, zeichnet sich zwar durch Offenheit für technische Neuerungen aus, hat jedoch auch den handfesten Nachteil, zu Auseinandersetzungen von Interessenvertretern über ihren Bedeutungsgehalt einzuladen.325 Hier besteht die Gefahr, dass die Interessen der Verarbeiter und Hersteller sich im Diskurs gegen- über den Interessen der betroffenen Personen und insbesondere der Verbraucher durchsetzen. Machtasymmetrien spielen auch innerhalb der Verantwortlichen eine Rolle. Mahnt die Datenschutzabteilung eines Unternehmens zu bestimmten Maßnahmen, um Datenschutz durch Technikgestaltung sicherzustellen, so kann die Gegenseite sich leicht auf den Katalog der Einschränkungen aus Art. 25 Abs. 1 DSGVO zurückziehen und die geforderten Maßnahmen ablehnen. Auch dies gerät dem Verbraucher letztlich zum Nachteil. Datenschutz durch datenschutzfreundliche Voreinstellungen Das Prinzip des „Privacy by Default“ nach Art. 25 Abs. 2 DSGVO unterliegt nicht den fünf Einschränkungen des Abs. 1.326 Jedoch sollen sich die Voreinstellungen für den Nutzer nach der Erforderlichkeit der Verarbeitung für den jeweiligen Verarbeitungszweck richten. Dies lässt dem Verantwortlichen sehr große Freiheiten, durch die Bestimmung des Zwecks die Voreinstellungen so zu wählen, dass er durch diese die gewünschten Daten erhalten kann. Auch hier sind Präzisierungen erforderlich, wenn die Vorschrift ihr rechtspolitisches Ziel erreichen soll. Diese können durch die Aufsichtsbehörden, den mitgliedstaatlichen Gesetzgeber (für einzelne Technikbereiche),327 den Europäischen Datenschutzausschuss, aber auch durch Verbänderegulierung erfolgen. Außerdem sollte der mögliche Zweck auf die Funktionalität des jeweiligen Dienstes beschränkt werden. Art. 25 Abs. 2 DSGVO nimmt eine solche Beschränkung nicht vor, sondern richtet die Voreinstellungen an der Er- 3.15 324 S. Hansen, in: Simitis/Hornung/Spiecker, 2019, Art. 25 Rn. 21. 325 S. Roßnagel, DuD 2018, 741 (745). 326 S. Hartung, in: Kühling/Buchner, 2018, Art. 25 Rn. 29; Hansen, in: Simitis/ Hornung/Spiecker, 2019, Art. 25 Rn. 45. 327 Barlag, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, § 3 Rn. 247. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 94 forderlichkeit für den jeweiligen Verarbeitungszweck aus. Diesen aber bestimmt allein der Verantwortliche – nach seinen Verarbeitungsinteressen. Setzt er seine Zwecke großzügig, so läuft letztlich der als Beschränkung vorgesehene Art. 25 Abs. 2 DSGVO weitgehend leer. Hier könnte das Prinzip der Datenvermeidung, das auch den Zweck unter das Gebot, mit möglichst wenigen personenbezogenen Daten auszukommen, nimmt, in einer Ergänzung des Art. 5 Abs. 1 DSGVO helfen.328 Bei der Zweckbestimmung müsste eine vergleichbare Einschränkung erfolgen wie sie zur Bestimmung des Vertragszwecks ihm Rahmen des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO vorgeschlagen wurde.329 Effektive Datenschutzaufsicht Ein in der Praxis effektives Datenschutzregime ist auf eine funktionierende Datenschutzaufsicht angewiesen. Die Datenschutz-Grundverordnung hat mit ihren Regelungen zu Aufgaben und Befugnissen der Aufsichtsbehörden zur Zusammenarbeit und Kohärenz sowie mit den Entwicklungen in den Bereichen Rechtsbehelfe, Rechtsmittel, Haftung und Schadensersatz sowie Sanktionen eine deutliche Verbesserung bewirkt.330 Das Funktionieren des Kohärenzmechanismus muss sich in der Praxis indes noch beweisen. Zudem bleibt trotz personeller Anpassungen das Problem einer unzureichenden personellen wie auch finanziellen Ausstattung des Europäischen Datenschutzausschusses331 und der nationalen Aufsichtsbehörden.332 Ergänzende Regelungen könnten hilfreich sein. Die Aufsichtsbehörden sind die Instanzen, für die die Datenschutz- Grundverordnung die größten Veränderungen bewirkt und den größten Zuwachs an neuen Aufgaben bewirkt hat.333 Ihre Ausstattung ist angesichts dieser neuen Aufgaben zwar in den meisten Fällen verbessert wor- 3.16 328 S. hierzu Kap. 3.3. 329 S. hierzu Kap. 3.5. 330 Europäische Kommission, COM(2020) 264 final, 5 f.; Commission Staff Working Document, 4ff. 331 Zur Überforderung des EDSA s. Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg, 2019, 11; Roßnagel, DuD 2019, 467 (472). 332 Europäische Kommission, COM(2020) 264 final, 6; Commission Staff Working Document, 12ff. und Annex 2. 333 S. hierzu ausführlich Roßnagel, 2017. 3.16 Effektive Datenschutzaufsicht 95 den.334 Dennoch sind sie vom Umfang und der Größe der zusätzlichen Aufgaben durch die Datenschutz-Grundverordnung weiterhin überfordert.335 Die Beanspruchung durch Beschwerden, Beratungsanforderungen und Meldungen von Datenschutzverstößen haben sich um ein Vielfaches erhöht und binden in beträchtlichem Umfang Personal.336 Die Herstellung von Vollzugsgleichheit in den Bundesländern und in den Mitgliedstaaten ist für den Erfolg der Datenschutz-Grundverordnung zentral.337 Um alle praktisch relevanten Fragen der Datenschutz-Grundverordnung beantworten und um alle notwendigen Vorbedingungen für die Durchsetzung der Datenschutzregelungen zu gewährleisten, sind noch weitere Personalaufstockungen erforderlich.338 Sanktionen Eine wichtige Stärkung des Datenschutzes liegt in der Möglichkeit, drastische Sanktionen zu verhängen. Die Unsicherheit bezogen auf die zu abstrakten Bußgeldtatbestände des Art. 83 Abs. 4 und 5 DSGVO behindert jedoch die Nutzung dieses Instruments. Diese sind daher zur Gewährleistung ihrer Praktikabilität zu präzisieren. Bei dem im Vergleich zum alten Bundesdatenschutzgesetz deutlich erweiterten Spielraum zur Sanktionierung von Rechtsbrüchen handelt es sich um die wahrscheinlich meistbeachtete Innovation der Datenschutz- Grundverordnung.339 Die Datenschutzrichtlinie hatte die Ausgestaltung solcher Sanktionen noch den Mitgliedstaaten überlassen. Das Bundesdatenschutzgesetz sah in seiner alten Fassung eine Höchstbuße von 300.000 3.17 334 S. näher Europäische Kommission, Commission Staff Working Document, 13 f. und Annex 2. 335 S. z.B. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 18; Bayerisches Landesamt für Datenschutzaufsicht, 2019, 2; Sachsen- Anhalt, 2019, 6. 336 S. Schulzki-Haddouti, Implodierende Aufsichtsbehörden, PinG-Blog vom 29.3.2019; Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg, 2019, 11; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 2019, 10. 337 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 2019, 22. 338 S. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 2019, 18; Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 2019, 10; Roßnagel, DuD 2019, 467 (471 f.). 339 S. hierzu Rost, DuD 2019, 467 (471 f.). 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 96 Euro vor.340 Die in der aufsichtsbehördlichen Praxis verhängten Bußgelder lagen indes zumeist im vierstelligen Bereich. Art. 83 Abs. 4, 5 und 6 DSGVO ermöglichen nun, Geldbußen in Höhe von bis zu 10 Millionen Euro oder bei Unternehmen von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres bzw. 20 Millionen Euro oder 4 % des Jahresumsatzes zu verhängen. Art. 83 Abs. 1 und 2 DSGVO enthalten die Maßstäbe, die bei der Verhängung von Geldbußen anzulegen sind. Hier sind General- und Spezialprävention wesentliche Aspekte, wobei insbesondere die Negativprävention durch die Verwendung des Begriffs „abschreckend“ in Art. 83 Abs. 1 DSGVO hervorgehoben wird. Ebenso hervorgehoben werden die Effektivität der verhängten Geldbußen („wirksam“) sowie der Grundsatz der Verhältnismäßigkeit. Art. 83 Abs. 2 Satz 2 DSGVO enthält eine Auflistung von Faktoren, die sich verschärfend oder mildernd auf die Geldbuße auswirken sollen. Es ist zu konstatieren, dass die Möglichkeiten zur Sanktionierung von Verstößen, die die Datenschutz-Grundverordnung bietet, bislang noch eher zurückhaltend ausgenutzt werden,341 auch wenn einzelne Bußgelder herausstechen.342 Ein Grund hierfür dürfte in der Spannbreite der möglichen Sanktionen liegen, die durch die abstrakten Vorgaben des Art. 83 Abs. 2 Satz 2 DSGVO nur unzureichend eingeengt wird. Hier wird zurecht kritisiert, die Bußgeldtatbestände in Art. 83 Abs. 4 und 5 DSGVO seien zu unbestimmt, um rechtssicher Bußgelder in Millionenhöhe verhängen zu können.343 In der Praxis sicher handhabbar dürfte allein das Bußgeld nach Art. 83 Abs. 6 DSGVO sein, das bei Nichtbefolgung einer Anweisung einer Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO verhängt werden kann. Die Anweisung der Aufsichtsbehörde muss dabei allerdings auch vollziehbar sein. Dabei ist davon auszugehen, dass insbesondere finanzstarke Verarbeiter eine gerichtliche Überprüfung des Bußgelds anstreben werden. Diese 340 § 43 Abs. 3 Satz 1 BDSG a.F. 341 S. näher Martin/Friedewald, DuD 2019, 493ff.; Rost, DuD 2019, 488 (491 f.). 342 Z.B. gegen ein dänisches Taxiunternehmen im April 2019 in Höhe von etwa 2,8% des Jahresumsatzes des Unternehmens; gegen Google in Höhe von 50 Millionen Euro durch die französische CNIL im Januar 2019; in Italien im Kontext des Telemarketing (Newsletter des italienischen Datenschutzbeauftragten Nr. 453 vom 30. Mai 2019); im Juli 2019 in Großbritannien 183,4 Millionen GBP (ca. 1,5% des weltweiten Jahresumsatzes) gegen British Airways und 99.2 Millionen GBP gegen Marriott. 343 S. etwa Bergt, DuD 2017, 555; Eckhardt/Menz, DuD 2018, 139; Faust/Spittka/ Wybitul, ZD 2016, 120. 3.17 Sanktionen 97 Prozesse auch über mehrere Instanzen binden wiederum Ressourcen der Aufsichtsbehörden. Der Vollzug der Datenschutz-Grundverordnung hätte deshalb von Anfang an durch eine Präzisierung der Bußgeldtatbestände gestärkt werden müssen.344 Diese könnte nachträglich durch eine Leitlinie des Europäischen Datenschutz-Ausschusses nach Art. 70 Abs. 1 Satz 2 lit. k DSGVO erreicht werden. Eine erste Leitlinie zu den Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO hat die Artikel 29-Datenschutzgruppe zwar bereits 2017 vorgenommen,345 es verbleibt jedoch weiterer Präzisierungsbedarf.346 Die notwendige Präzisierung könnte indes auch auf mitgliedstaatlicher Ebene von der Konferenz der Datenschutzaufsichtsbehörden geleistet werden, indem diese einen unverbindlichen Bußgeldkatalog erstellt.347 Als Beispiel können die Feststellungen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden in Deutschland vom Oktober 2019 gelten.348 Nur so kann dem sowohl im primären Unionsrecht als auch mitgliedstaatlich verankerten Bestimmtheitsgebot Genüge getan und eine einheitliche Anwendung der Bußgeldvorschriften in der gesamten Union erreicht werden. Hierfür wäre auch eine Verpflichtung der Aufsichtsbehörden hilfreich, eine jährliche Statistik ihrer Bußgeldpraxis zu veröffentlichen. Jedenfalls sind alle sinnvollen Maßnahmen zu ergreifen, um hinsichtlich der Sanktionen keinen Anreiz zu einem Forum Shopping zu bieten. Denkbar wäre auch eine Reform des Umgangs mit erfolgreich verhängten Bußgeldern. Die so erlangten Geldmittel fließen in Deutschland überwiegend in die allgemeinen Haushalte des Bundes und der Länder. Hier wäre mit Blick auf andere Mitgliedstaaten wie Frankreich auch eine Ausgestaltung denkbar, bei der Bußgelder direkt in den Haushalt der jeweiligen Aufsichtsbehörde fließen. Wird dieser Weg aus Angst vor einem überschie- ßenden Gebrauch des Instruments nicht gegangen, so ist zumindest eine weitere personelle und finanzielle Aufstockung der Aufsichtsbehörden angezeigt349 – verbunden mit einer Übernahme anfallender Prozesskosten durch den Bund und die Länder.350 344 S. Roßnagel, 2017, 131ff. 345 Artikel 29-Datensachutzgruppe, WP 253. 346 So auch Bundesregierung, in: Rat, ST 12756/1/19, 18. 347 Braun/Hohmann, in: Roßnagel, 2018, § 6 Rn. 152. 348 Datenschutzkonferenz, Konzept zur Bußgeldzumessung vom 14.10.2019. 349 S. Roßnagel, 2017, 191ff. 350 Miedzianowski, in: Roßnagel, 2018, § 4 Rn. 75; Dieterich, ZD 2016, 266. 3 Die Datenschutz-Grundverordnung aus Verbrauchersicht 98 Handlungsbedarf Die Untersuchung zeigt, dass an zahlreichen Stellen rechtspolitischer Handlungsbedarf besteht. Dieser zielt nicht immer auf eine Umformulierung des Normtextes der Datenschutz-Grundverordnung. Vielmehr reicht der politische Handlungsbedarf von Erläuterungen des geltenden Rechts oder verbindlichen Festlegungen durch die Aufsichtsbehörden und den Europäischen Ausschuss über kleinere und größere Anpassungen oder Konkretisierungen durch die Gesetzgeber der Mitgliedstaaten im Rahmen der Ko-Regulierung des europäischen Datenschutzrechts sowie Änderungen einzelner Vorschriften der Datenschutz-Grundverordnung bis hin zu konzeptionellen Veränderungen und Modernisierungen des Datenschutzrechts in der Europäischen Union. Letztere betreffen nicht nur einzelne Vorschriften, sondern sind umfangreicher und langfristiger angelegt. Sie erfordern weitere Untersuchungen und Diskussionen. Konzeptionelle Überlegungen zu ihnen stehen im sechsten Kapitel im Fokus. Formulierungsvorschläge zu einzelnen Vorschriften der Datenschutz-Grundverordnung – ohne Änderung ihrer Gesamtkonzeption – werden im folgenden Kapitel vorgestellt. In diesem Kapitel erfolgt ein Zwischenfazit zum rechtspolitischen Handlungsbedarf, das diesen in drei Gruppen teilt: – Sonstige rechtspolitische Maßnahmen, die keine Änderungen im Normtext der Datenschutz-Grundverordnung erfordern. Für diese Maßnahmen sind in der Regel andere Instanzen der Union oder der Mitgliedstaaten verantwortlich. Sie werden im Folgenden nicht weiterverfolgt. – Änderungen einzelner Vorschriften der Datenschutz-Grundverordnung. Diese standen im Mittelpunkt der regen Beteiligung am Evaluationsprozess der Datenschutz-Grundverordnung und auch im Mittelpunkt dieser Untersuchung. Soweit das Regelungsproblem allein durch eine Änderung des Normtextes gelöst werden kann, werden hierfür im folgenden Kapitel Formulierungsvorschläge empfohlen. – Weiterreichender konzeptioneller Handlungsbedarf. Soweit Änderungen in der grundlegenden Konzeption der Datenschutz-Grundverordnung in Frage stehen, um die Effektivität des Grundrechtsschutzes zu verbessern, oder Fortentwicklungen des europäischen Datenschutzrechts bedacht werden müssen, um dieses gegenüber den künftigen He- 4 99 rausforderungen der Digitalisierung zu wappnen, werden Diskussionsvorschläge im sechsten Kapitel präsentiert. Der rechtspolitische Handlungsbedarf wird im Folgenden nach Kapiteln der Datenschutz-Grundverordnung zusammengefasst, um Zusammenhänge über einzelne Vorschriften oder Problembereiche hinaus, die im vorherigen Kapitel diskutiert wurden, erkennen zu können. Handlungsbedarf zu den allgemeinen Bestimmungen (Kapitel I) Bezogen auf die Verarbeitung im persönlichen oder familiären Kontext ist eine Rücknahme der vollständigen Ausnahme invasiver Datenverarbeitung aus dem Anwendungsbereich der Datenschutz-Grundverordnung zu fordern. Dadurch würde eine Schutzlücke geschlossen, die bei bestimmten Formen der Datenverarbeitung bei der Ausübung persönlicher oder familiärer Tätigkeiten entsteht, die ein hohes Risiko für die betroffenen Personen mit sich bringen. Wo daher die Grenze der Ausnahme schon nach geltendem Text zu ziehen ist, sollte der Europäische Datenschutzausschuss durch geeignete Richtlinien deutlich machen. Im Sinne eines risikoadäquaten Ansatzes sollten nur solche Verarbeitungen vollständig aus dem Anwendungsbereich der Datenschutz-Grundverordnung herausgenommen werden, bei denen nur geringe Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen.351 Um selbst bei risikoreichen Datenverarbeitungen zu verhindern, dass der persönliche und familiäre Bereich mit Datenschutzregeln überfrachtet und die privaten Verarbeiter personenbezogener Daten damit überfordert werden, sollten bei erhöhten Risiken nur ausgewählte Regelungen der Datenschutz- Grundverordnung zur Anwendung kommen. Bezogen auf die Veröffentlichung von personenbezogenen Daten Dritter aus dem persönlichen und familiären Bereich in Social Media-Plattformen oder auf selbstbetriebenen Webseiten sollte der Verantwortliche, auch wenn er personenbezogene Daten an den Betreiber der Plattform übermittelt, von bestimmten Pflichten ausgenommen werden.352 Damit soll verhindert werden, dass die Nutzer von Social Networks mit Anforderungen konfrontiert werden, für die sie keinerlei Verständnis haben. Dadurch wird auch vermieden, dass es zu regelmäßigen Rechtsbrüchen durch sozial übliches Verhalten kommt. Diese Einschränkung der Ausnahme in Art. 2 Abs. 2 lit. c DSGVO ist mit den 4.1 351 S. Kap. 3.1.1. 352 S. Kap. 3.1.2. 4 Handlungsbedarf 100 umfassenden risikobezogenen Änderungen der Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten zu verknüpfen und bedarf daher weiterer konzeptioneller Überlegungen.353 Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung sollte ausgeweitet werden. Er sollte jede Form der Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union aufhalten und die nicht die Datenverarbeitung initiiert haben, erfassen.354 Hierfür wird eine Formulierung für Art. 2 Abs. 2 lit. a DSGVO vorgeschlagen.355 Handlungsbedarf zu den Grundsätzen (Kapitel II) Die deutsche Sprachfassung von Art. 5 Abs. 1 lit. a DSGVO sollte angepasst werden. Das Begriffspaar „Treu und Glauben“ ist zur Vermeidung von falschen Assoziationen und zur Angleichung an die anderen Sprachfassungen der Datenschutz-Grundverordnung durch den Begriff „Fairness“ zu ersetzen.356 Zudem sollte eine Präzisierung der Begriffe mittels Erwägungsgrund 39 DSGVO und eine klare Abgrenzung von Transparenz und Rechtmäßigkeit der Verarbeitung erfolgen. Der Erwägungsgrund sollte deutlich machen, dass das Begriffspaar eine Auffangklausel ist, die ungerechte Praxisergebnisse verhindert. Ein Vorschlag zur Änderung des Textes von Art. 5 Abs. 1 lit. a DSGVO findet sich im nächsten Kapitel.357 Der Gestaltungsgrundsatz der Datenminimierung fordert nur, die personenbezogenen Daten auf den jeweils vom Verantwortlichen bestimmten Zweck erforderlichen Umfang zu reduzieren. Er sollte um den Grundsatz der Datenvermeidung ergänzt werden. Dieser fordert eine datensparsame Gestaltung des sozio-technischen Gesamtsystems, das den Zweck einbezieht, und wird daher dem Ausgleich der beteiligten Grundrechte nach dem Grundsatz der Verhältnismäßigkeit gerechter.358 Hierfür bietet das nächste Kapitel einen Formulierungsvorschlag für Art. 5 Abs. 1 lit. c DSGVO.359 4.2 353 S. zu diesen Kap. 6.1. 354 S. Kap. 3.2. 355 S. hierzu Kap. 5.1. 356 S. Kap. 3.3.1. 357 S. hierzu Kap. 5.2. 358 S. Kap. 3.3.2. 359 S. hierzu Kap. 5.2. 4.2 Handlungsbedarf zu den Grundsätzen (Kapitel II) 101 Die weiteren Grundsätze für die Verarbeitung personenbezogener Daten bedürfen der Präzisierung. Art. 5 DSGVO ist an vielen Stellen von unbestimmten Begriffen geprägt, die äußerst interpretationsoffen sind.360 Dies ist bei Grundsätzen schwer zu vermeiden. Daher sollte nicht der Unionsgesetzgeber, sondern der Europäische Datenschutzausschuss sie durch die Formulierung von geeigneten Leitlinien präzisieren und so die Vollziehbarkeit der Grundsätze unterstützen. Darüber hinaus bedürfen die Regelungen zur Zulässigkeit von Verarbeitungen personenbezogener Daten der Präzisierung und der risikoadäquaten Weiterentwicklung. Die Präzisierung durch Textänderung wird im Folgenden weiterbehandelt, die risikoadäquaten Weiterentwicklung ist Thema der konzeptionellen Überlegungen im sechsten Kapitel.361 In Art. 6 Abs. 1 UAbs. 1 DSGVO sollte klargestellt werden, dass neben einer Einwilligung kein weiterer gesetzlicher Erlaubnistatbestand in Anspruch genommen werden kann und dass in der Konkurrenz mehrerer Erlaubnistatbestände die Regelungen zur Einwilligung den Regelungen zu anderen gesetzlichen Erlaubnistatbestand vorgehen.362 Hierzu bietet das nächste Kapitel einen Formulierungsvorschlag.363 Der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO sollte präzisiert werden. Notwendig ist eine objektive (funktionale) Bestimmung der zur Erfüllung eines Vertrages notwendigen Verarbeitung personenbezogener Daten unabhängig von der Vertragsformulierung und dem weitergehenden Willen des Verantwortlichen.364 Das nächste Kapitel unterbreitet hierzu einen Formulierungsvorschlag.365 Zudem ist die Aufnahme eines Erlaubnistatbestands für die Sammlung von Persönlichkeitsmerkmalen in Form von Profiling in die Datenschutz- Grundverordnung zu fordern, der festlegt, für welche Zwecke Profiling zulässig ist und für welche nicht.366 Ein solcher risikobezogener spezifischer Erlaubnistatbestand ist allerdings in die Diskussion über die Risikoorientierung der Datenschutz-Grundverordnung einzubeziehen und bedarf weiterer Diskussionen, die im sechsten Kapitel aufgegriffen werden.367 Außerdem sind die Voraussetzungen eines solchen Erlaubnistatbestands und de- 360 S. Kap. 3.3.1. 361 S. Kap. 6.3.1. 362 S. hierzu Kap. 3.4. 363 S. hierzu Kap. 5.3. 364 S. hierzu Kap. 3.5. 365 S. hierzu Kap. 5.4. 366 S. hierzu Kap. 3.12. 367 S. Kap. 6.3.1. 4 Handlungsbedarf 102 ren bereichsspezifische Auswirkungen ebenso intensiv zu diskutieren wie seine branchenspezifischen Auswirkungen. Art. 6 Abs. 4 DSGVO sollte bei der Prüfung der Vereinbarkeit eines neuen Verarbeitungszwecks mit dem bisherigen Verarbeitungszweck berücksichtigen, wenn die Daten eines Kindes für einen anderen Zweck verwendet werden sollen.368 Hierzu ist der Text des Art. 6 Abs. 4 DSGVO in lit. d zu ergänzen. Einen Formulierungsvorschlag enthält das nächste Kapitel.369 Ebenfalls, um der besonderen Schutzbedürftigkeit von Kindern gerecht zu werden, sollte in Art. 8 DSGVO die Zielsetzung des Erwägungsgrunds 38 Satz 2 DSGVO in den Normtext übernommen werden.370 Hierzu bietet das nächste Kapitel einen Formulierungsvorschlag.371 Schließlich sollte bei der Ausnahme des Verbots der Verarbeitung besonderer Kategorien von personenbezogenen Daten durch eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung eines Kindes ausgeschlossen werden.372 Auch hierzu enthält das nächste Kapitel einen Formulierungsvorschlag.373 Handlungsbedarf zu den Rechten der betroffenen Person (Kapitel III) Die Datenschutz-Grundverordnung erfordert insbesondere in ihrem dritten Kapitel, das die Rechte der betroffenen Person regelt, Klarstellungen im Normtext, um unnötige Rechtsstreitigkeiten zwischen Verantwortlichen und betroffenen Personen zu vermeiden und den Vollzug des neuen Datenschutzrechts zu unterstützen. Statt die betroffene Person mit nur einer Information zu Beginn der Datenverarbeitung zu überfordern, die alle denkbaren künftigen Formen und Phasen der Datenverarbeitung in einer zu umfangreichen Erklärung zusammenfasst, sollte das Konzept der Information der betroffenen Person neu aufgegriffen werden. Es sollte aus dem Blickwinkel der betroffenen Person, nicht nur aus der Perspektive des Verantwortlichen neu konzipiert werden.374 Die Information sollte in der Situation in dem Umfang in der Form erfolgen, die dem Interesse der betroffenen Person und ihren Ent- 4.3 368 S. hierzu Kap. 3.6. 369 S. hierzu Kap. 5.5. 370 S. hierzu Kap. 3.6. 371 S. hierzu Kap. 5.6. 372 S. hierzu Kap. 3.6. 373 S. hierzu Kap. 5.7. 374 S. hierzu Kap. 3.7.1. 4.3 Handlungsbedarf zu den Rechten der betroffenen Person (Kapitel III) 103 scheidungsmöglichkeiten oder ihrer Betroffenheit entspricht. Außerdem sollten die Pflichten zur Information der betroffenen Person und zur Kommunikation mit dieser risikoadäquat gestalten werden. Daher sollten die allgemeinen Informationspflichten um bereichs- und technologiespezifische Regelungen für spezielle Anwendungsbereiche und Technologien ergänzt werden. Dieses neue Konzept einer betroffenenorientierten Information statt einer die Informationslast des Verantwortlichen reduzierenden Konzeption muss insgesamt noch näher erörtert werden. Es wird in Grundzügen im sechsten Kapitel im Rahmen der Fortentwicklung des Datenschutzrechts wieder aufgegriffen.375 Einige kleinere Verbesserungen in den allgemeinen Regelungen zur Information der betroffenen Person könnten aber unmittelbar in Art. 12, 13 und 14 DSGVO vorgenommen werden. Um vage, verkürzte, unvollständige, unklare und nur beispielhafte Angaben über die Datenverarbeitung auszuschließen, sollte der Text des Art. 12 DSGVO festhalten, dass sich die Information auf die gegenwärtig vorgesehene Datenverarbeitung beziehen muss. Künftige Änderungen in der Datenverarbeitung sollten zu neuen, dann wiederum aktuellen, Informationen führen. Es sollte ausdrücklich nicht zulässig sein, seine Informationspflicht zu erfüllen, indem unter Verweis auf eine allgemeine Datenschutzerklärung alle denkbaren künftigen Datenverarbeitungen mit vagen Hinweisen auf künftige Möglichkeiten in eine einmalige Information aufgenommen werden.376 Hierzu enthält das nächste Kapitel einen Formulierungsvorschlag.377 Der Konflikt zwischen den Informationspflichten des Verantwortlichen, dem Informationsanspruch der betroffenen Person und dem Schutz rechtlich anerkannter Geheimnisse und Rechte des geistigen Eigentums ist durch eine Verfahrensregel in Art. 12 DSGVO zu reduzieren: Der Verantwortliche sollte jeweils das höchstmögliche Maß an Information bereitstellen müssen, das er unter gleichzeitiger Wahrung von rechtlich anerkannten Geheimnissen ermöglichen kann. Das Geheimnis sollte kein Grund sein, Informationen zu der Datenverarbeitung vollständig zu verweigern oder stark einzugrenzen. Vielmehr muss er nach Wegen suchen, wie er das vertretbare Maximum an Informationen zur Verfügung stellen kann.378 Im 375 S. Kap. 6.3.3. 376 S. hierzu Kap. 3.7.3. 377 S. hierzu Kap. 5.8. 378 S. hierzu Kap. 3.7.3. 4 Handlungsbedarf 104 nächsten Kapitel findet sich ein Vorschlag, wie eine solche Ergänzung des Art. 12 DSGVO formuliert werden kann.379 Um der betroffenen Person eine einfache und schnelle Information über die Datenverarbeitung zu ermöglichen, sieht Art. 12 Abs. 7 DSGVO die Möglichkeit vor, die bereitzustellenden Informationen mit standardisierten Bildsymbolen zu kombinieren. Diese mögliche Entlastung des Verbrauchers sollte möglichst bald umgesetzt werden.380 Diese rechtpolitische Handlungsempfehlung fällt allerdings nicht in die Verantwortung des Unionsgesetzgebers, sondern der Europäischen Kommission.381 Um ihren gesetzlichen Zweck zu erfüllen, müssten die Informationen situationsadäquat, also dann gegeben werden, wenn der Verbraucher eine Entscheidung zu treffen hat oder wenn eine ihn belastende Handlung erfolgt. Daher fordert Art. 13 Abs. 1 DSGVO, dass der Verantwortliche die betroffene Person „zum Zeitpunkt der Erhebung“ informieren muss. Damit dies auch tatsächlich geschieht und nicht weit – eventuell Jahre – vor der Datenerhebung Informationen erfolgen,382 sollte im Normtext zur Klarstellung festgelegt werden, dass die relevante Information jeweils zum Zeitpunkt der Erhebung dieser Daten erfolgt. Hierzu erfolgt im nächsten Kapitel ein Vorschlag zur Ergänzung des Eingangstextes zu Art. 13 Abs. 1 DSGVO.383 Um der betroffenen Person tatsächlich zu ermöglichen, ihre Rechte auch dann effektiv geltend zu machen, wenn die personenbezogenen Daten – bisweilen sehr oft – weitergegeben werden, sollte der Verantwortliche ihr die Empfänger personenbezogener Daten mitteilen, wenn er sie kennt. Nur wenn er sie noch nicht kennt, soll die Angabe von Kategorien von Empfängern genügen.384 Zu diesem Zweck sollte die Regelung in Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO angepasst werden. Hierzu erfolgt ein Formulierungsvorschlag im nächsten Kapitel.385 Die bisherige Pflicht des Verantwortlichen, die betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung zu informieren, sollte durch Präzisierung der Informationsinhalte im Gesetzestext klarge- 379 S. hierzu Kap. 5.9. 380 S. Kap. 3.7.4. 381 Die Europäische Kommission, COM(2020), 264 final, hat dies allerdings nicht in ihre Handlungsziele, 14 bis 18, aufgenommen. 382 S. S. hierzu Kap. 3.7.3. 383 S. hierzu Kap. 5.10. 384 S. hierzu näher Kap. 3.8. 385 S. hierzu Kap. 5.11. 4.3 Handlungsbedarf zu den Rechten der betroffenen Person (Kapitel III) 105 stellt werden.386 Die Informationen sollten sich hinsichtlich der Tragweite der Entscheidung auch auf die rechtlichen und tatsächlichen Auswirkungen auf die betroffene Person erstrecken. Bezogen auf die Information über die „involvierte Logik“ sollten auch die Kriterien für die Entscheidung und ihre Gewichtung mitgeteilt werden müssen. Ein Formulierungsvorschlag für diese Änderungen wird im nächsten Kapitel vorgestellt.387 Bei automatisierten Entscheidungen im Einzelfall – insbesondere bei selbstlernenden Systemen – dürfte es nicht immer einfach sein, bei der betroffenen Person ein ausreichendes Verständnis der sie betreffenden Schritte der Datenverarbeitung hervorzurufen.388 Dennoch darf Komplexität keine Entschuldigung für mangelhafte Informationen sein. Dies sollte in Erwägungsgrund 58 DSGVO klargestellt werden. Der Anwendungsbereich der Informationspflichten aus Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO wird sich erweitern, wenn der Anwendungsbereich der Vorschrift des Art. 22 DSGVO, auf den diese Informationspflichten verweisen, ausgeweitet wird.389 Zur Verpflichtung gemeinsam Verantwortlicher, diese Informationsplicht umfassend und lückenlos zu erfüllen, wird auf die vorgeschlagene Ergänzung des Art. 26 Abs. 1 DSGVO verwiesen.390 Um den Risiken des Profiling für die Grundrechte der betroffenen Person391 gerecht zu werden, sollte in Art. 13 Abs. 2 DSGVO über den Hinweis in Erwägungsgrund 60 Satz 3 DSGVO hinaus in einem zusätzlichen lit. g und in § 14 Abs. 2 DSGVO in einem zusätzlichen lit. h gleichlautend eine Informationspflicht bei jedem Profiling vorgesehen werden. Dadurch wird die betroffene Person auf diese besonderen Risiken aufmerksam gemacht und kann für sich noch einmal prüfen, ob sie eine solche, eventuell tiefgreifende automatisierte Sammlung ihrer Persönlichkeitsmerkmale zu ihrer Bewertung durch andere zulassen will. Im nächsten Kapitel findet sich ein Vorschlag, wie eine solche Ergänzung der Art. 13 und 14 DSGVO formuliert werden kann.392 Das Auskunftsrecht der betroffenen Person sollte um eine Verpflichtung des Verantwortlichen, alle Empfänger personenbezogener Daten zu protokollieren, ergänzt werden. Damit einhergehen sollte eine Pflicht statuiert 386 S. hierzu Kap. 3.8.3. 387 S. Kap. 5.12. 388 S. Kap. 3.8.3. 389 S. hierzu Kap. 5.21. 390 S. hierzu Kap. 3.8.3 und 5.27. 391 S. zu diesen Kap. 3.8.4. 392 S. Kap. 5.13. 4 Handlungsbedarf 106 werden, die Datenübermittlungen und die Empfänger entsprechend des Protokolls gegenüber der betroffenen Person bekannt zu geben.393 Einen Formulierungsvorschlag für eine Protokollierungspflicht in einem neuen Art. 24 Abs. 1 Satz 2 DSGVO und einen Auskunftsanspruch nach Art. 15 Abs. 1 lit. c DSGVO enthält das nächste Kapitel.394 Nach Art. 15 Abs. 1 lit. h DSGVO hat die betroffene Person einen Anspruch auf „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. Diese Auskunft muss um die relevanten Merkmale und deren Bedeutung für die automatisierte oder automatisiert vorbereitete Entscheidung ergänzt werden. Nur mit dieser Information kann die betroffene Person ihr Verhalten so einrichten, dass sie Chancen hat, die gewünschte Entscheidung zu erreichen.395 Art. 15 Abs. 2 DSGVO sollte um eine Verpflichtung des Verantwortlichen zu einer gesonderten Information für jedes Profiling sowie dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck erweitert werden.396 Hierzu erfolgt ein Formulierungsvorschlag im nächsten Kapitel.397 Eine Präzisierung sollte auch das Recht auf Erhalt einer Kopie erfahren. Es sollte als eigenständiges Recht der betroffenen Person ausgestaltet sein, das sie zusätzlich oder – sofern dadurch alle personenbezogene Daten mitgeteilt werden – ersatzweise zum Anspruch über eine Auskunft über die Daten geltend machen kann. Sollte die Kopie nicht alle Daten der betroffenen Person enthalten, gilt weiterhin die Pflicht zur Mitteilung aller verarbeiteten Daten. Das Recht auf eine Kopie sollte alle personenbezogenen Daten erfassen, die Gegenstand der Verarbeitung sind und in einem Datensatz zusammengefasst sind oder zusammengefasst werden können. Dadurch werden personenbezogene Daten von diesem Anspruch ausgenommen, die nicht nach betroffenen Personen geordnet sind und auch nicht nach diesen strukturiert werden können.398 Im nächsten Kapitel findet sich ein Vorschlag, wie eine solche Präzisierung des Art. 15 Abs. 3 DSGVO formuliert werden kann.399 393 S. näher Kap. 3.9.1. 394 S. Kap. 5.15 und 5.22. 395 S. auch Kap. 3.9 und 5.16. 396 S. Kap. 3.9.2. 397 S. hierzu Kap. 5.17. 398 S. Kap. 3.9.3. 399 S. Kap. 5.18. 4.3 Handlungsbedarf zu den Rechten der betroffenen Person (Kapitel III) 107 Das Recht auf Datenübertragung aus Art. 20 Abs. 1 DSGVO sollte auf alle von der betroffenen Person verursachten Daten ausgeweitet werden.400 Dies kann durch die Ersetzung des Begriffs „bereitgestellt“ durch „verursacht“ erfolgen. Zudem sollten Klarstellungen zur Form der Datenübertragung und zum Format, in dem die Daten übergeben werden sollen, erfolgen. Statt unbestimmter Rechtsbegriffe zum Format der Übertragung, sollte festgelegt werden, dass dieses interoperabel sein muss. Die Anforderungen an die Interoperabilität kann aber nicht in der Verordnung selbst erfolgen, sondern sollte dem Europäischen Datenschutzausschuss übertragen werden. Die Norm ist außerdem durch eine Verpflichtung zur Bereitstellung der Daten in der jeweiligen Landessprache des Mitgliedstaates oder in englischer Sprache zu ergänzen.401 Das Recht auf Datenübertragung sollte auch dann gelten, wenn die Einwilligung oder der Vertrag nicht mehr bestehen, die Daten aber während des Bestehens der Einwilligung oder des Vertrags vom Verantwortlichen erhoben worden sind.402 Soweit der Unionsgesetzgeber die Vorschrift ändern sollte, ist ein Formulierungsvorschlag für eine Neufassung des Art. 20 Abs. 1 DSGVO im nächsten Kapitel zu finden.403 Zum Schutz von Kindern sollte bei der Beurteilung eines Widerspruchs nach Art. 21 Abs. 1 DSGVO die Tatsache besonders berücksichtigt werden, dass personenbezogene Daten im Kindesalter erhoben worden sind.404 Eine entsprechende Ergänzung im Verordnungstext wird im nächsten Kapitel vorgeschlagen.405 Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, erfordert mehrere Anpassungen des Normtextes. Zum einen ist das Verbot automatisierter Entscheidungen im Einzelfall zu eng gefasst.406 Die Einschränkung „ausschließlich“ in Art. 22 Abs. 1 DSGVO ist zu streichen. Gleiches gilt für die Einschränkung, dass die Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt. Eine benachteiligende Beeinträchtigung sollte ausreichen. Gleichzeitig ist Art. 22 Abs. 1 DSGVO um ein Ver- 400 S. hierzu Kap. 3.10.1. 401 S. hierzu Kap. 3.10.3. 402 S. hierzu Kap. 3.10.2. 403 S. Kap. 5.19. 404 S. hierzu Kap. 3.6. 405 S. Kap. 5.20. 406 Zur fehlenden Regulierung der Vorbereitung der automatisierten Entscheidung durch Profiling s. Kap. 3.12 und 4.2. 4 Handlungsbedarf 108 bot zu ergänzen, automatisiert vorbereiteten Entscheidungen ausgeliefert zu sein, die der menschliche Entscheider im Regelfall unbesehen übernimmt, ohne dass die betroffene Person vor der Entscheidung eine Möglichkeit hatte, ihren Standpunkt vorzutragen.407 Zweitens rechtfertigt sie in Abs. 2 eine automatisierte Entscheidung im Einzelfall, wenn sie für den Abschluss oder eines Vertrags erforderlich ist, ohne dass die betroffene Person dem zustimmen muss. Art. 22 Abs. 2 lit. a DSGVO sollte daher gestrichen werden. Es genügt, wenn der Verantwortliche die betroffene Person um ihre Einwilligung nach Abs. 2 lit. c bitten kann.408 Außerdem sollte in Art. 22 Abs. 2 lit. c DSGVO zum Schutz der Kinder die Einwilligung eines Kindes ausgeschlossen werden.409 Weiterhin sollten gemäß Erwägungsgrund 71 DSGVO und nach dem Vorbild von § 31 BDSG in Art. 22 DSGVO qualitative Anforderungen an eine auf einer automatisierten Verarbeitung beruhenden Entscheidung aufgenommen werden.410 Schließlich sollte Art. 22 Abs. 3 DSGVO um die Verpflichtung des Verantwortlichen ergänzt werden, bei einer Reklamation die wesentlichen Gründe für die automatisierte Entscheidung zu erläutern.411 Formulierungsvorschläge für diese Anpassungen des Art. 22 DSGVO werden im nächsten Kapitel vorgestellt.412 Zum Schutz der Rechte der betroffenen Person vor rechtsgeschäftlichen Einschränkungen oder Verzichten sollte deren Nichtabdingbarkeit ausdrücklich festgehalten werden.413 Ein Formulierungsvorschlag enthält das nächste Kapitel.414 Handlungsbedarf zu den Pflichten des Verantwortlichen, Auftragsverarbeiters und Herstellers (Kapitel IV) Da in das vierte Kapitel der Datenschutz-Grundverordnung auch Pflichten des Herstellers aufgenommen werden sollten, müsste auch die Überschrift 4.4 407 S. Kap. 3.11.1; s. auch Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4. 408 S. kap. 3.11.3. 409 S. Kap. 3.6; s. auch Erwägungsgrund 71 Satz 5 DSGVO. 410 S. Kap. 3.11.2 411 S. Kap. 3.11.4. 412 S. Kap. 5.21. 413 S. Kap. 3.12. 414 S. Kap. 5.23. 4.4 Handlungsbedarf zu den Pflichten des Verantwortlichen 109 dieses Kapitels insoweit geändert werden, als auch der Hersteller mit aufzunehmen ist. Soweit der Verantwortliche oder der Auftragsverarbeiter die von ihm verwendete Hard- und Software nicht selbst entwickelt, kann er seine datenschutzrechtlichen Pflichten nur in dem Maße erfüllen, wie die ihm vom Hersteller gelieferte Technik dies zulässt. Vielfach sind die Marktverhältnisse nicht so geartet, dass er eine optimal für die Erfüllung der Pflichten gestaltete Technik auswählen oder gegenüber dem Hersteller durchsetzen kann. Jedenfalls sollte der Grundrechtsschutz nicht von solchen Marktverhältnissen abhängig sein. Daher ist es notwendig den Hersteller ebenfalls auf die Erfüllung von Datenschutzanforderungen zu verpflichten.415 Hierzu bietet sich eine Ergänzung der Regelungen zur Verantwortlichkeit in Art. 24 DSGVO an, für die das nächste Kapitel einen Vorschlag enthält.416 Um die Durchsetzung der Herstellerpflichten sicherzustellen, ist es erforderlich, den Aufsichtsbehörden Befugnisse zur Anordnung von Maßnahmen und Sanktionen zu geben und den betroffenen Personen zu ermöglichen, Rechtsbehelfe gegen Hersteller einzulegen und sie bei einem erlittenen Schaden auf dessen Ersatz in Anspruch zu nehmen.417 Formulierungsvorschläge, die Vorschriften in Art. 58 und 83 sowie 79 und 82 entsprechend zu ergänzen, bietet das nächste Kapitel.418 Insbesondere die technikbezogenen Pflichten des Datenschutzes durch Systemgestaltung und Voreinstellungen in Art. 25 Abs. 1 und 2 DSGVO sind um den Adressatenkreis der Hersteller der Technik zur Datenverarbeitung zu erweitern.419 Hierzu sollte der Text dieser Vorschrift die Hersteller als Adressaten aufnehmen. Ein Vorschlag hierzu findet sich im nächsten Kapitel.420 Die Vorschrift zum Datenschutz durch Systemgestaltung in Art. 25 Abs. 1 DSGVO erfordert Konkretisierungen dieser Verpflichtungen. Als zentrale Neuerung des Datenschutzrechts kann sie nur dann volle Wirkung entfalten, wenn klar ist, welche Gestaltungsmaßnahmen in der jeweiligen Branche und für die jeweilige Technikfunktion von den Verantwortlichen gefordert werden können.421 Eine die Chancen der Systemgestal- 415 S. Kap. 3.14.2. 416 S. Kap. 5.24. 417 S. hierzu Kap. 3.14.2. 418 S. Kap. 5.29, 5.31, 5.32 und 5.33. 419 S. Kap. 3.14.2. 420 S. Kap. 5.25 und 5.26. 421 S. hierzu Kap. 3.14.1. 4 Handlungsbedarf 110 tung richtig ausnutzende Umsetzung dieser Forderungen setzt allerdings eine umfassende Neukonzeption eines risikoorientierten Datenschutzes voraus. Erste Überlegungen zu diesen notwendigen Diskussionen werden im sechsten Kapitel vorgestellt.422 Bis zu einer entsprechenden grundlegenden Überarbeitung der Datenschutz-Grundverordnung kann die Aufgabe zu präzisieren, was bereichs- und technikbezogen Datenschutz durch Systemgestaltung konkret bedeutet und welche Gestaltungsmaßnahmen vom Verantwortliche gefordert werden können, nach und nach auf Unionsebene durch den Europäischen Datenschutzausschuss und auf mitgliedstaatlicher Ebene durch die Aufsichtsbehörden erfolgen. Hierzu sollte die Aufgabenliste des Europäischen Datenschutzausschusses in Art. 70 Abs. 1 DSGVO um diese Aufgabe ergänzt werden. Ein Formulierungsvorschlag zu dieser Aufgabenausweitung findet sich im nächsten Kapitel.423 In Art. 25 Abs. 1 und 2 DSGVO sollte eine Verpflichtung zum besonderen Schutz der Grundrechte und Interessen von Kindern aufgenommen werden.424 Eine entsprechende Ergänzung im Verordnungstext wird im nächsten Kapitel vorgeschlagen.425 Die Plicht der Verantwortlichen zu datenschutzfreundlichen Voreinstellungen in Art. 25 Abs. 2 DSGVO ist zwar bestimmter als die Pflicht zum Datenschutz durch Systemgestaltung in Art. 25 Abs. 1 DSGVO. Die Voreinstellungen für den Nutzer an der Erforderlichkeit der Verarbeitung für den jeweiligen Verarbeitungszweck auszurichten, lässt dem Verantwortlichen jedoch sehr große Freiheiten, durch die Bestimmung des Zwecks die Voreinstellungen so zu wählen, dass er durch diese die gewünschten Daten erhalten kann. Auch hier sind daher Präzisierungen erforderlich, welche Voreinstellungen von dem Verantwortlichen gefordert werden können.426 Hier sind zwei Ansatzpunkte möglich. Zum einen sollte die Vorschrift so angepasst werden, dass der Zweck auf die Funktionalität des jeweiligen Dienstes beschränkt wird. Diese Anpassung kann sich an die Bestimmung des Vertragszwecks ihm Rahmen des Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO orientieren.427 Zudem ist das Prinzip der Datenvermeidung in die Norm aufzunehmen. Ein entsprechender Vorschlag zur Ergänzung im Verordnungstext erfolgt im nächsten Kapitel.428 422 S. Kap. 6.3.1. 423 S, Kap. 5.32. 424 S. hierzu Kap. 3.6. 425 S. Kap. 5.25. 426 S. hierzu Kap. 3.16. 427 S. hierzu Kap. 4.2 und Kap. 5.4. 428 S. Kap. 5.26. 4.4 Handlungsbedarf zu den Pflichten des Verantwortlichen 111 Zum anderen sind für wichtige Anwendungsfelder und Technikfunktionen Präzisierungen zu treffen, welche Voreinstellungen vom Verantwortlichen gefordert werden können. Diese Konkretisierungen des Datenschutzes durch Voreinstellungen sollten ebenfalls in eine Neukonzeption eines risikoorientierten Datenschutzes eingehen. Erste Überlegungen zu diesen notwendigen Diskussionen werden im sechsten Kapitel vorgestellt.429 Bis zu einer entsprechenden grundlegenden Überarbeitung der Datenschutz- Grundverordnung kann die Aufgabe, die Pflicht zu Voreinstellungen bereichs- und technikbezogen zu präzisieren, von den Aufsichtsbehörden, den mitgliedstaatlichen Gesetzgebern (für einzelne Technikbereiche), dem Europäischen Datenschutzausschuss oder von Verbänden übernommen werden. Für den Europäischen Datenschutzausschuss sollte die Liste seiner Aufgaben in Art. 70 Abs. 1 DSGVO ergänzt werden. Diese Ergänzung kann mit der Aufgabe zur Präzisierung des Datenschutzes durch Systemgestaltung zusammengezogen werden. Ein Formulierungsvorschlag wird im nächsten Kapitel präsentiert.430 Eine Arbeitsteilung in der Datenverarbeitung – insbesondere im Kontext automatisierter Entscheidungen im Einzelfall – darf nicht dazu führen, dass Informationen über die Datenverarbeitung unterbleiben oder verkürzt werden.431 Daher sollten bei arbeitsteiligen Datenverarbeitungsverfahren die Verantwortlichen nach Art. 26 Abs. 1 DSGVO verpflichtet sein, ihre Informationen so abzustimmen, dass jeder Kooperationspartner über seinen Anteil am Verfahren samt den Schnittstellen zu allen anderen Anteilen informiert.432 Im nächsten Unterkapitel findet sich ein Vorschlag, wie eine solche Präzisierung des Art. 15 Abs. 3 DSGVO formuliert werden kann.433 In Art. 34 Abs. 2 DSGVO sollte eine Verpflichtung zur Berücksichtigung des Verständnisvermögens und der Hilflosigkeit von Kindern bezogen auf Form und Inhalt der Benachrichtigung aufgenommen werden.434 Eine entsprechende Ergänzung der Vorschrift wird im nächsten Unterkapitel vorgeschlagen.435 In Art. 35 DSGVO sollte eine Verpflichtung zu besonderer Berücksichtigung der Grundrechte und Interessen von Kindern bei der Bestimmung 429 S. Kap. 6.3.1. 430 S. Kap. 5.32. 431 S. z.B. Specht-Riemenschneider/Schneider, ZD 2019, 503 (505 f.). 432 S. hierzu Kap. 3.8.3. 433 S. Kap. 5.27. 434 S. hierzu Kap. 3.6. 435 S. Kap. 5.28. 4 Handlungsbedarf 112 der Notwendigkeit einer Datenschutz-Folgenabschätzung sowie bei der Risikoanalyse und bei der Festlegung von Schutzmaßnahmen aufgenommen werden.436 Das nächste Unterkapitel enthält einen Vorschlag, wie die Vorschrift ergänzt werden könnte.437 Handlungsbedarf zu den unabhängigen Aufsichtsbehörden (Kapitel VI) Anpassungen des Normtextes in Kapitel 5, 6 und 7 DSGVO sind im Kontext der Stärkung der Stellung von Verbrauchern nicht unmittelbar erforderlich. Allerdings ist indirekt wegen zusätzlicher Zuweisungen von neuen Aufgaben für den Europäischen Datenschutzausschuss die Auflistung seiner Aufgaben in Art. 70 Abs. 1 DSGVO um zwei Aufgaben zu ergänzen.438 Vorschläge zur Formulierung dieser ergänzenden Aufgaben enthält das nächste Unterkapitel.439 Diese zusätzlichen Aufgaben und die Überlastung durch die bereits bestehenden, durch die Datenschutz-Grundverordnung aber neu entstandenen Aufgaben machen eine weitere starke personelle Aufstockung der Aufsichtsbehörden dringend erforderlich.440 Insbesondere muss die Union dafür sorgen, dass der Europäische Datenschutzausschuss seine Aufgaben zügiger als bisher bearbeiten kann. Diese setzt auch voraus, dass die Datenschutzaufsichtsbehörden in Deutschland in die Lage versetzt werden, in den Arbeitskreisen des Europäischen Datenschutzausschusses intensiv mitzuwirken. Für diese Ressourcenfrage sind der Bund und die Bundesländer verantwortlich. Handlungsbedarf zu Rechtsbehelfen, Haftung und Sanktionen (Kapitel VIII) Auch die Sanktionsvorschriften in Kapitel 8 DSGVO benötigen Anpassungen. Zu fordern ist eine Präzisierung der Bußgeldtatbestände durch eine Leitlinie des Ausschusses nach Art. 70 Abs. 1 Satz 2 lit. k DSGVO sowie eine Präzisierung durch unverbindliche Bußgeldkataloge der mitgliedstaat- 4.5 4.6 436 S. hierzu Kap. 3.6. 437 S. Kap. 5.29. 438 S. hierzu Kap. 3.10 und 3.14. 439 S. Kap. 5.29. 440 S. Kap. 3.16. 4.6 Handlungsbedarf zu Rechtsbehelfen, Haftung und Sanktionen (Kapitel VIII) 113 lichen Aufsichtsbehörden. Dies ist eine Aufgabe der Datenschutzaufsichtsbehörden und ihrer Konferenz. Die Aufsichtsbehörden sollten zur Veröffentlichung einer jährlichen Statistik zu ihrer Bußgeldpraxis verpflichtet werden. Dies sollte der Unionsgesetzgeber unionsweit einheitlich in einem neuen Absatz des Art. 83 DSGVO festlegen. Ein Formulierungsvorschlag für diese Ergänzung findet sich im nächsten Unterkapitel.441 Die deutschen Gesetzgeber sollten prüfen, ob Bußgelder direkt in den Haushalt der jeweiligen Aufsichtsbehörde einfließen können. Zudem sollte eine Kostenübernahme anfallender Prozesskosten durch den Bund und die Länder erfolgen. 441 S. Kap. 5.32. 4 Handlungsbedarf 114 Regelungsvorschläge Soweit dieses Gutachten Änderungen einzelner Vorschriften der Datenschutz-Grundverordnung vorschlägt, werden in diesem Kapitel Formulierungsvorschläge zur Diskussion gestellt, um erkennen zu können, wie Verbesserungen dieser Vorschriften aussehen könnten. Aufenthaltsprinzip Um den räumlichen Anwendungsbereich der Datenschutz-Grundverordnung entsprechend einer konsequenten Anwendung des Aufenthaltsprinzips auf jede Form der Verarbeitung personenbezogener Daten von betroffenen Personen auszuweiten, die sich in der Europäischen Union aufhalten, wird folgende Änderung des Art. 3 Abs. 2 lit. a DSGVO empfohlen: „(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubietenanzusprechen, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;“ Indem das Angebot von Waren und Dienstleistungen nicht mehr gefordert wird, ist eine Abgrenzung dieses Angebots von anderen Tätigkeiten nicht mehr erforderlich. Der Kreis der erfassten Verantwortlichen oder Auftragsverarbeiter wird dadurch erweitert, dass jede Ansprache einer Person in der Union für die Anwendung der Verordnung ausreicht. Zugleich erfolgt keine Anwendung der Verordnung, wenn die Initiative für die letztliche Verarbeitung personenbezogener Daten nicht von dem Verantwortlichen oder Auftragsverarbeiter ausgeht, sondern von der betroffenen Person selbst. 5 5.1 115 Datenschutzrechtliche Grundsätze Um in der deutschen Fassung des Art. 5 Abs. 1 lit. a DSGVO den zweiten Grundsatz mit einer ihm gemäßen Bezeichnung auszuweisen und eine Verwirrung bezogenen auf den zivilrechtlichen Begriff von „Treu und Glauben“ zu vermeiden, wird folgende Änderung des Art. 5 Abs. 1 lit. a DSGVO empfohlen: „(1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, fair nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Fairness Verarbeitung nach Treu und Glauben, Transparenz“);“ Um den Grundsatz der Datenminimierung um den Grundsatz der Datenvermeidung zu ergänzen, wird folgende Änderung des Art. 5 Abs. 1 lit. c DSGVO empfohlen: „(1) Personenbezogene Daten müssen … c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“) und in Datenverarbeitungssystemen verarbeitet werden, deren Auswahl und Gestaltung an dem Ziel ausgerichtet sind, so wenig personenbezogene Daten wie möglich zu verarbeiten (Datenvermeidung);“ Durch die Formulierung „so wenig personenbezogene Daten wie möglich zu verarbeiten“ wird das Verhältnismäßigkeitsprinzip zur Geltung gebracht. Entscheidend ist, dass nicht nur Datenminimierung nach einem Zweck, den der Verantwortliche ausgewählt hat, stattfindet, sondern Vermeidung der Verarbeitung personenbezogener Daten durch Systemgestaltung unter Einbeziehung des Zwecks. Vorrang der Einwilligung Um klarzustellen, dass ein Verantwortlicher sich neben einer Einwilligung nicht zusätzlich auf einen anderen gesetzlichen Erlaubnistatbestand berufen kann, wird folgende Änderung des Art. 6 Abs. 1 UAbs. 1 DSGVO vorgeschlagen: „(1) Die Verarbeitung ist nur rechtmäßig, wenn mindesten eine der nachstehenden Bedingungen erfüllt ist a) Die entweder die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden 5.2 5.3 5 Regelungsvorschläge 116 personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat oder ; eine der nachstehenden Bedingungen erfüllt ist: b a) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; …“ Durch die Anpassungen wird klargestellt, dass die Einwilligung und die anderen gesetzlichen Erlaubnistatbestände nur alternativ genutzt werden können. Indem ein „entweder – oder“ eingefügt und dadurch die Einwilligung von den gesetzlichen Erlaubnistatbeständen abgehoben und das „mindestens“ gestrichen wird, ist es ausgeschlossen, die Einwilligung mit den gesetzlichen Erlaubnistatbeständen gleichzusetzen und sie mit ihnen zu kombinieren. Es gibt nach der Änderung nur noch zwei – sich gegenseitig ausschließende – Wege, die Datenverarbeitung zu rechtfertigen. Dadurch wird verhindert, dass ein Verantwortlicher, nachdem er eine Einwilligung eingeholt hat, die Datenverarbeitung auf einen anderen Erlaubnistatbestand stützen kann. Wer eine Einwilligung einholt, muss auch die Regelungen zur Einwilligung gegen sich gelten lassen. Bestimmung des Vertragszwecks Um den Erlaubnistatbestand des bisherigen Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO zu objektivieren und zu präzisieren, wird folgende Änderung des Normtextes vorgeschlagen: „b) die Verarbeitung ist objektiv für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“ Durch die Bezugnahme auf die objektive Erforderlichkeit der Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages, wird die Erlaubnis nur an die funktionale Notwendigkeit für die vereinbarte Leistung geknüpft. Es ist nicht mehr möglich, durch Vertragsformulierungen darüberhinausgehende Datenverarbeitungen zu rechtfertigen, die – wie die Information befreundeter Unternehmen oder die Information des Kunden über weitere Produkte – nicht für die Erfüllung der vertraglichen Hauptpflichten erforderlich sind. Diese Datenverarbeitungen sind nur möglich, wenn sie durch überwiegende berechtigte Interessen gerechtfertigt sind oder die betroffene Person eingewilligt hat. 5.4 5.4 Bestimmung des Vertragszwecks 117 Prüfung der Vereinbarkeit von Verarbeitungszwecken Um bei der Prüfung der Vereinbarkeit eines alten mit einem neuen Zweck auch den Umstand gebührend zu berücksichtigen, dass es sich um personenbezogene Daten eines Kindes handelt, sollte Art. 6 Abs. 4 UAbs. 1 lit. d DSGVO um die Beachtung dieses Umstands ergänzt werden. „d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, insbesondere wenn es sich um die personenbezogenen Daten eines Kindes handelt;“ Durch die Ergänzung wird der Verantwortliche bei einer Zweckänderung verpflichtet, den Folgen der Weiterverarbeitung für Kinder besondere Beachtung zu schenken. Diese Pflicht ist bisher dem aktuellen Normtext allenfalls implizit zu entnehmen (über Erwägungsgrund 38 Satz 1 DSGVO) und sollte zur Stärkung der Stellung von Kindern im Datenschutz explizit in den Normtext aufgenommen werden. Ausschluss der Einwilligung eines Kindes in Werbung und Profiling Um die Wertung des Erwägungsgrundes 38 Satz 2 DSGVO in den Normtext des Art. 8 Abs. 1 DSGVO zu übernehmen,442 wird die Ergänzung um einen neuen Satz 2 vorgeschlagen: „Dies gilt nicht für die Verarbeitung personenbezogener Daten eines Kindes für Werbezwecke oder für die Erstellung von Persönlichkeitsoder Nutzerprofilen.“ Satz 2 wird zu Satz 3. Mit der Ergänzung wird Erwägungsgrund 38 Satz 2 DSGVO von einer Auslegungshilfe zu direkt anwendbarem Recht und stärkt damit die Rechtssicherheit. Ausschluss der Einwilligung eines Kindes in die Verarbeitung besonderer Kategorien personenbezogener Daten Für Kinder soll eine Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. a DSGVO ausgeschlossen sein, um sie in ausreichender Weise gegen das Eingehen beson- 5.5 5.6 5.7 442 S. Kap. 3.6. 5 Regelungsvorschläge 118 derer Risiken zu schützen.443 Hierzu wird die Ergänzung um ein Wort vorgeschlagen: „a) Die erwachsene betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,“ Diese Ergänzung bewirkt, dass sich niemand auf die persönliche Einwilligung eines Kindes in die besonders riskante Verarbeitung von besonderen Kategorien personenbezogener Daten berufen kann. Die Einwilligung der Erziehungsberechtigten bleibt möglich. Beschränkung der Information auf die nächstfolgende Datenverarbeitung Um die Pflicht zur Information der betroffenen Person über die sie betreffende Datenverarbeitung erfüllen zu können, sollen immer nur die Informationen über die Datenverarbeitungen zulässig sein, die vollständig und präzise mit allen notwendigen Angaben beschrieben werden können.444 Hierzu wird folgende Änderung des Normtextes in Art. 12 Abs. 1 DSGVO vorgeschlagen: „(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die aktuelle Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“ Die Einfügung des Wortes „aktuelle“ stellt klar, dass die Information sich auf die gegenwärtig vorgesehene Datenverarbeitung beziehen soll, für die Umfang, Zweck und Verfahren feststehen und vollständig bekannt sind. 5.8 443 S. Kap. 3.6. 444 S. Kap. 3.7.1. 5.8 Beschränkung der Information auf die nächstfolgende Datenverarbeitung 119 Dadurch wird verhindert, die Informationspflicht zu erfüllen, indem auf eine Datenschutzerklärung verwiesen wird, in der alle denkbaren künftigen Datenverarbeitungen mit vagen Hinweisen auf künftige Möglichkeiten zusammengefasst sind. Künftige Änderungen in der Datenverarbeitung, die nicht bereits festgelegt sind und daher nicht präzise beschrieben werden können, müssen zu neuen, dann wiederum aktuellen, Informationen führen. Begleitet werden sollte die Änderung durch eine Klarstellung in Erwägungsgrund 60 DSGVO, dass eine hohe Komplexität der Datenverarbeitung eine mangelhafte Information nicht entschuldigt. Ausgleich zwischen Informationspflicht und Geheimnisschutz Um beim Schutz von rechtlich anerkannten Geheimnissen und Rechten des geistigen Eigentums dennoch das höchstmögliche Maß an Informationen über die Datenverarbeitung zu geben, sollte der Verantwortliche verpflichtet werden, nach Wegen zu suchen, wie möglichst umfangreiche und genaue Informationen gegeben werden können, ohne das Geheimnis zu verletzen.445 Hierzu sollte Art. 12 DSGVO um eine solche Grundregel zur praktischen Konkordanz zwischen Information und Geheimnis in einem neuen Abs. 7 ergänzt werden: „(7) Gefährden die der betroffenen Person bereitzustellenden Informationen die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, so stellt der Verantwortliche unter Wahrung dieser Rechte und Freiheiten ein möglichst hohes Maß an Information sicher.“ Die bisherigen Absätze 7 und 8 werden zu Absätzen 8 und 9. Durch die Ergänzung um eine neue Grundregel zur Auflösung des Konflikts zwischen Informationsanspruch und Geheimnisschutz gilt für alle Informationen des Verantwortlichen über die Datenverarbeitung gegenüber der betroffenen Person. Sie wird insbesondere das Informationsniveau bei automatisierter Entscheidungsfindung verbessern. Entsprechend der Neufassung des Abs. 7 des Art. 12 DSGVO müssen die Erwägungen in Erwägungsgrund 63 Satz 5 und 6 DSGVO446 der neuen Grundregel angepasst werden. Hier könnten Verweise auf angemessene 5.9 445 S. Kap. 3.8.2. 446 S. zu diesen Kap. 3.8.2. 5 Regelungsvorschläge 120 Verfahren zum Schutz von Geschäftsgeheimnissen oder Rechten des geistigen Eigentums (z.B. „Verrauschen“) angeführt werden. Auch ein Verschieben in Erwägungsgrund 58 oder 60 DSGVO bietet sich an. Zeitnahe relevante Information über die Datenerhebung Um sicherzustellen, dass der Verantwortliche der betroffenen Person jeweils „zum Zeitpunkt der Erhebung“ die damit verbundenen relevanten Informationen gibt,447 sollte der Wortlaut der Eingangsworte des Art. 13 Abs. 1 und Abs. 2 DSGVO wie folgt ergänzt werden: „(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person jeweils zum Zeitpunkt der Erhebung dieser Daten Folgendes zu dieser Erhebung mit: …“ (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person jeweils zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zu dieser Erhebung zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: Durch die Ergänzungen wird sichergestellt, dass die Information zum richtigen Zeitpunkt und damit situationsadäquat erfolgt, nämlich zum Zeitpunkt der Datenerhebung und vor einer notwendigen oder möglichen Entscheidung der betroffenen Person. Dies stärkt die Selbstbestimmung der betroffenen Person und erhöht insbesondere die Transparenz komplexer Verarbeitungsvorgänge. Information über Empfänger Um eine ausreichende Information über die Empfänger personenbezogener Daten zu bieten, die der betroffenen Person die Rechtsverfolgung erst ermöglicht, zumindest aber erheblich erleichtert,448 sollte der Wortlaut des Art. 13 Abs. 1 lit. e DSGVO leicht angepasst werden: 5.10 5.11 447 S. Kap. 3.7.3. 448 S. Kap. 3.8. 5.11 Information über Empfänger 121 „e) gegebenenfalls die Empfänger, soweit sie bestimmbar sind, oder Kategorien von Empfängern der personenbezogenen Daten;“ Die gleiche Änderung sollte in der wortgleichen Regelung des Art. 14 Abs. 1 lit. e DSGVO erfolgen. Durch die Ergänzung wird der Verantwortliche verpflichtet, alle ihm bekannten Empfänger personenbezogener Daten zu benennen. Er kann sich, sofern es ihm möglich ist, einen Empfänger konkret zu benennen, nicht darauf zurückziehen, lediglich Kategorien von Empfängern zu nennen. Die Angabe von Kategorien von Empfängern ist mithin nur zulässig, wenn ein konkreter Empfänger zum Zeitpunkt der Information (noch) nicht benannt werden kann. Information bei automatisierten Entscheidungsverfahren Um den Streit über den Umfang der Informationen zu beseitigen, die ein Verantwortlicher über das Bestehen einer automatisierten Entscheidungsfindung zu geben hat, sollte der Gesetzestext in Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO präzisiert werden. „f/g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik einschließlich der Kriterien für die Entscheidung und ihre Gewichtung sowie die Tragweite und die angestrebten und möglichen rechtlichen und tatsächlichen Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“ Die Ergänzung stärkt die Interessen des Verbrauchers, der künftig über die bereitzustellenden Informationen einen deutlich besseren Einblick in automatisierte Entscheidungsverfahren erhält. Insbesondere soll er erkennen können, welche Kriterien wie die Entscheidung beeinflussen. Zudem erfährt er, welche Auswirkungen die Datenverarbeitung auf ihn hat. Zu Profiling wird im Folgenden eine eigene Regelung vorgeschlagen. Die Streichung von „gemäß Artikel 22 Absätze 1 und 4“ erfolgt, weil diese Formulierung zu der Verwirrung führen kann, dass die Informationspflicht nur gilt, wenn die Datenverarbeitung auf den Absätzen 1 und 4 beruht, nicht jedoch, wenn die Datenverarbeitung von den Absätzen 2 und 3 geregelt wird. Ferner darf eine Arbeitsteilung im Kontext automatisierter Entscheidungen im Einzelfall nicht dazu führen, dass Informationen über dieses Ver- 5.12 5 Regelungsvorschläge 122 fahren unterbleiben oder verkürzt werden. Daher sollten bei arbeitsteiligen automatisierten Entscheidungsverfahren die Verantwortlichen verpflichtet sein, ihre Informationen so abzustimmen, dass jeder Kooperationspartner über seinen Anteil am Verfahren samt den Schnittstellen zu allen anderen Anteilen informiert.449 Information über Profiling Um bei jeder Erhebung von Daten, die auch für Profiling genutzt werden sollen, die betroffene Person ausreichend über dieses zusätzliche Risiko der Datenverarbeitung zu informieren, sollten Art. 13 Abs. 2 DSGVO um einen neuen lit. g und Art. 14 Abs. 2 DSGVO um einen gleichlautenden lit. h ergänzt werden. „g/h) die Verwendung der Daten für Profiling sowie dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck.“ Durch die Ergänzungen wird die Transparenz der Verarbeitung erhöht. Insbesondere soll die betroffene Person klar erkennen können, welche möglichen Spätfolgen sich aus der Verarbeitung durch Profiling ergeben können. Ein Verbraucher soll so leichter entscheiden können, ob er Profiling anstrebt oder duldet und einen Dienst auswählt, der dieser Entscheidung entspricht. Informationserleichterung Um bei Erhebung von Daten in alltäglichen Kontakten, hauptsächlich in nicht-digitalen Umfeldern, einerseits den Verantwortlichen Erleichterungen im Umgang mit betroffenen Personen zu ermöglichen, andererseits aber den betroffenen Personen, die in solchen Zusammenhängen Informationen über die Verarbeitung ihrer Daten erwarten, die notwendige Transparenz zu gewährleisten und um Missbräuche zu verhindern, schlägt die Datenschutzkonferenz eine Regelung in Art. 13 DSGVO vor,450 die im Folgenden übernommen wird. Danach sollte Art. 13 DSGVO um einen neuen Abs. 5 ergänzt werden. 5.13 5.14 449 S. zu diesem Vorschlag Kap. 5.27. 450 Datenschutzkonferenz, Erfahrungsbericht, 2019, 8. 5.14 Informationserleichterung 123 „(5) Die Informationen nach den Absätzen 1 und 2 werden nur auf Verlangen der betroffenen Person mitgeteilt, soweit der Verantwortliche Datenverarbeitungen vornimmt, die der Betroffene nach den konkreten Umständen erwartet oder erwarten muss und 1. sowohl die Offenlegung von Daten gegenüber anderen Stellen als auch die Übermittlung in Drittländer ausgeschlossen sind, 2. keine Daten verarbeitet werden, die unter Artikel 9 fallen, 3. die Daten nicht zu Zwecken der Direktwerbung verarbeitet werden und 4. weder Profiling noch automatisierte Entscheidungsfindungen stattfinden. Die betroffene Person ist auf diese Möglichkeit hinzuweisen.“ Durch den neuen Absatz wird ein Übermaß an unerwünschter Information vermieden, übliche, nicht digitale Kontakte von bürokratischen Anforderungen entlastet, zugleich aber riskante Datenverarbeitungen ausgeschlossen. Die kann jederzeit gewünschte Informationen anfordern. Auskunft über Empfänger Um eine ausreichende Auskunft über die Empfänger personenbezogener Daten zu gewährleisten, die der betroffenen Person die Rechtsverfolgung erst ermöglicht, zumindest aber erheblich erleichtert,451 sollte in Art. 24 Abs. 1 DSGVO ein neuer Satz 2 eine Verpflichtung zur Protokollierung der Übertragung und der Empfänger begründen und sollte der Wortlaut des Art. 15 Abs. 1 lit. c DSGVO – entsprechend der Neufassung des 13 Abs. 1 lit. e DSGVO und Art. 14 Abs. 1 lit. f DSGVO – leicht angepasst werden: „c) die Empfänger, soweit sie bestimmbar sind, oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;“ Durch die Ergänzung wird sichergestellt, dass der Verantwortliche alle ihm bekannten Empfänger mit Namen und Kontaktmöglichkeit der betroffenen Person mitteilen muss. Damit ihm die Übertragungen und die Empfänger im Regelfall bekannt sind, begründet der neue Satz 2 von 5.15 451 S. Kap. 3.9. 5 Regelungsvorschläge 124 Art. 24 Abs. 1 DSGVO eine Pflicht, die Übertragungen und die Empfänger zu protokollieren.452 Auskunft über automatisierte Entscheidungsverfahren Um den Streit über den Umfang der Auskunft zu beseitigen, die ein Verantwortlicher über das Bestehen einer automatisierten Entscheidungsfindung zu geben hat, sollte der Gesetzestext in Art. 15 Abs. 1 lit. h DSGVO – entsprechend der vorgeschlagenen Ergänzungen der Informationspflichten in Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO – präzisiert werden: „h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik einschließlich der Kriterien für die Entscheidung und ihre Gewichtung sowie die Tragweite und die angestrebten und möglichen rechtlichen und tatsächlichen Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“ Durch die Ergänzung werden die vorgeschlagenen Änderungen der Informationspflichten453 des Verantwortlichen auch auf das Auskunftsrecht erstreckt. Dies stellt Konsistenz im Gefüge der Betroffenenrechte her und schließt Schutzlücken, die entstünden, wenn die Erstreckung unterbliebe. Zu Profiling wird im Folgenden eine eigene Regelung vorgeschlagen. Die Streichung von „gemäß Artikel 22 Absätze 1 und 4“ erfolgt auch hier, weil diese Formulierung zu der Verwirrung führen kann, dass die Informationspflicht nur gilt, wenn die Datenverarbeitung auf den Abs. 1 und 4 beruht, nicht jedoch, wenn die Datenverarbeitung von den Abs. 2 und 3 geregelt wird. Auskunft über Profiling Um bei jeder Verarbeitung von Daten, die für Profiling genutzt werden, der betroffenen Person ein diesem zusätzlichen Risiko ausreichendes Auskunftsrecht zu geben, sollte Art. 15 Abs. 1 DSGVO – vergleichbar zur In- 5.16 5.17 452 S. Kap. 5.22. 453 S. Kap. 5.12. 5.17 Auskunft über Profiling 125 formationspflicht nach Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO um einen lit. i ergänzt werden. „i) die Verwendung der Daten für Profiling sowie dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck.“ Durch die Ergänzung wird zu den vorgeschlagenen Regelungen in Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO454 ein Komplementär im Auskunftsrecht geschaffen. Auch hier geht es darum, Konsistenz herzustellen und das Entstehen von Schutzlücken zu vermeiden. Recht auf eine Kopie Um die meisten Streitfragen um das Recht auf eine Kopie nach Art. 15 Abs. 3 DSGVO zu beseitigen, sollte die Regelung neu gefasst werden: „Der Verantwortliche stellt auf Antrag der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind und in einem Datensatz zusammengefasst sind oder zusammengefasst werden können, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“ Durch die Ergänzung wird bezogen auf das Recht auf Kopie Rechtsklarheit geschaffen. Das Recht auf Kopie wird dadurch für die Praxis handhabbar gemacht. Der Zusatz „auf Antrag der betroffenen Person“ erlaubt es, einerseits der betroffenen Person bei Wahrnehmung des Rechts auf Auskunft besser zu skalieren, andererseits erleichtert es dem Verantwortlichen seinen Pflichten nachzukommen, indem ihm klar signalisiert wird, was die betroffene Person von ihm erwartet. Der Zusatz „und in einem Datensatz zusammengefasst sind oder zusammengefasst werden können“ konzentriert den Anspruch auf die Gegenstände der Datenverarbeitung, die sich gezielt mit der betroffenen Person befassen oder einer Befassung zugrunde liegen können. 5.18 454 S. Kap. 5.13. 5 Regelungsvorschläge 126 Recht auf Datenübertragung Die Vorschrift des Art. 20 Abs. 1 DSGVO sollte an mehreren Stellen präzisiert oder um wichtige Festlegungen ergänzt werden, um ihre Umsetzung in der Praxis zu ermöglichen. Ihr Anwendungsbereich sollte auf alle von der betroffenen Person verursachten Daten ausgeweitet werden. Zum Format, in dem die Daten zu übergeben sind, sollte klargestellt werden, dass es interoperabel sein muss. Die Anforderungen an die Interoperabilität sollte der Europäische Datenschutzausschuss festlegen. Außerdem sollte der Verantwortliche verpflichtet werden, die Daten in der jeweiligen Landessprache des Mitgliedstaates oder in englischer Sprache bereitzustellen. Das Recht auf Datenübertragung sollte auch dann gelten, wenn die Einwilligung oder der Vertrag nicht mehr bestehen, die Daten aber während des Bestehens der Einwilligung oder des Vertrags vom Verantwortlichen erhoben worden sind.455 Um diese Änderungen umzusetzen, sollte Art. 20 Abs. 1 DSGVO angepasst und um einen neuen Satz 2 ergänzt werden. Artikel 20 Recht auf Datenübertragbarkeitung „(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die deren Erhebung sie bei einem Verantwortlichen sie verursacht bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren interoperablen Format und in der jeweiligen Landessprache des Mitgliedstaates der betroffenen Person oder in englischer Sprache zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht oder beruhte und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Die Bedingungen für die Interoperabilität der Formate bestimmt der Europäische Datenschutzausschuss.“ Die Bezeichnung des Rechts auf „Übertragbarkeit“ suggeriert ein Recht auf eine doppelte Potentialität: Sowohl die Endung „bar“ als auch die Endung „keit“ bezeichnen nur die Möglichkeit. Das Recht auf eine Möglichkeit der Übertragung hilft der betroffenen Person jedoch nicht weiter, 5.19 455 S. Kap. 3.10. 5.19 Recht auf Datenübertragung 127 wenn sie über die Möglichkeit hinaus auch eine tatsächliche Übertragung durchsetzen will. Daher sollte die Überschrift korrigiert werden. Das Ziel der Ausweitung des Anwendungsbereichs des Rechts auf Datenübertragung wird durch eine Ersetzung des Begriffs „bereitgestellt“ durch „verursacht“ erreicht. Der Streit um die unbestimmten Rechtsbegriffe „strukturiertes gängiges und maschinenlesbares Format“ und „technisch machbar“ wird durch eine Streichung dieser Begriffe aus der Norm beigelegt. Sie gehen in der Forderung eines interoperablen Formats auf. Die Präzisierung der Bedingungen für die Interoperabilität wird dem Europäischen Datenschutzausschuss auferlegt. Damit wird einerseits sichergestellt, dass eine (notwendige) Präzisierung tatsächlich erfolgt, andererseits kann so bei der Präzisierung ein Detailgrad erreicht werden, der im Normtext oder in den Erwägungsgründen nicht möglich ist. Schutz von Kindern im Rahmen eines Widerspruchs Um bei der Prüfung eines Wiederspruchs nach Art. 21 Abs. 1 DSGVO den Umstand gebührend zu berücksichtigen, dass es sich um personenbezogene Daten eines Kindes handelt, sollte diese Vorschrift entsprechend ergänzt werden. „(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, insbesondere wenn es sich um die personenbezogenen Daten eines Kindes handelt, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“ Durch die Ergänzung erfolgt eine Erwägungsgrund 38 Satz 1 DSGVO entsprechende Stärkung von Kindern bei der Verarbeitung personenbezogener Daten, indem eine Klarstellung zum Begriff „ihrer besonderen Situation“ direkt im Normtext stattfindet. 5.20 5 Regelungsvorschläge 128 Automatisierte Entscheidungen im Einzelfall Das in Art. 22 DSGVO normierte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, erfordert mehrere Anpassungen des Normtextes.456 Zum einen ist das Verbot automatisierter Entscheidungen im Einzelfall weiter zu fassen.457 Zum anderen sollte nicht der Verantwortliche oder ein Dritter rechtfertigend festlegen können, dass die automatisierte Entscheidung im Einzelfall erforderlich ist. Es genügt, wenn der Verantwortliche die betroffene Person um ihre Einwilligung nach Abs. 2 lit. c bitten kann. Drittens sollte neben der Auskunftspflicht festgelegt werden, dass die Entscheidungsgründe der betroffenen Person erläutert werden. Schließlich sollte in Abs. 2 lit. c zum Schutz der Kinder die Einwilligung eines Kindes ausgeschlossen werden. Schließlich sollten qualitative Anforderungen an eine auf einer automatisierten Verarbeitung beruhenden Entscheidung aufgenommen werden. Diese Anpassungen des Art. 22 DSGVO könnten in folgender Weise erfolgen: „(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher erheblicher Weise erheblich beeinträchtigt. (2) Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, ab) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder bc) mit ausdrücklicher Einwilligung der erwachsenen betroffenen Person erfolgt. (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu 5.21 456 S. hierzu Kap. 3.11 und 4.3. 457 Zu dem die automatisierte Entscheidung vorbereitenden Profiling s. Kap. 3.12 und 4.3. 5.21 Automatisierte Entscheidungen im Einzelfall 129 wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts, und auf Anfechtung der Entscheidung und die Erläuterung der Entscheidungsgründe gehört. (4) Die Erstellung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck einer auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung ist nur zulässig, wenn die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind.“ Abs. 4 wird zu Abs. 5. Durch die Anpassungen in Abs. 1 wird die doppelte Einschränkung des Rechts aus Art. 22 Abs. 1 DSGVO zurückgenommen. Die Ausweitung (Streichung von „ausschließlich“) und die Absenkung der Schwelle (erhebliche Beeinträchtigung anstelle von rechtlicher Wirkung oder Ähnlichem) haben zur Folge, dass zahlreiche bislang nicht erfasste Grundrechtsbeeinträchtigungen von Verbrauchern eingeschlossen werden. Dadurch wird deren Stellung im Datenschutzrecht verbessert und der Unionsgesetzgeber kann seinen grundrechtlichen Schutzpflichten gerecht werden. Erfasst ist nun auch die durch eine automatisierte Verarbeitung vorbereitete Entscheidung. Dies bedeutet, dass die betroffene Person nicht mehr einer automatisiert vorbereiteten Entscheidung ausgeliefert ist, die der menschliche Entscheider im Regelfall unbesehen übernimmt, ohne dass die betroffene Person eine Möglichkeit hat, ihren Standpunkt vor der Entscheidung vorzutragen. Die Streichung in Abs. 2 bewirkt letztlich einen Abbau von Machtasymmetrien zwischen Anbieter und Verbraucher und schließt Schutzlücken der Verordnung. Wird Abs. 2 lit. a gestrichen, so ist es nicht länger möglich, dass der Verantwortliche oder ein Dritter einseitig die Erforderlichkeit einer automatisierten Entscheidung im Kontext eines Vertrages erklärt. Diese Ergänzung von Abs. 2 lit. b („erwachsene“) bewirkt, dass sich niemand auf die persönliche Einwilligung eines Kindes in die besonders riskante automatisierte Entscheidung berufen kann. Die Einwilligung der Erziehungsberechtigten bleibt möglich. Die Ergänzung ist im Zusammenhang mit der vorgeschlagenen Ergänzung von Art. 9 Abs. 2 lit. a DSGVO zu sehen und greift die Wertung von Erwägungsgrund 71 Satz 5 DSGVO auf. Die Ergänzung des Ab. 3 bewirkt, dass im Fall einer Reklamation der Verantwortliche zusätzliche Transparenzpflichten hat. Er muss der betrof- 5 Regelungsvorschläge 130 fenen Person die wesentlichen Gründe der automatisiert getroffenen Entscheidung und deren Auswirkungen erläutern. Die Einfügung des neuen Abs. 4 hat zur Folge, dass qualitative Anforderungen an automatisierte Entscheidungsfindungen festgesetzt werden. Der neue Abs. 4 greift die Erwägungen aus Erwägungsgrund 71 DSGVO auf und orientiert sich in seinem Wortlaut und Normzweck an § 31 Abs. 1 BDSG, ist jedoch nicht wie diese Vorschrift auf Scoring und Bonitätsauskünfte beschränkt. Protokollierung der Datenübertragungen und der Empfänger Um bei einer Auskunft der betroffenen Person die Empfänger ihrer personenbezogenen Daten mitteilen zu können, wird der Verantwortliche verpflichtet, die Empfänger und die ihnen übertragenen Daten zu protokollieren. Für die Begründung dieser Verpflichtung ist eine Ergänzung des Art. 24 Abs. 1 DSGVO um einen neuen Satz 2 erforderlich: „(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Er protokolliert die Übertragungen personenbezogener Daten an Dritte und deren Empfänger. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“ Der bisherige Satz 2 wird zum neuen Satz 3. Durch die Ergänzung um den neuen Satz 2 werden die Dokumentationspflichten des Verantwortlichen um einen zur Herstellung von Transparenz äußerst relevanten Faktor erweitert. Eine effektive Rechtedurchsetzung der betroffenen Person gegen- über den Empfängern wird auf Grundlage eine Protokollierung von Übertragungen personenbezogener Daten überhaupt erst ermöglicht. Nichtabdinbarkeit der Rechte der betroffenen Person Um bei die Rechte der betroffenen Person gegen rechtsgeschäftliche Einschränkungen oder Ausschluss zu schützen, sollte ihre Nichtabdinbarkeit ausdrücklich festgehalten werden. Eine solche Regelung kann an § 6 Abs. 1 5.22 5.23 5.23 Nichtabdinbarkeit der Rechte der betroffenen Person 131 BDSG-alt anknüpfen. Sie sollte als neuer Abs. 3 in Art. 23 DSGVO aufgenommen werden: „(3) Die Rechte der betroffenen Person auf Auskunft (Artikel 15), Berichtigung (Artikel 16), Löschung (Artikel 17), Einschränkung (Artikel 18), Datenübertragung (Artikel 20) oder Widerspruch (Artikel 21) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.“ Durch die Ergänzung um den neuen Absatz 3 wird verhindert, dass Verantwortliche ihre ökonomische Macht dazu missbrauchen, die zugunsten ihrer Datenverarbeitung die Rechte der betroffenen Person einzuschränken oder auszuschließen. Dadurch wird die Aufgabe der Datenschutz- Grundverordnung akzentuiert, die Grundrechte und Freiten der betroffenen Person zu schützen. Pflichten für Hersteller Da die Verantwortlichen ihre datenschutzrechtlichen Pflichten nach Art. 24ff. DSGVO in vielen Fällen nicht einhalten können, ohne dass die Hersteller von IT-Produkten und Programmen sie dabei unterstützen, ist es notwendig, für sie eigenständige datenschutzrechtliche Pflichten zu begründen und diese mit den Pflichten der Verantwortlichen zusammenzuführen. Hierzu schlägt die Datenschutzkonferenz vor, den Begriff der Hersteller im Rahmen von Art. 4 DSGVO in einer neuen Nr. 27 in Übereinstimmung mit dem Produkthaftungsrecht der Europäischen Union zu definieren und in Art. 24 DSGVO spezifische datenschutzrechtliche Pflichten des Herstellers zu begründen.458 Dieser Vorschlag wird im Folgenden übernommen. Danach sollte Art. 4 DSGVO um eine neue Nr. 27 ergänzt werden, die wie folgt lautet: „27. ‚Hersteller‘ den Hersteller im Sinne von Artikel 3 der Richtlinie 85/374/EWG des Rates vom 25. Juli 1985 zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte. Nr. 16 Buchstabe a gilt entsprechend. Soweit er über Zwecke und Mittel der Datenverarbeitung entscheidet, ist der Hersteller auch Verantwortlicher im Sinne der Nr. 7.“ 5.24 458 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f. 5 Regelungsvorschläge 132 Für Kapitel IV DSGVO sollte die Überschrift lauten: „Verantwortlicher und Auftragsverarbeiter, Hersteller“ und Art. 24 DSGVO die ergänzte Überschrift erhalten: „Verantwortung des für die Verarbeitung Verantwortlichen und des Herstellers“. Außerdem sollte Art. 24 DSGVO um einen neuen Abs. 4 ergänzt werden: „(4) Der Hersteller entwickelt und gestaltet seine Produkte, Dienste und Anwendungen unter Berücksichtigung des Rechts auf Datenschutz und des Standes der Technik so, dass er sicherstellt, dass Verantwortliche und Auftragsverarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen, ohne unzumutbare Änderungen an diesen Produkten, Diensten und Anwendungen vornehmen zu müssen. Er unterstützt sie bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30), bei der Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33) und bei der Benachrichtigung betroffener Personen (Art. 34), indem er ihnen auf Anfrage alle dazu notwendigen Informationen bereitstellt.“ Der Verweis der neuen Nr. 27 in Art. 4 DSGVO stellt sicher, dass im Datenschutzrecht der gleiche Begriff des Herstellers benutzt wird wie in der Produkthaftungsrichtlinie. Dadurch kann auch auf die Rechtsprechung und Literatur im Produkthaftungsrecht rekurriert werden und es entsteht eine klare Abgrenzung der Adressaten der Herstellerpflichten im Datenschutzrecht. Der neue Absatz in Art. 24 DSGVO stellt grundsätzlich klar, dass sich aus den Pflichten des Verantwortlichen, der Informationstechnik des Herstellers anwendet, originäre Unterstützungspflichten des Herstellers entstehen. Dadurch wird die Umsetzung der Pflichten des Verantwortlichen und der Durchsetzung des Grundrechts auf Datenschutz nach Art. 8 GRCh in der Praxis erst durchgängig ermöglicht. Auch werden die vielen Anwender der Informationstechnik in ihrer Rolle als Verantwortliche entlastet und der Aufwand dort verursacht, wo die Gestaltungskompetenz und damit auch die Erfüllungsverantwortung besteht. Diese Verpflichtung des Herstellers greift die Datenschutzkonferenz für den Fall, dass sie nicht erfüllt wird, in Änderungsvorschlägen zum Recht 5.24 Pflichten für Hersteller 133 auf wirksamen gerichtlichen Rechtsbehelf in Art. 79 DSGVO459 und in der Regelung zum Schadensersatz in Art. 82 DSGVO460 wieder auf. Der neue Abs. 4 verweist auf die Erfüllung aller Datenschutzpflichten des Verantwortlichen und der Auftragsverarbeiters, die durch den Hersteller ermöglicht werden muss. Dies gilt für alle Pflichten, auch für die Pflicht zur Umsetzung aller Rechte der betroffenen Person und insbesondere für die technikbezogenen Pflichten des Datenschutzes durch Systemgestaltung und durch Voreinstellungen nach Art. 25 DSGVO und der Gewährleistung ausreichender Sicherheitsmaßnahmen nach Art. 32 DSGVO. Datenschutz durch Systemgestaltung Auch wenn in Art. 24 Abs. 4 DSGVO-neu Hersteller als Adressaten der Pflicht zu einer datenschutzgerechten Systemgestaltung unbenannt mit gemeint sind, könnte ein rechtspolitisches Bedürfnis entstehen, in den Text des Art. 25 Abs. 1 DSGVO die Hersteller explizit als Adressaten mit aufzunehmen.461 Zu diesem Zweck und auch für den Fall, dass die vorgeschlagene Ergänzung des Art. 24 DSGVO um Abs. 4 nicht umgesetzt wird, wird im Folgenden eine Ergänzung des Art. 25 Abs. 1 DSGVO vorgeschlagen. Um bei der datenschutzgerechten Systemgestaltung die besonderen Risiken für Kinder gebührend zu berücksichtigen,462 sollte Art. 25 Abs. 1 DSGVO um die Beachtung dieses Umstands ergänzt werden: „(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen, insbesondere für Kinder, trifft der Verantwortliche und der Hersteller von Datenverarbeitungssystemen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den 5.25 459 S. hierzu Kap. 5.30. 460 S. hierzu Kap. 5.31. 461 S. Kap. 3.14.2 und 4.4. 462 S. Kap. 3.6. 5 Regelungsvorschläge 134 Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“ Die Ergänzung führt dazu, dass den Rechten und Freiheiten von Kindern im Kontext der Systemgestaltung besondere Beachtung garantiert wird. Dabei hat die Ergänzung im Wesentlichen eine klarstellende Funktion, die jedoch vor dem Hintergrund einer unzureichenden Berücksichtigung von Kindern bei der Systemgestaltung in der Vergangenheit notwendig wird. Weitere risiko- und anwendungsspezifische Konkretisierungen der Vorschrift sind notwendig und werden im Zusammenhang einer risikoorientierten Überarbeitung der Verordnung diskutiert.463 Datenschutz durch Voreinstellungen Um die Effektivität der Pflicht zu datenschutzfreundlichen Voreinstellungen nach Art. 25 Abs. 2 DSGVO zu erhöhen und die datenschutzunfreundlichen Gestaltungsmöglichkeiten von Verantwortlichen einzuschränken, soll, statt die Voreinstellung auf einen frei bestimmbaren Zweck hin auszurichten, gefordert werden, dass die Voreinstellung sich daran ausrichtet, welche Ausprägung der technischen Funktion notwendig ist, um die Hauptleistung für die betroffene Person zu erbringen.464 Hierfür ist ein neuer Satz 2 in den Normtext einzufügen. Die bisherigen Sätze 2 und 3 werden Sätze 3 und 4. Um bei der datenschutzfreundlichen Voreinstellung die besonderen Risiken für Kinder gebührend zu berücksichtigen,465 sollte Art. 25 Abs. 2 DSGVO außerdem in einem neuen Satz 5 um die Beachtung dieses Umstands ergänzt werden: „(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Zu berücksichtigen ist die Ausprägung des Verarbeitungszwecks, nach der so wenig personenbezogene Daten wie möglich verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene 5.26 463 S. Kap. 6.3.1. 464 S. Kap. 3.16. 465 S. Kap. 3.6. 5.26 Datenschutz durch Voreinstellungen 135 Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Die Voreinstellungen berücksichtigen insbesondere die Schutzbedürftigkeit von Kindern.“ Der neue Satz 2 hat zur Folge, dass neben dem Grundsatz der Datenminimierung (Satz 1) auch der Grundsatz der Datenvermeidung zu einem wesentlichen Faktor bei der Gestaltung und Auswahl von Voreinstellungen erhoben wird. Anknüpfungspunkt wird die funktionale Notwendigkeit einer bestimmten Voreinstellung beispielsweise zur Erfüllung einer vertraglich vereinbarten Leistung. Relevant wird damit neben der subjektiven Erforderlichkeit für den letztlich vom Verantwortlichen diktierten Zweck auch die objektive Erforderlichkeit. Die Ergänzung um einen neuen Satz 5 bewirkt ebenso wie die Ergänzung von Art. 25 Abs. 1 DSGVO durch die explizite Erwähnung der Schutzbedürftigkeit von Kindern im Normtext eine Stärkung der Rechte und Freiheiten von Kindern und hat gleichfalls klarstellende Wirkung. Informationspflichten bei gemeinsamer Verantwortlichkeit Um sicherzustellen, dass bei gemeinsamer Verantwortlichkeit für die Datenverarbeitung die lückenlose Information, die die gemeinsam Verantwortlichen der betroffenen Person bieten müssen, auch tatsächlich erbracht wird, sollte im Text des Art. 26 Abs. 1 Satz 2 DSGVO ausdrücklich festgehalten werden, dass die Verantwortlichen verpflichtet sind, ihre Informationen so abzustimmen, dass eine lückenlose Information der betroffenen Person gewährleistet ist: „(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, um eine lückenlose Information der betroffenen Person zu gewährleisten, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“ 5.27 5 Regelungsvorschläge 136 Durch die Ergänzung wird das Maß der Koordination der gemeinsam Verantwortlichen präzisiert: Sie müssen so zusammenarbeiten, dass durch ihre jeweiligen Informationen keine Informationslücken bei der betroffenen Person entstehen können. Außerdem wird sichergestellt, dass alle gemeinsam Verantwortlichen auch im Sinn des Art. 83 Abs. 5 lit. b DSGVO für die Erfüllung dieser Anforderung haften. Sie können bei unvollständiger Information oder bei Ausbleiben der Information effektiv sanktioniert werden. Berücksichtigung der Risiken eines Kindes in der Datenschutz- Folgenabschätzung Um bei jeder Datenschutz-Folgenabschätzung den Umstand gebührend zu berücksichtigen, dass personenbezogene Daten von Kindern verarbeitet werden, sollte Art. 35 Abs. 1 und 7 DSGVO um die Beachtung dieses Umstands ergänzt werden: „(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, insbesondere durch die Verarbeitung personenbezogener Daten eines Kindes, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“ (7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1, die in besonderer Weise berücksichtigt, wenn es sich um die personenbezogenen Daten eines Kindes handelt, und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der 5.28 5.28 Berücksichtigung der Risiken eines Kindes in der Datenschutz-Folgenabschätzung 137 Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener, insbesondere von Kindern, Rechnung getragen wird.“ Durch die Ergänzung werden die Vorschläge zur Ergänzung von Art. 21, 25 und 34 DSGVO konsequent fortgeführt und auch auf die Datenschutz- Folgenabschätzung erstreckt. Ziel ist auch hier eine Stärkung der Rechte und Freiheiten von Kindern, indem sichergestellt wird, dass diese durch die explizite Adressierung von Kindern im Normtext tatsächlich Beachtung des Verantwortlichen finden. Die Ergänzungen in Art. 35 DSGVO gehen indes über bloße Klarstellungen hinaus und etablieren konkrete Pflichten bei der Durchführung einer Datenschutz-Folgenabschätzung zur besonderen Berücksichtigung von Kindern, die sich sowohl auf die Risikoanalyse als auch auf die Festlegung von Schutzmaßnahmen erstrecken. Befugnisse der Aufsichtsbehörden gegenüber Herstellern Um auch gegenüber Herstellern die Einhaltung ihrer Pflichten durchsetzen zu können, benötigen die Aufsichtsbehörden Befugnisse, um ihnen gegenüber, die bisher nicht erwähnt werden, wirksame Maßnahmen anordnen zu können. Eine solche Regelung fehlt im Vorschlag der Datenschutzkonferenz.466 Daher wird im Folgenden die Intention der Datenschutzkonferenz vollendet und eine ihren Vorschlag ergänzende Formulierung empfohlen. Für diesen Zweck dürfte es ausreichen, in den Befugnisregelungen in Art. 58 Abs. 1 lit. a und d sowie Abs. 2 lit. a, b und d DSGVO die Hersteller mit aufzunehmen diese Regelungen wie folgt zu ergänzen: „(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, a) den Verantwortlichen, den Auftragsverarbeiter, und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters und den Hersteller anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, … 5.29 466 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f.; dagegen empfiehlt Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Evaluierung, 2019, 11, eine solche Regelung. 5 Regelungsvorschläge 138 d) den Verantwortlichen, oder den Auftragsverarbeiter oder den Hersteller auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, … (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, a) einen Verantwortlichen, oder einen Auftragsverarbeiter oder einen Hersteller zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, b) einen Verantwortlichen, oder einen Auftragsverarbeiter oder einen Hersteller zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat, d) den Verantwortlichen, oder den Auftragsverarbeiter oder den Hersteller anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, … .“ Diese Ergänzungen sind für eine effektive Durchsetzung der Pflichten des Herstellers nach Art. 24 und 25 DSGVO-neu467 erforderlich. Sie sind die notwendige Konsequenz einer ernst gemeinten Verpflichtung der Hersteller zur Erfüllung eigener datenschutzrechtlicher Pflichten. Andererseits dürften die fünf genannten Befugnisse aber auch ausreichen, um – zusammen mit einer Sanktionsmöglichkeit468 und den Handlungsmöglichkeiten der betroffenen Person469 – genügend Anreize für die Hersteller zur Erfüllung ihrer Pflichten zu setzen. Neue Aufgaben für den Europäischen Datenschutzausschuss Die bisher vorgeschlagenen Änderungen der Datenschutz-Grundverordnung begründen drei zusätzliche Aufgaben des Europäischen Datenschutzausschusses.470 Diese sollten in die Liste der Aufgaben des Ausschusses in Art. 70 Abs. 1 DSGVO mit aufgenommen werden. Hierbei können die Aufgaben zur Präzisierung der Pflicht zu einer datenschutzgerechten Systemgestaltung nach Art. 25 Abs. 1 DSGVO und der Pflicht zur datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO zu einer 5.30 467 S. Kap. 5.24 und 5.25. 468 S. Kap. 5.33. 469 S. Kap. 5.31 und 5.32. 470 S. Kap. 4.5. 5.30 Neue Aufgaben für den Europäischen Datenschutzausschuss 139 Aufgabe zusammengezogen werden. Im Text der Norm bieten sich Ergänzungen um einen Buchstaben ea und fa an: „(ea) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der interoperablen Formate für eine Übertragung von Daten gemäß Artikel 20 Absatz 1 und 2;“ „(fa) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren technik- und bereichsspezifischen Bestimmung der Pflicht zu Datenschutz durch Systemgestaltung gemäß Artikel 25 Absatz 1 und durch Voreinstellungen gemäß Artikel 25 Absatz 2;“ Diese Ergänzungen stellen Kohärenz innerhalb der Verordnung sicher und gewährleisten, dass der Ausschuss auch bezogen auf die vorgeschlagenen Änderungen zusätzliche Präzisierungen vornimmt und Empfehlungen zur konkreten Ausgestaltung abgibt. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Hersteller Um die Integration der Hersteller in die datenschutzrechtlichen Pflichten des Verantwortlichen und des Auftragsverarbeiters471 zu vollenden und in der Praxis wirksam werden zu lassen, schlägt die Datenschutzkonferenz vor, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf in Art. 79 DSGVO auf den Hersteller und seine Pflichten nach Art. 24 und 25 DSGVO neu zu erstrecken.472 Dieser Vorschlag wird im Folgenden übernommen. Hierzu sollte Art. 79 Abs. 2 DSGVO um die Einfügung des Herstellers als möglicher Gegner des Rechtsbehelfs ergänzt werden: „(2) Für Klagen gegen einen Verantwortlichen, oder gegen einen Auftragsverarbeiter oder gegen einen Hersteller sind die Gerichte des Mitgliedstaats zuständig, in dem der Hersteller, Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen, oder dem Auftragsverarbeiter 5.31 471 S. hierzu Kap. 5.24. 472 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f. 5 Regelungsvorschläge 140 oder dem Hersteller um eine Behörde eines Mitgliedstaats, die in Aus- übung ihrer hoheitlichen Befugnisse tätig geworden ist.“ Diese Ergänzungen in Art. 79 Abs. 2 DSGVO bewirken, dass die betroffene Person die Erfüllung datenschutzrechtlicher Pflichten auch vom Hersteller gerichtlich einfordern kann. Sie wird sich im Regelfall zuerst an den Verantwortlichen oder den Auftragsverarbeiter wenden. Wenn diese sich nicht in Lage sehen, die berechtigte Forderung der betroffenen Person zu erfüllen, weil ihnen dies technisch unmöglich ist, so kann die betroffene Person die datenschutzgerechte Systemgestaltung nach Art. 25 Abs. 1 DSGVO-neu473 oder eine sonstige Unterstützungsleistung nach Art. 24 Abs. 4 DSGVO-neu474 vom Hersteller gerichtlich einfordern. Diese Möglichkeit wird die effektive Durchsetzung des Datenschutzrechts erheblich unterstützen. Recht auf Schadensersatz gegen Hersteller Die Datenschutzkonferenz schlägt außerdem vor, die Regelungen zur Haftung und zum Schadensersatz in Art. 82 DSGVO auf den Hersteller und seine Pflichten nach Art. 24 und 25 DSGVO-neu zu erstrecken.475 Sie will damit erreichen, dass die Integration der Hersteller in die datenschutzrechtlichen Pflichten des Verantwortlichen und des Auftragsverarbeiters476 gelingt und in der Praxis wirksam umgesetzt werden kann. Dieser Vorschlag wird im Folgenden übernommen. Hierzu sollte Art. 82 DSGVO um einen zusätzlichen Absatz 7 ergänzt werden: „(7) Beruht der Schaden ganz oder teilweise auf Handlungen oder Versäumnissen des Herstellers, so haftet dieser gegenüber der betroffenen Person neben dem Verantwortlichen oder Auftragsverarbeiter. Er haftet auch gegenüber dem Verantwortlichen und dem Auftragsverarbeiter.“ Dieser zusätzliche Absatz bewirkt, dass eine betroffene Person, die durch eine Verletzung der datenschutzrechtlichen Pflichten des Herstellers nach Art. 24 Abs. 4 und 25 Abs. 1 DSGVO-neu477 einen Schaden erlitten hat, 5.32 473 S. Kap. 5.25. 474 S. Kap. 5.24. 475 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f. 476 S. hierzu Kap. 5.24. 477 S. Kap. 5.24 und 5.25. 5.32 Recht auf Schadensersatz gegen Hersteller 141 diesen auch gegenüber dem Hersteller geltend machen kann. Dies sorgt nicht nur für einen gerechten Ausgleich zwischen Schadensverursachung und Schadensausgleich, sondern trägt dazu bei, dass Hersteller ihre datenschutzrechtlichen Pflichten auch tatsächlich erfüllen. Der Haftungstatbestand erzeugt bei den Herstellern einen zusätzlichen Anreiz zur Erfüllung der datenschutzrechtlichen Pflichten. Der zusätzliche Absatz bewirkt auch einen Gleichklang zwischen Datenschutz- und Produkthaftungsrecht. Sanktionsverfahren Um Sanktionen auch gegenüber Herstellern, die ihre hier neu vorgeschlagenen datenschutzrechtlichen Pflichten478 missachten, verhängen zu können, sind ergänzende Regelungen in der Sanktionsnorm der Datenschutz- Grundverordnung erforderlich. Eine solche Regelung fehlt im Vorschlag der Datenschutzkonferenz.479 Daher wird im Folgenden die Intention der Datenschutzkonferenz vollendet und eine ihren Vorschlag ergänzende Formulierung empfohlen, um Sanktionen auch gegenüber Herstellern anordnen zu können. Zu diesem Zweck sollte Art. 83 Abs. 2 DSGVO in lit. c, d, e und h wie folgt ergänzt werden. „c) jegliche von dem Verantwortlichen, oder dem Auftragsverarbeiter oder dem Hersteller getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen, oder des Auftragsverarbeiters oder des Herstellers unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen, oder des Auftragsverarbeiters oder des Herstellers; … h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche, oder der Auftragsverarbeiter oder der Hersteller den Verstoß mitgeteilt hat;“ 5.33 478 S. Kap. 5.24 und 5.25. 479 Datenschutzkonferenz, Erfahrungsbericht, 2019, 16 f. 5 Regelungsvorschläge 142 Aus dem gleichen Grund ist Abs. 3 des Art. 83 DSGVO wie folgt zu ergänzen: „(3) Verstößt ein Verantwortlicher, oder ein Auftragsverarbeiter oder der Hersteller bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.;“ Schließlich ist die eigentliche Sanktionsdrohung in Art. 83 Abs. 4 lit a DSGVO aufzunehmen. Diese Regelung sollte auch den Verweis auf die spezifische Herstellerpflicht in Art. 24 Abs. 4 DSGVO-neu enthalten. „a) die Pflichten der Verantwortlichen, und der Auftragsverarbeiter und der Hersteller gemäß den Artikeln 8, 11, 24 Absatz 4, 25 bis 39, 42 und 43;“ Diese zusätzlichen Regelungen bewirken, dass die Aufsichtsbehörden die spezifischen datenschutzrechtlichen Pflichten des Herstellers nach Art. 24 und 25 DSGVO-neu480 wirksam durchsetzen können. Erst die Sanktionsdrohungen des Art. 83 DSGVO enthalten die notwendigen Handlungsanreize für die Adressaten, ihren Pflichten auch gegen ökonomische Anreize, es nicht zu tun, nachzukommen. Insbesondere die Regelung des Art. 83 Abs. 6 DSGVO ermöglicht den Aufsichtsbehörden, ihren neuen Anordnungsmöglichkeiten nach Art. 58 DSGVO-neu481 auch gegenüber Herstellern den notwendigen Nachdruck zu verleihen. Um den Vollzug der Datenschutz-Grundverordnung zu unterstützen, um Transparenz über das Behördenhandeln herzustellen und um für eine angeglichene Praxis der Verhängung von Geldbußen beizutragen, sollten die Aufsichtsbehörden eine halbjährliche Statistik zu diesen Verfahren ver- öffentlichen. Hierzu sollte Art. 83 DSGVO um einen zusätzlichen Absatz 10 ergänzt werden: „(10) Jede Aufsichtsbehörde veröffentlicht einen Monat nach Ablauf jedes Halbjahres eine Statistik über die nach dieser Vorschrift durchgeführten Verfahren.“ Dieser zusätzliche Absatz bewirkt eine erhebliche Transparenzsteigerung. Einerseits kann sich der Verbraucher von der effektiven Durchsetzung des Datenschutzrechts überzeugen, andererseits kann ein Verantwortlicher 480 S. Kap. 5.24 und 5.25. 481 S. Kap. 5.24 und 5.29. 5.33 Sanktionsverfahren 143 besser antizipieren, wie der äußerst breite Bußgeldrahmen der Datenschutz-Grundverordnung in der Praxis angewendet wird. 5 Regelungsvorschläge 144 Fortentwicklung des Datenschutzrechts Für viele Regelungen der Datenschutz-Grundverordnung musste festgestellt werden, dass sie den gegenwärtigen Herausforderungen des Datenschutzes nicht gerecht werden, dass diese Defizite aber nicht durch kleine Wortlautänderungen behoben werden können. Vielmehr erfordern diese Defizite grundsätzliche Diskussionen der hinter ihnen stehenden Regelungskonzepte. Daher werden in diesem Kapitel wichtige Fragen dieser Regelungsaspekte aus Sicht des Verbraucherschutzes diskutiert. Im ersten Schritt werden wichtige Herausforderungen des Datenschutzes heute und morgen angesprochen, denen das Datenschutzrecht gerecht werden muss. Im zweiten Schritt werden konzeptionelle Mängel der Datenschutz- Grundverordnung angesprochen, die verhindern, dass sie den Herausforderungen gerecht werden kann, und diskutiert, welche konzeptionellen Ansätze stattdessen verfolgt werden sollten. Im darauffolgenden Kapitel wird dann erörtert, auf welchen Wegen die notwendige Modernisierung des Datenschutzrechts in der Europäischen Union und in der Bundesrepublik Deutschland erreicht werden könnte.482 Datenschutz in der Welt von heute Die gegenwärtige Datenschutz-Governance zeichnet sich durch eine Ko- Regulierung durch die Europäische Union und die Mitgliedstaaten aus, die aus den zahlreichen Öffnungsklauseln und Regelungsaufträgen der Datenschutz-Grundverordnung folgt. Darüber hinaus finden sich in der Datenschutz-Grundverordnung weite Erlaubnistatbestände mit hoher Selbstbestimmung der Verantwortlichen. Zahlreiche Defizite gibt es bei der Information der Verbraucher sowie bei der Einwilligung und den anderen Erlaubnistatbeständen.483 Auch die Reichweite der Betroffenenrechte ist vielfach unklar, zumal diese stark einschränkbar sind. Die technikneutralen Regelungen der Datenschutz-Grundverordnung schlagen in eine Risikoneutralität um, die den Risiken und der Komplexität moderner Datenverarbeitung in allen Wirtschafts-, Gesellschafts- und Verwaltungsberei- 6 6.1 482 S. Kap. 7. 483 S. Kap. 3.4 bis 3.9. 145 chen nicht gerecht wird.484 Die Aufsichtsbehörden wurden indes zwar mit neuen Aufgaben versehen,485 gleichzeitig sind sie in ihrer Aufgabenwahrnehmung aber durch unzureichende finanzielle wie personelle Ausstattungen behindert. Die aufwandsreichen Abstimmungsverfahren unter den Aufsichtsbehörden, die die Verordnung vorsieht, dürften zwar mittel- und langfristig zu einer größeren Harmonisierung führen, sind aber zunächst eine zusätzliche Belastung für die Aufsichtsbehörden.486 Der Erfolg zahlreicher Innovationen der Datenschutz-Grundverordnung ist an hohe Anforderungen an ihre Umsetzung gekoppelt, die weder in der Datenschutz- Grundverordnung geregelt noch in der politischen Umsetzung gesichert sind.487 Gerade besonders populäre Dienstleistungen des digitalen Zeitalters werden heute ohne monetäre Gegenleistung angeboten und stattdessen durch die Preisgabe personenbezogener Daten durch die Nutzer entlohnt.488 Diese Daten stellen das eigentliche Produkt dar; die Finanzierung der Dienstleistung erfolgt durch Leistungen Dritter, die beispielsweise personalisierte Werbung schalten lassen. Die Verarbeitung dieser Daten verspricht mitunter enorme Gewinne und löst so Begehrlichkeiten aus. Diese Verarbeitung kann Grundlage sein, um umfassende Profile zu erstellen, und ermöglicht so eine personalisierte Ansprache des Verbrauchers. Diese ist zwar insofern zu dessen Vorteil, als sie auf dessen (vermeintliche) Bedürfnisse zugeschnitten ist, wirkt aber verhaltensbestimmend und schränkt durch ihre algorithmenbasierte Vorauswahl die autonome Willensbildung des Verbrauchers ein. Sie kann sich sogar unmittelbar ins Negative kehren, wenn der Verantwortliche etwa bestimmte Eigenschaften des Verbrauchers zu dessen Manipulation ausnutzt. Die Datenschutz-Grundverordnung war mit dem Ziel angetreten, eine umfassende Modernisierung und Harmonisierung des europäischen Datenschutzes zu bewirken, gleichzeitig aber auch positive ökonomische Effekte im europäischen Binnenmarkt mit einem verbesserten Grundrechtsschutz natürlicher Personen zu verbinden.489 Der Modernisierungsbedarf des Datenschutzrechts ergab sich aus zahlreichen technischen Entwicklungen, die letztlich zur Entstehung neuer Datenquellen sowie neuer Mög- 484 S. näher Kap. 6.3.1. 485 S. hierzu näher Roßnagel, Datenschutzaufsicht, 2017. 486 S. Datenschutzkonferenz, Erfahrungsbericht, 2019, 21ff. 487 S. die Beiträge in DuD 8/2019. 488 Kugelmann, DuD 2016, 566. 489 So die Erwägungsgründe 1, 2, 4, 5, 6, 7, 10 und 13 DSGVO. 6 Fortentwicklung des Datenschutzrechts 146 lichkeiten der Vernetzung dieser Datenquellen und damit zu einer sowohl quantitativen wie auch qualitativen Zunahme der Verarbeitung personenbezogener Daten führte. Die so gewonnenen Daten können bei immer weiter steigender Rechenleistung und ständig verbesserten Analyseverfahren trotz immenser Datenmassen auch immer besser und schneller zusammengeführt und ausgewertet werden.490 Diese Entwicklung ist dabei keineswegs abgeschlossen, sondern stellt das Datenschutzrecht vor weiterhin ungelöste Herausforderungen. Als Schlagworte seien hier Smart Car,491 Smart Health,492 Smart Home,493 Smarte Assistenten494 und Robotik495 sowie als Oberbegriffe Ubiquitous Computing, Internet of Things, Artificial Intelligence und Big Data genannt. Die Techniken bereiten den Weg für einen immer stärker informatisierten Alltag,496 in dem Erkenntnisse über die betroffene Person nicht nur aus den von dieser direkt eingegebenen Informationen (etwa in einem Social Network) abgeleitet werden, sondern gerade auch aus einer immer weiter verbreiteten Beobachtung des Verhaltens der Person im alltäglichen Leben – auch in privaten Räumen. Diese Erkenntnisse können dann in Form von Profilen und algorithmenbasierten Einordnungsverfahren für die Bewertung von Verbrauchern sowie etwa in Form von Microtargeting für die Verhaltensbeeinflussung zum Zweck der Werbung für Dienstleistungen und Produkte, der Wahlinformation und vieler anderer Zwecke genutzt werden. Sind bereits mit Blick auf aktuelle Datenverarbeitungen zahlreiche datenschutzrechtliche Probleme ungelöst, so kündigen sich durch die dargestellte technische Entwicklung der Verarbeitung personenbezogener Daten und die diese ausnutzenden Geschäftsmodelle bereits neue Problemfelder an. Besondere Herausforderungen für das Recht stellen „intelligente“ Systeme dar, die auf Basis einer umfänglichen Sensorik algorithmenbasierter Verfahren perspektivisch eine umfassende Unterstützung des Verbrauchers in allen Lebenslagen in Aussicht stellen. Das System kann dann als Erweiterung des menschlichen Gedächtnisses fungieren und einfache Aufgaben 490 S. zu den Herausforderungen von Big Data für das Recht z.B. Hoffmann-Riem, 2018. 491 S. hierzu umfassend Roßnagel/Hornung, 2019. 492 S. z.B. Jandt, DuD 2016, 571; Dochow, 2017. 493 S. z.B. Skistims, 2016; Geminn, DuD 2016, 575. 494 S. z.B. Thies/Knote u.a., in: Roßnagel/Friedewald/Hansen, 2018, 175; Knote u.a., Informatik Spektrum, 2020, 118ff.; Thies/Knote/Jandt/Söllner, DuD 2020, Heft 9, i.E.; Steidle, 2005. 495 S. z.B. Keßler, MMR 2017, 589. 496 S. Roßnagel, 2007. 6.1 Datenschutz in der Welt von heute 147 des Alltags ganz übernehmen, gleichzeitig aber auch bei komplexen Tätigkeiten Hilfestellung geben. Gegenüber den immensen Vorteilen solcher Systeme treten die Nachteile durch die zugrundeliegende Verarbeitung personenbezogener Daten in der Wahrnehmung des Verbrauchers in den Hintergrund. Datenschutzherausforderungen in der Welt von morgen Die Entwicklung von Techniken, die für die Verarbeitung und Nutzung von Verbraucherdaten genutzt werden können, und die Entwicklung von Geschäftsideen, diese Techniken für die Erfassung und Beeinflussung von Verbraucherverhalten einzusetzen, werden viele weitere und derzeit noch unbekannte Herausforderungen für den Verbraucherdatenschutz hervorrufen. Diese sind sehr schwer vorherzusehen. Wichtig ist daher, dass das Datenschutzrecht so konzipiert ist, praktiziert wird und angepasst werden kann, dass es mit all diesen Herausforderungen konstruktiv umgehen kann. Dies wird im Folgenden bei der Konzipierung von Entwicklungsideen zum Datenschutzrecht berücksichtigt. Eine Entwicklung ist aber im Kontext von Big Data und Künstlicher Intelligenz bereits heute schon gut absehbar: Die immer stärkere Auswertung der explodierenden Mengen an personenbezogenen Daten der Verbraucher in Form ihrer Quantifizierung und Verwendung in Maßnahmen der Verhaltensbeeinflussung und menschlichen oder automatisierten algorithmenbasierten Entscheidungsverfahren. Der Verbraucher der Zukunft wird jederzeit von digitalen Infrastrukturen umgeben sein und durch alle seine Handlungen in diesen Strukturen Datenspuren hinterlassen, die zur Ausbeutung durch Anbieter und Dritte zur Verfügung stehen. Diese legen auf der Basis algorithmenbasierter Datenverarbeitungssysteme von ihren Nutzern Profile an, schließen aus den erfassten Merkmalen auf Eigenschaften dieser Personen und übertragen diese statistisch erwiesenen Eigenschaften auf alle, die diese Merkmale aufweisen. Daher sind alle in der Statistik gefangen – auch wenn sie sich ihr entziehen wollen.497 Sie sind unentrinnbar Teil einer anonymen Vergemeinschaftung498 durch algorithmenbasierte Systeme. Beispielsweise verhindert dann in einer digitalisierten Verkehrsinfrastruktur auch die Nutzung eines unvernetzten Fahrzeugs nicht die Erfassung durch diese smarte 6.2 497 S. hierzu Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 365ff. 498 S. zu dieser z.B. Hubig, in: Roßnagel/Sommerlatte/Winand, 2008, 165ff. 6 Fortentwicklung des Datenschutzrechts 148 Infrastruktur und die Erfassung aller anderen, vernetzten Verkehrsteilnehmer. Auch durch bewusste Technikaskese kann der einzelne es nicht vermeiden, etwa von automatisierter Entscheidungsfindung betroffen zu sein. Dies schließt ein, Ziel von Prognosen, Verhaltensbeeinflussungen und algorithmenbasierten Entscheidungen zu sein, die auf diesen Statistiken beruhen.499 Das Konzept von Einwilligung und individueller Selbstbestimmung wird dadurch grundsätzlich infrage gestellt. Der Einzelne verliert die Kontrolle darüber, „wer was wann und bei welcher Gelegenheit“ über ihn weiß.500 Die Statistik wirkt auch gegenüber dem, der nicht an ihrem Zustandekommen durch Datenpreisgabe mitgewirkt hat. Statistiken, wie sie zur Mustererkennung bei Big Data-Analysen oder beim Lernen von algorithmenbasierten Systemen eingesetzt werden, wirken normbildend und verhaltensbestimmend. Sie korrelieren Verhaltensmerkmale und beschreiben „normales“ und „abweichendes“ Verhalten. Wenn an diese Muster oder Modelle positive und negative menschliche oder automatisierte Entscheidungen anknüpfen, werden sich die Menschen diesen Mustern und Modellen anpassen, um in den Genuss der positiven Wirkungen zu gelangen und negative zu vermeiden. Durch sie unterliegt jeder der „Normativität der Normalität“.501 Wer nicht auffallen oder bestimmte algorithmenbasiert getroffene Entscheidungen beeinflussen will, akzeptiert die erwartete Normalität als Verhaltensnorm. Verhaltensmuster und -modelle können durch diese Normbildung indirekt, aber wirkungsvoll die Wahrnehmung von Grundrechten beeinflussen. Die anonymen Muster wirken auf diese Weise genauso negativ auf die Persönlichkeitsentfaltung des Einzelnen und die freie Kommunikation und Willensbildung in der Gesellschaft insgesamt ein, wie dies das Bundesverfassungsgericht bereits im Volkszählungsurteil als Auswirkungen personenbezogener Überwachung festgestellt hat.502 Vorschläge zur Fortentwicklung des Datenschutzes Im Folgenden werden Ansätze zur Weiterentwicklung des Datenschutzes angesprochen, die sich nicht auf einzelne Regelungen der Datenschutz- 6.3 499 S. Roßnagel, ZD 2013, 562 (566); Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 365ff. 500 BVerfGE 65, 1 (43). 501 Weichert, ZD 2013, 251 (258); Roßnagel, ZD 2013, 562 (566). 502 BVerfGE 65, 1 (43). 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 149 Grundverordnung, sondern auf Regelungskonzepte beziehen, die ihr zu Grunde liegen oder die sie verfolgen sollte, um den absehbaren Herausforderungen in der Zukunft gerecht werden zu können. Hierzu werden aus Verbrauchersicht die Möglichkeiten einer risikoadäquaten Weiterentwicklung des geltenden Datenschutzrechts sowohl auf Ebene der Europäischen Union als auch auf Ebene der Mitgliedstaaten beleuchtet und konzeptionelle Beiträge unterbreitet, um die notwendige Diskussion zu einer risikoorientierten Modernisierung des Datenschutzrechts anzuregen (6.3.1). Weiterhin wird geprüft, wie konzeptionell die Stellung der Verbraucher gestärkt (6.3.2) und ihre Überforderung verhindert werden kann (6.3.3). Da durch moderne Datenverarbeitungssysteme auch dritte Verbraucher, die nicht selbst betroffene Personen sind, beeinträchtigt sein können, erstreckt sich die Prüfung auch auf die Frage, wie sich diese Beeinträchtigungen bewerten und steuern lassen (6.3.4). Schließlich folgen konzeptionelle Überlegungen, wie das Recht die Datenschutzprinzipien stärken kann (6.3.5). Risikoadäquate Weiterentwicklung oder Ergänzung des Datenschutzrechts Ein wesentlicher Schwachpunkt der Datenschutz-Grundverordnung ist ihre zu weitgehende Risikoneutralität. Sie beachtet zwar Risiken der Datenverarbeitung, um die Belastungen der Verantwortlichen zu reduzieren.503 Risikobetrachtungen finden jedoch nicht statt, wenn es um den Schutz von Grundrechten und Freiheiten der betroffenen Person geht. Der Datenschutz-Grundverordnung fehlen risikoadäquate Differenzierungen der Datenschutzgrundsätze, der Zulässigkeit der Datenverarbeitung und der Betroffenenrechte. Auch wo die Datenverarbeitung sehr unterschiedliche Grundrechtsrisiken verursacht, finden die gleichen abstrakten Regelungen Anwendung – etwa für die wenig riskante Kundenliste eines Handwerkers ebenso wie für die um Potenzen risikoreicheren Datenverarbeitungsformen des Internet der Dinge, von Big Data, Cloud Computing und 6.3.1 503 Vor allem in ihrem Kapitel IV stellt die DSGVO die Pflichten der Verantwortlichen unter Risikovorbehalt – s. z.B. Art. 24, 25, 30, 32, 33, 34, 35, 36 und 37 DSGVO – mit der Folge, dass in der Praxis diese Pflichten nur für einen Bruchteil der Verantwortlichen tatsächlich wirksam werden – s. hierzu auch Albrecht, CR 2016, 88 (94); Roßnagel, DuD 2016, 561 (565); Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 375 f. 6 Fortentwicklung des Datenschutzrechts 150 datengetriebenen Geschäftsmodellen. Die Datenschutzpraxis berichtet: „Gerade kleinere Wirtschaftsakteure und insbesondere Vereine übten dahingehend Kritik, dass sie von den Anforderungen der Datenschutz- Grundverordnung in gleicher Weise berührt sind wie datenhungrige Großkonzerne und Soziale Netzwerke.“504 Gerade diese ungerechtfertigte Risikoneutralität ist es, die erhebliche Akzeptanzprobleme der Datenschutz-Grundverordnung auf Seiten der Bevölkerung in Europa – und damit Skepsis gegenüber Politik und Rechtsetzung der Europäischen Union insgesamt – hervorzurufen droht. Der Grund für diese Risikoneutralität ist, dass die Datenschutz-Grundverordnung einer übertriebenen Ausprägung des Grundsatzes der Technikneutralität folgt. Dieser Grundsatz soll im Prinzip das Risiko einer Umgehung rechtlicher Vorschriften minimieren, indem die Datenschutzregelungen „nicht von den verwendeten Techniken abhängen“.505 Richtig verstanden ist eine technikneutrale Regelung dann sinnvoll, wenn sie verhindern soll, dass rechtliche Vorschriften technische Weiterentwicklungen ausschließen. Sie ist daher so zu fassen, dass die rechtlichen Vorgaben auch auf weiterentwickelte Techniken anwendbar sind.506 Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezifischen Technikanwendung zu treffen. Dies darf aber nicht verhindern, Vorgaben für bestimmte technische Funktionen vorzusehen – insbesondere, wenn eine bestimmte Funktion – wie z.B. Tracking, Gesichtserkennung, Profilbildung oder Scoring – besondere Risiken für Grundrechte verursacht. Denn in einer technikgeprägten Welt kann Grundrechtsschutz nicht erfolgen, wenn nicht auch Risiken durch Technik aufgegriffen und durch die Regulierung technischer Funktionen gesteuert werden. Solche Funktionen können risikospezifisch und datenschutzgerecht reguliert werden, ohne dass im Regelfall die rechtliche Anforderung durch die Weiterentwicklung einer Technik überholt oder nicht anwendbar wird.507 Zwar benennt die Datenschutz-Grundverordnung in den Erwägungsgründen 6 und 101 abstrakt die in Kapitel 6.1 geschilderten Herausforderungen, die technischer Fortschritt und Globalisierung für das Datenschutzrecht bedeuten. Sie greift jedoch keine einzige Technikfunktion auf, deren Datenschutzrisiken – wie etwa bei Big Data, Cloud Computing, Internet der Dinge und künstlicher Intelligenz – bereits heute intensiv ge- 504 S. Unabhängiges Datenschutzzentrum Saarland, 2019, 15. 505 S. Erwägungsgrund 15 Satz 1 DSGVO. 506 S. grundsätzlich Roßnagel, in: Eifert/Hoffmann-Riem, 2009, 323ff. 507 S. hierzu weiter unten in diesem Unterkapitel. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 151 nutzt oder diskutiert werden und die auch noch bei veränderten technischen Merkmalen in vielen Jahren ein Problem für den Datenschutz darstellen.508 Damit überspannt sie das Konzept der Technikneutralität und wird im Ergebnis risikoneutral. Ziel der Europäischen Kommission war es, in ihrem Entwurf der Datenschutz-Grundverordnung einen besonders zukunftsoffenen Datenschutzrahmen zu schaffen.509 Damit bleibt sie aber auch bei den Bedingungen für die Zulässigkeit der Verarbeitung personenbezogener Daten, der Voraussetzungen und Folgen der Betroffenenrechte und der Konkretisierung der Datenschutzprinzipien bei höchst abstrakten Vorgaben. Die Praxis zeigt, dass „der dem Vollharmonisierungsanspruch und der technikneutralen Ausgestaltung geschuldete hohe Abstraktionsgrad einzelner Regelungen der Verordnung… eine Bandbreite an Deutungsmöglichkeiten bietet und dem Anwender die Umsetzung der Vorgaben erschwert“.510 Datenverarbeitungen zu verhindern, die unzumutbare Risiken verursachen, ist nicht das Ziel der Verordnung. Sie knüpft an keiner Stelle die Zulässigkeit besonders riskanter Funktionen der Datenverarbeitung an das Fehlen bestimmter Grundrechtsrisiken oder macht sie von der Bewältigung dieser Risiken abhängig. Doch nur durch die Berücksichtigung typischer Risiken bestimmter Datenverarbeitungsformen im Verordnungstext kann die notwendige Rechtssicherheit und Interessengerechtigkeit erreicht werden. Die Konkretisierung der hochabstrakten Vorgaben für die unendliche Vielfalt von einzelnen Diensten und Anwendungen in allen Gesellschafts-, Wirtschafts- und Verwaltungsbereichen sollte – vom theoretischen Konzept her – den Gerichten, den mitgliedstaatlichen Aufsichtsbehörden und dem Europäischen Datenschutzausschuss überlassen bleiben.511 In der Praxis bleiben im ersten Zugriff diese Konkretisierungen jedoch den Verantwortlichen überlassen.512 Sie nutzen die Abstraktheit der Vorgaben, um sie nach ihren Interessen zu praktizieren. So berichten Aufsichtsbehörden: „Ab dem ersten Geltungstag der Datenschutz-Grundverordnung taten eini- 508 Dies ist für Social Networks in Art. 20 DSGVO und für algorithmenbasierte Entscheidungsverfahren in Art. 22 DSGVO allenfalls in abstrakten Ansätzen der Fall. S. zur Kritik an diesen beiden Vorschriften Kap. 3.10 und 3.11. 509 „Es sollte … nicht versucht werden, jede Frage, die den Datenschutz in Europa in den nächsten 20 Jahren beschäftigen könnte, bereits heute im Detail regeln zu wollen“, Reding, ZD 2012, 195 (198). 510 Unabhängiges Datenschutzzentrum Saarland, 2019, 16. 511 Reding, ZD 2012, 195 (198). 512 Hierauf besteht auch die Europäische Kommission, Commission Staff Working Document, 15 f. 6 Fortentwicklung des Datenschutzrechts 152 ge große außereuropäische Anbieter so, als wäre nun der Datenschutz viel laxer zu handhaben. Gerichtliche Untersagungen gegen eine invasive Datenverarbeitung wurden nicht mehr als bindend angesehen, da das neue Datenschutzrecht die entsprechende Verarbeitung angeblich erlauben würde.“513 Die betroffenen Personen, die damit nicht einverstanden sind, müssen sich bei den Aufsichtsbehörden beschweren oder den Gerichtsweg beschreiten. Die Aufsichtsbehörden können im Einzelfall prüfen und notfalls – nach Abstimmung mit anderen Aufsichtsbehörden – eingreifen. Sie sind aber durch die vielen anderen Aufgaben, die ihnen Art. 57 und 70 DSGVO stellen, angesichts ihrer zu geringen Ressourcen überfordert.514 Endgültig verbindliche Aussagen zur Auslegung der Datenschutz- Grundverordnung kann jedoch nur der Europäische Gerichtshof treffen. Dieser ist wiederum auf die Vorlage bestimmter Fragen und Themen durch die mitgliedstaatlichen Gerichte angewiesen. Problematisch ist auch die Dauer von Verfahren, bis sie zum Europäischen Gerichtshof gelangen und bis sie von diesem entschieden sind. Wegen der dynamischen Entwicklung der Informationstechnik und ihrer Anwendungen sind die dem Streitgegenstand zugrundeliegenden Datenschutzprobleme oft nicht mehr aktuell, bis durch die Entscheidung des Europäischen Gerichtshofs eine gesicherte Rechtsprechung zu entstehen beginnt. Eine praktikable Lösung, um das Ziel zu erreichen, die vielen Vorgaben der Datenschutz-Grundverordnung zu konkretisieren und die zahlreichen offenen Fragen zu beantworten, die sie verursacht, ist dies nicht.515 Bis zur abschließenden Klärung einzelner Fragen durch den Europäischen Gerichtshof lädt die Datenschutz-Grundverordnung zu interessengeleiteten Interpretationen und Meinungsstreitigkeiten geradezu ein. Die Machtasymmetrie zwischen gro- ßen datenverarbeitenden Unternehmen und Verbrauchern führt vor diesem Hintergrund zu einer Schlechterstellung der Verbraucher.516 Technikneutralität ist zur Regelung komplexer Sachverhalte ein unverzichtbares Instrument, sofern die Regelung einzelner technischer Ausprägungen vermieden wird.517 Zum Problem wird sie dort, wo auch einzelne technische Funktionen nicht risikospezifisch adressiert werden.518 Letzterem verweigert sich die Datenschutz-Grundverordnung aber, soweit es um 513 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2019, 9. 514 S. Kap. 3.15. 515 Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 376. 516 Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 376 f. 517 S. Roßnagel, in: Eifert/Hoffmann-Riem, 2009, 323ff. 518 S. hierzu umfassend Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 374ff. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 153 den Schutz der betroffenen Person geht – zu Unrecht. Diese Form der Regulierung wird den eigenen Zielsetzungen der Verordnung nicht gerecht, die betroffenen Personen vor den Bedrohungen, die sich durch den Einsatz moderner Technik für ihre Grundrechte und Freiheiten manifestieren, zu schützen. Dies zeigt sich exemplarisch bei den neuen Anforderungen wie der Pflicht zum Datenschutz durch Systemgestaltung und durch Voreinstellungen. Diese Vorgaben sind in ihrer Abstraktheit nicht in der Lage, die Entwicklung und den Einsatz der Techniksysteme und Geschäftsmodelle datenschutzgerecht zu steuern.519 Dabei sind technik- und bereichsspezifische Regelungen zum Datenschutz in der Union möglich, die gerade nicht der in der Datenschutz- Grundverordnung verfolgten spezifischen Ausprägung von Technikneutralität folgen. Ein bereits existierendes Beispiel hierfür ist Art. 6 eCall-Verordnung (EU) 2015/758520, der Datenschutzanforderungen beim automatisierten Notruf in Kraftfahrzeugen regelt. Auch die geplante ePrivacy-Verordnung fällt in die Kategorie bereichsspezifischer risikoadäquater Regulierung.521 Risikospezifische Regelungen, bei denen sich der Gesetzgeber mit den besonderen Risiken bestimmter Technikanwendungen und Geschäftsmodelle auseinandersetzt, sind im Datenschutzrecht zum Schutz der Grundrechte und Freiheiten der betroffenen Personen unabdingbar. Beispiele für solche risikoadäquaten, aber dennoch technikneutralen Regelungen, die überwiegend den Ansatz eines Datenschutzes durch Systemgestaltung verfolgen und als Konkretisierung von Art. 25 DSGVO angesehen werden können, könnten sein:522 – Riskante Datenverarbeitung darf nur zulässig sein, wenn geeignete Schutzvorkehrungen getroffen sind. Deren Eignung ist permanent nachzuweisen. – Profile sind nur zulässig, wenn sie für den objektiven Zweck einer zulässigen datenvermeidenden Anwendung erforderlich sind. – Vorsorgemaßnahmen müssen Risiken reduzieren und potenzielle Schäden begrenzen – auch bei anonymen Daten, die künftig noch einen Personenbezug erhalten können. 519 S. Kap. 3.13 und 3.14. 520 EU ABl. L 123 vom 19.5.2015, 77. 521 S. im Kommissionsentwurf die Art. 8, 10, 12 und 16; KOM(2017) 10 endg. 522 Beispiele überwiegend entnommen aus Roßnagel, in: Roßnagel/Friedewald/ Hansen, 2018, 361 (377 f.). Zu weiteren Beispielen für den Datenschutz in der öffentlichen Verwaltung und im Beschäftigtenkontext s. Roßnagel, DuD 2017, 290 (293 f.). 6 Fortentwicklung des Datenschutzrechts 154 – Neben den Datenverarbeitern sind auch die Hersteller von Informationstechnik dafür in die Pflicht zu nehmen, dass sie diese datenschutzgerecht gestalten und voreinstellen. – Anforderungen an die transparente, datenvermeidende und missbrauchsresistente Gestaltung des Systems (Vermeidung von Profilen) und deren datenärmste Konfigurierung werden bereichsspezifisch konkretisiert. – Anforderungen an die Architektur der Datenverarbeitung müssen so gestaltet werden, dass die personenbezogenen Daten prinzipiell im Bereich der betroffenen Person selbst verbleiben und nur anonymisierte oder pseudonymisierte Daten in den zentralen Systemen verarbeitet werden. – Die Datensicherheit ist an den Schutzzielen Datenvermeidung, Vertraulichkeit, Integrität, Verfügbarkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit auszurichten.523 – Um Maßnahmen, die technischen Selbstdatenschutz durch die betroffenen Personen ermöglichen, zur Durchsetzung zu verhelfen, sind Hersteller und Verantwortliche zu verpflichten, geeignete Schnittstellen zu Verfügung zu stellen. – An Pseudonymisierung oder Anonymisierung sind konkrete Anforderungen an den Grad der Sicherheit gegen De-Anonymisierung zu stellen und die Wiederherstellung eines Personenbezugs ist ausdrücklich zu verbieten.524 – Für bestimmte riskante Datenverarbeitungsvorgänge sind Anforderungen an die Zweckbestimmung und die Absicherung von Zweckbindungen festzulegen und insbesondere Zweckänderungen für Daten zu verbieten, an deren Zweckbindung ein hohes Vertrauen besteht, wie z.B. Protokolldaten zu Sicherungszwecken. – An die Zulässigkeit der Auftragsdatenverarbeitung und speziell des Cloud Computing sind risikospezifische Anforderungen festzulegen. – Algorithmenbasierte Entscheidungsverfahren dürfen nur für ihren Einsatzbereich nachgewiesen relevante Merkmale verwenden und müssen für Aufsichtsbehörden in ihrer Entscheidungsfindung nachvollziehbar und für die betroffene Person erklärbar sein. 523 Konferenz der unabhängigen Datenschutzaufsichtsbehörden, Entschließung „Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen“ vom 6./7.4.2016. 524 S. zu dem Beispiel im japanischen Datenschutzrecht Geminn/Laubach/Fujiwara, ZD 2018, 413. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 155 Die Regelungen zu den Voraussetzungen der Zulässigkeit der Datenverarbeitung, zur Zulässigkeit von Zweckänderungen, zu konkreten Rechten der betroffenen Personen und zu den Pflichten der Verantwortlichen müssen spezifisch für bestimmte Technikfunktionen oder bereichsspezifisch für bestimmte Anwendungsprobleme konkretisiert werden. Grundsätzlich sind zwei unterschiedliche Ansatzpunkte für im richtigen Sinn technikneutrale, aber risikospezifische Datenschutzregelungen möglich: – Entweder regelt das Datenschutzrecht Funktionen von Techniken, die in vielen Wirtschafts-, Gesellschafts- und Verwaltungsbereichen zum Einsatz kommen – wie etwa Videoüberwachung, Cloud Computing oder algorithmenbasierte Entscheidungsverfahren – und fordert für diese bereichsübergreifend die Ausgestaltung einzelner wichtiger Funktionen – wie z.B. die Nachvollziehbarkeit und Begründbarkeit von algorithmenbasierten Entscheidungen. – Oder es regelt Ausprägungen von Datenschutzvorgaben in spezifischen Anwendungsbereichen – wie z.B. für Smart Cars, Smart Buildings oder Social Networks. In diesen Regelungen fordert es bereichsspezifische Ausgestaltungen von Technikfunktionen – wie etwa im Smart Car bestimmte Anzeigen vor der Verarbeitung von bestimmten personenbezogenen Daten, Möglichkeiten der Intervention von Fahrern oder die Zulässigkeit von Speicherungen oder Weitergaben von Daten an Dritte – und berücksichtigt dabei die spezifischen Bedingungen und Ausprägungen ihrer Anwendung. Notwendig ist immer, die geeigneten Anforderungen an die Verantwortlichen, aber auch an die Hersteller und Anbieter von Techniksystemen zu stellen, mit deren Hilfe die Verantwortlichen die Anforderungen erfüllen sollen. Darauf zu vertrauen, dass der Markt dafür sorgt, dass rechtzeitig genau die vom Datenschutzrecht geforderten Datenschutzfunktionen von den Herstellern und Anbietern angeboten werden, wäre naiv. In der Praxis der Aufsichtsbehörden ist festzustellen: „Diejenigen, die es richtig machen wollten, waren auch nicht glücklich, weil sie feststellten, dass Hersteller von Produkten und Anbieter von Dienstleistungen ihnen oft keine Hilfe waren und es damit schwierig war, die eigene Rechenschaftspflicht zu erfüllen.“525 Die Hersteller nicht zu verpflichten, ihre Produkte und Dienstleistungen mit bestimmten Technikfunktionen auszustatten, stürzt Verantwortliche in ein Erfüllungsdilemma und begründet von Anfang an Vollzugsdefizite. 525 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2019, 10. 6 Fortentwicklung des Datenschutzrechts 156 Auch hier wäre eine abstrakte Verpflichtung über alle Gesellschafts-, Wirtschafts- und Verwaltungsbereiche hinweg verfehlt, vielmehr sollte sie technik- und bereichsspezifisch die jeweils spezifischen Risiken der Produkte und Dienste sowie die Bedingungen ihrer Entwicklung und ihres Angebots berücksichtigen. Dabei ist es nicht notwendig, die Datenschutz-Grundverordnung durch einen umfassenden Katalog risikospezifischer Regelungen zu überfrachten. Vielmehr könnte die Datenschutz-Grundverordnung als die Regelung gelten, die Datenschutz dem Grundsatz nach regelt und konkretisierende Regelungen anderen Vorschriftenwerken überlässt.526 Die Risikoneutralität der Datenschutz-Grundverordnung wird auch deutlich, wenn sie in Art. 2 Abs. 2 lit. c die Datenverarbeitung für persönliche oder familiäre Tätigkeiten unabhängig von ihrem Risiko für betroffene Personen vollständig aus dem Anwendungsbereich des Datenschutzrechts ausnimmt.527 Da diese Ausnahme keinen Ausgleich zwischen den Grundrechten der Datenverarbeiter und der betroffenen Personen kennt, sondern ohne jede Rücksicht auf die Risiken oder Schäden bei den betroffenen Personen gilt, bedarf sie einer Korrektur. Diese könnte darin bestehen, dass die Datenschutz-Grundverordnung zwischen der Datenverarbeitung für persönliche oder familiäre Tätigkeiten, für die keine Vorschrift der Verordnung gilt und der Datenverarbeitung für nicht persönliche und familiäre Tätigkeiten, für die alle Vorschriften der Verordnung gelten, eine dritte Gruppe bildet. Diese könnte die Datenverarbeitungen für persönliche und familiäre Tätigkeiten umfassen, die nicht zu vernachlässigende Risiken für betroffene Personen begründen. Für diese Gruppe müssten nicht alle Vorschriften der Verordnung gelten. Für sie könnte es ausreichen, wenn für sie etwa die Vorschriften der Art. 5, 6 Abs. 4, 9, 15, 21, 25 und 32 DSGVO gelten. Zu diskutieren wäre, wie man im Bereich der Datenverarbeitung für persönliche oder familiäre Tätigkeiten mit breiter sozialer Übung umgeht wie die Veröffentlichung von personenbezogenen Daten Dritter aus dem persönlichen und familiären Bereich in Social Media-Plattformen oder auf selbstbetriebenen Webseiten (Urlaubsfotos), die nur für einen sehr eingeschränkten Kreis freigegeben werden. Da diesen unvermeidlich eine Übermittlung personenbezogener Daten an den Betreiber der Plattform zugrunde liegt, ist damit der Ausnahmebereich der „ausschließlich persönlichen und familiären Tätigkeit“ verlassen. Sollte diese Datenverarbeitung 526 S. hierzu Kap. 7. 527 S. hierzu Kap. 3.1. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 157 aber nicht auch in den neuen mittleren Regelungsbereich aufgenommen werden – schlicht um zu verhindern, dass es zu regelmäßigen Rechtsbrüchen bei der Verwendung von sozialen Medien kommt, für die kein Verständnis bei den Nutzern besteht?528 Stärkung der Stellung der Verbraucher Aufgrund der Machtasymmetrie zwischen Anbieter und Verbraucher sind verschiedene Maßnahmen zur Stärkung der Stellung des Verbrauchers zu prüfen. Zum einen könnte die Nutzung der Einwilligung zur vollständigen Befreiung des Verantwortlichen von seinen datenschutzrechtlichen Verpflichtungen dadurch verhindert werden, dass bestimmte Verpflichtungen und Rechte für nicht abdingbar erklärt werden. Dies schränkt zwar die Selbstbestimmung der betroffenen Person ein, schützt sie aber davor, dass sie in sozialen oder psychischen Zwangssituationen verleitet wird, auf eigene zentrale Rechte zu verzichten. Hierfür könnte der bis zum 24. Mai 2018 geltende § 6 BDSG ein Vorbild sein. Zum anderen könnte der Schutz des Verbrauchers nicht seiner individuellen Entscheidung überantwortet werden, sondern vor allem in „Take it or Leave it“-Situationen objektiviert werden, indem z.B. die Einwilligungserklärungen oder Allgemeinen Geschäftsbedingungen von einer dafür zuständigen kompetenten Stelle objektiv und vor Inkrafttreten geprüft und zugelassen werden müssen.529 Das Vorhandensein geforderter Datenschutzfunktionen könnte auch in Zulassungen überprüft werden, die in bestimmten Bereichen die Qualität des Systems – auch bezogen auf die Risiken seiner Nutzung – überprüfen. Beispiele hierfür sind die Zulassungen von Kraftfahrzeugen und von Medizinprodukten. Auch wird vorgeschlagen, vor dem Einsatz bestimmter risikoreicher algorithmenbasierter Entscheidungssysteme die Qualität der Daten, die Qualität der statistischen Modelle sowie die Diskriminierungsfreiheit und Nachvollziehbarkeit der Ergebnisse durch eine hierfür vorgesehene Stelle überprüfen zu lassen.530 Ein dritter Ansatz ist mit Art. 80 DSGVO angedeutet, nämlich die Kollektivierung der Rechtewahrnehmung: Die Feststellung und Verfolgung eines Rechts wird nicht mehr allein der Privatinitiative einer betroffenen 6.3.2 528 S. Kap. 3.1.2. 529 Roßnagel u.a., 2016, 130. 530 S. z.B. Verbraucherzentrale Bundesverband, 2017, 3; Krafft/Zweig, 2019, 42; Martini, 2019, 73 f. 6 Fortentwicklung des Datenschutzrechts 158 Person überlassen, sondern professionell von einem Verband übernommen. Die Datenschutz-Grundverordnung hat den Rechtsschutz im Datenschutz deutlich gestärkt. Beschwerde- und Klagerecht531 sind dabei grundsätzlich bei der betroffenen Person verortet. Art. 80 Abs. 1 DSGVO ermöglicht jedoch, bestimmte Einrichtungen, Organisationen oder Vereinigungen mit ihrer Wahrnehmung zu beauftragen.532 Vertretungsberechtigt sind unter anderem die Verbraucherzentralen in Deutschland.533 Ob diese jedoch auch unabhängig von einer Beauftragung durch die betroffene Person tätig werden können, obliegt nach Art. 80 Abs. 2 DSGVO den Mitgliedstaaten.534 Hier hält das deutsche Recht mit § 2 UKlaG eine entsprechende Regelung bereit, die jedoch kein eigenständiges Beschwerderecht qualifizierter Einrichtungen etabliert. Zudem soll § 2 Abs. 2 Satz 1 Nr. 11 UklaG nach Maßgabe von § 2 Abs. 2 Satz 2 UKlaG nicht greifen, „wenn personenbezogene Daten eines Verbrauchers von einem Unternehmer ausschließlich für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden“. Hier sollte eine Ausweitung erfolgen. Die nationale Umsetzung von Art. 80 Abs. 2 DSGVO bleibt hinten den Möglichkeiten zurück, die die Öffnungsklausel bietet. Auch der Kreis der Vertretungsberechtigten könnte mit Blick auf Art. 80 Abs. 1 DSGVO weiter gefasst werden – jenseits von Verbraucherschutzverbänden im Sinne von § 3 und 4 UKlaG. Der nationale Gesetzgeber sollte ein echtes Verbandsklagerecht zulassen, das es ermöglicht, auch unabhängig von Einzelfällen offene Fragen des Datenschutzrechts grundsätzlich zu klären. Zu beachten ist auch die Problematik hinter Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Auch wenn kein Erlaubnistatbestand nach lit. a bis e greift, so kann dennoch eine Verarbeitung personenbezogener Daten stattfinden, wenn der Verantwortliche eigene Interessen oder Interessen Dritter gel- 531 Art. 77ff. DSGVO. 532 Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet sind, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind. S. umfassend zur Vertretung betroffener Personen, Verbandsbeschwerde und Verbandsklage Geminn, in: Jandt/Steidle, 2019, B. VI. Rn. 103ff. 533 S. § 3 und 4 UKlaG. 534 S. hierzu auch Europäische Kommission, Commission Staff Working Document, 20; Weichert, 2017, 13. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 159 tend machen kann. Dazu müssen diese Interessen im Vergleich mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person überwiegen.535 Zusätzlich ist die Erforderlichkeit der Verarbeitung festzustellen. Die Abwägung und die Feststellung nimmt jedoch der Verantwortliche vor.536 Daher besteht die Gefahr, dass dieser in der Praxis zu einer Überschätzung der Erforderlichkeit der Verarbeitung und der Bedeutung der eigenen Interessen sowie zu einer Unterschätzung der Interessen der betroffenen Person tendiert. Eine Korrektur dieser Fehleinschätzung findet aber allenfalls erst im Nachgang statt, wenn sich Risiken der fraglichen Verarbeitung für die betroffenen Personen bereits realisiert haben. Der zeitliche Abstand von der Verarbeitung bis zur Korrektur kann im Falle eines Rechtsstreits um die getroffene Abwägung stark anwachsen. Die betroffene Person muss hierzu aber zunächst feststellen können, dass eine rechtswidrige Verarbeitung stattfindet, und sie muss im zweiten Schritt Willens und fähig sein, gegen die Verarbeitung vorzugehen. Zur Stärkung der betroffenen Person sollte der Unionsgesetzgeber die Abwägung nicht den Verantwortlichen überlassen, sondern selbst Regelungen treffen, die in typischen Verarbeitungssituationen (z.B. Werbung oder Profiling) oder bei typischen Geschäftsmodellen (z.B. Suchmaschinen, Social Media) greifen.537 Klare Regelungen würden auch hier dazu beitragen, die Stellung des Verbrauchers zu stärken und Machtasymmetrien abzubauen. Verhinderung einer Überforderung der Verbraucher Den Verbraucher können vor allem ungeeignete (zu viel oder zu wenig) Informationen und Entscheidungszwänge mit unzureichender Übersicht über die Folgen überfordern. Genau dies aber ist die Folge der gegenwärtigen Praxis, über alle vagen, langfristig möglichen Datenverarbeitungen bereits beim ersten Kontakt mit dem Verbraucher durch Verweis auf eine umfassende Datenschutzerklärung zu informieren. Auf Grundlage dieser viel zu umfassenden Informationen zu einem Zeitpunkt, zu dem sich der Verbraucher nicht für alle Details interessieren kann, von ihm eine Einwil- 6.3.3 535 S. zur Berücksichtigung der Interessen Dritter Kap. 6.3.4. 536 Hierauf besteht die Europäische Kommission, Commission Staff Working Document, 15 f. 537 S. hierzu auch Bundesregierung, in: Rat, ST 12756/1/19, 14 f.; für den Fall der Direktwerbung fordert dies auch Datenschutzkonferenz, Erfahrungsbericht, 2019, 22. 6 Fortentwicklung des Datenschutzrechts 160 ligung zu verlangen oder die Daten auch ohne seine Zustimmung zu verarbeiten, muss den Verbraucher überfordern. Notwendig ist daher über die Regelungen der Art. 12 bis 14 DSGVO und die vorgeschlagenen Detailverbesserungen538 hinaus ein neues, auch an den Interessen der betroffenen Person und nicht nur an der Aufwandsreduktion für den Verantwortlichen orientiertes Informationskonzept zu etablieren. Dieses muss folgende Eigenschaften der notwendigen Datenschutzinformationen sicherstellen: Die Informationen müssen – entscheidungsrelevant (die Informationen, die für ein unmittelbar folgendes Handeln der betroffenen Person entscheidend sein können, so dass sie auf ihrer Grundlage entscheiden kann, einen Dienst zu nutzen, eine Funktion einzuschalten oder eine Einwilligung zu erteilen), – interessenabhängig (die Information, die dem Interesse und der Aufmerksamkeit der betroffenen Person in der jeweiligen Situation entspricht. Sie muss z.B. zwischen mehreren Sichten wählen können: Symbol – Kurzinformation – ausführlichere Information – gesamte Datenschutzerklärung) und – rechtzeitig (die Information erfolgt immer unmittelbar vor der Handlung der betroffenen Person, die die Datenverarbeitung verursacht, in einer Weise, dass sie diese Handlung auch noch unterlassen kann) angeboten werden. Beispielsweise wäre im Smart Car eine situationsangepasste Information notwendig, die mindestens drei Ebenen umfasst:539 Allgemeine Strukturinformationen sollten ständig – auf einer Website – bereitgehalten werden, auf die mit dem Kaufvertrag und in Allgemeinen Geschäftsbedingungen aufmerksam gemacht wird. Mit der Inbetriebnahme der jeweiligen Funktion muss im Auto eine technische Anzeige erfolgen, dass diese Funktion eingeschaltet ist, und schließlich muss bei der aktuellen Nutzung des Automobils z.B. auf dem Armaturenbrett auf die derzeit genutzten Dienste hingewiesen werden. Bei einer Aktivierung der Anzeige können weitere Informationen zum Datenschutz abgerufen werden. Untersuchungen zur Umsetzung von Transparenzanforderungen im vernetzten Auto zeigen, dass es hier prinzipiell umsetzbare Ansätze gibt;540 diese bedürfen jedoch der Erprobung und Fortentwicklung mit Blick auf die immer weiter fortschreitende Vernetzung mit der Infrastruktur.541 538 S. Kap. 5.9 bis 5.13. 539 S. hierzu auch Husemann, in: Roßnagel/Hornung, 2019, 367ff. 540 S. z.B. Bönninger/Eichelmann/Methner, in: Roßnagel/Hornung, 2019, 355ff. 541 S. Roßnagel/Hornung, in: Roßnagel/Hornung, 2019, 475. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 161 Hilfreich ist auch eine Prüfung durch Dritte, denen der Verbraucher vertraut. Hierfür sieht die Datenschutz-Grundverordnung in Art. 42 und 43 als Innovation des Datenschutzrechts eine freiwillige Zertifizierung der Datenschutzkonformität einer Anwendung vor.542 Fraglich ist, welche rechtlichen und technischen Möglichkeiten der Unterstützung der Verbraucher gegeben sind. Die Zertifizierung sollte für bestimmte Bereiche verpflichtend sein. Orientierungskriterium könnte sein, dass dann, wenn Produkte oder Dienste, denen die Verarbeitung personenbezogener Daten dient, zulassungsbedürftig sind, auch die Feststellung der Datenschutzrechtskonformität der Datenverarbeitung in Form eines Zertifikats obligatorisch ist. Dies würde zum Beispiel für viele Dienste und Produkte, die Gesundheitsdaten verarbeiten, oder für vernetzte und automatisiert fahrende Kraftfahrzeuge zutreffen.543 Die Durchsetzung der Datenschutzprinzipien kann durch eine konsequent datenschutzfreundliche Technikgestaltung bewirkt werden. Die Gestaltung insbesondere von komplexen Informationssystemen muss dabei so erfolgen, dass Datenschutz nicht zur Belästigung des Verbrauchers wird, sondern situationsadäquat und wo möglich auch automatisiert erfolgt. Einwilligungen könnten etwa nach vordefinierten Kriterien automatisiert durch ein digitales „Alter Ego“ des Verbrauchers in dessen Auftrag erteilt werden und Geräteeinstellungen ebenfalls automatisiert an dessen Vorstellungen zum Datenschutz angepasst werden.544 Das „Alter Ego“ kontrolliert die Einhaltung der gemachten Vorgaben durch den Datenverarbeiter. So könnte Kontrolle über Datenverarbeitungsvorgänge auch bei immer komplexerer Datenverarbeitung erreicht werden, ohne zu einer Überforderung der betroffenen Person zu führen. Erreicht werden kann dies nur, wenn die Technik entsprechende Schnittstellen bereitstellt, über die das „Alter Ego“ mit ihr in Kontakt treten und die Vorgaben des Verbrauchers kommunizieren kann. Verhinderung negativer Auswirkungen auf Dritte Die Verarbeitung personenbezogener Daten, aber auch anonymer Daten kann Risiken für die Entscheidungs- und Entfaltungsfreiheit Dritter sowie für deren diskriminierende Behandlung in Form gruppenbezogener 6.3.4 542 S. z.B. Maier/Bile, DuD 2019, 478ff. 543 S. auch Kap. 6.3.1. 544 Roßnagel u.a., 2016, 134 f. 6 Fortentwicklung des Datenschutzrechts 162 Schlechterstellung bewirken. Werden diese Daten für die Erstellung von Statistiken im Rahmen von Big-Data-Analysen und von selbstlernenden algorithmenbasierten Entscheidungssystemen genutzt, entstehen Bewertungen von Eigenschaften sowie Verhaltensprognosen und -beeinflussungen auch dritter Personen, die gar keine Daten für diese Analysen geliefert haben. Durch die anonyme Vergemeinschaftung aller Merkmalsträger im Rahmen der Statistiken werden ihnen die gleichen Eigenschaften zugeordnet und durch die Normativität der durch die Statistiken beschriebenen Normalität haben diese Statistiken verhaltensbestimmende Wirkung. Viele Verbraucher werden Vorteile daraus ziehen wollen, sich „normal“ zu verhalten, sofern diese Normalität als Entscheidungsgrundlage bei Anbietern dient. Hinzu kommt, dass aus diesem Wissen über statistisch wahrscheinliches Verhalten und über statistisch wahrscheinliche Wirkungen bestimmter Anreize gezielte Verhaltenssteuerungen erfolgen.545 Datenschutzrecht ist bezogen auf die beeinträchtigten Dritten nicht anwendbar. Soweit anonyme Daten verarbeitet werden, scheidet Datenschutzrecht mangels Personenbezugs der Daten aus. Soweit personenbezogene Daten verarbeitet werden, sind diese Daten anderen betroffenen Personen zuzuordnen und gerade nicht den Dritten. Diese können keine Betroffenenrechte geltend machen. Da der sachliche Anwendungsbereich des Datenschutzrechts mangels Verwendung personenbezogener Daten nicht eröffnet ist, fehlt ein effektiver rechtlicher Schutz des Verbrauchers vor den aufgezeigten Risiken durch statistische Verhaltensmuster. Dennoch können sie die Grundrechtsausübung und das demokratische Engagement gefährden.546 Durch das Einordnen des Verhaltens in statistische Handlungsmuster als konform oder nicht konform und durch das so indirekt erzwungene Anpassungsverhalten werden die Entscheidungs- und die Verhaltensfreiheit faktisch eingeschränkt, was das Recht auf informationelle Selbstbestimmung gerade vermeiden soll. Solche statistischen Muster verstärken die Normativität der Normalität und reduzieren „Soziodiversität“. Diese ist aber Voraussetzungen für Innovationen und Demokratie.547 Für die Verwirklichungsbedingungen von Grundrechten und Demokratie hat der Staat aber eine Schutzpflicht. Diese fordert ein angemessenes Handeln und rechtfertigt sogar verhältnismäßige Beschränkungen von Grundrechten, wenn dies zum Schutz von Selbstbestimmung, freier Entfaltung und Funktionsfähigkeit der Demokratie erforderlich ist. 545 S. hierzu näher Kap. 6.2. 546 S. z.B. Weichert, ZD 2013, 251ff.; Roßnagel, ZD 2013, 562ff. 547 S. Roßnagel/Nebel, DuD 2015, 455. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 163 Rechtliche Schutzmaßnahmen könnten bei der Einwilligung ansetzen. Da der Einwilligende nur für sich, nicht aber zu Lasten Dritter Datenverarbeitung rechtfertigen kann, könnte die Möglichkeit der Einwilligung beschränkt werden, wenn sie nicht nur Folgen für den Einwilligenden, sondern auch für einen Dritten hat. Sie könnte etwa in bestimmten Verarbeitungskontexten als Rechtfertigungsgrundlage für eine Verarbeitung personenbezogener Daten ausgeschlossen oder zumindest befristet werden.548 Auch könnten die Voraussetzungen für die Wirksamkeit einer Einwilligung je nach Risiko der Verarbeitung skalieren. Sie könnte etwa von der Erfüllung gesteigerter Transparenzpflichten des Verantwortlichen abhängig gemacht werden, der auch über die Folgen der Datenverarbeitung für Dritte informieren muss. Der Einwilligende müsste dann konsequenter Weise auch für die Folgen seiner Einwilligung verantwortlich sein. Ein solcher Ansatz könnte vor allem dann gerechtfertigt sein, wenn betroffene Personen als Gegenleistung für Rabatte, Boni oder gar die kostenlose Nutzung eines Dienstes mit der Preisgabe ihrer Daten und der Einwilligung zu einer (fast) unbegrenzten Nutzung dieser Daten bezahlen und sich dabei nicht um die negativen Folgen für andere kümmern oder diese zu ihrem Vorteil bewusst in Kauf nehmen. Gegen diesen Ansatz spricht jedoch, dass die Einwilligung meist nicht der einzige Weg ist, die Daten für statistische Muster oder Modelle zu erlangen. Die statistische Verarbeitung personenbezogener Daten kann auch aufgrund anderer gesetzlicher Erlaubnistatbestände erfolgen. Über eine Zweckänderung für eine statistische Verarbeitung der personenbezogenen Daten muss der Verantwortliche nach Art. 13 Abs. 3 und 14 Abs. 4 DSGVO die betroffene Person zwar informieren. Diese Information kommt aber für eine Verhinderung der statistischen Datenverarbeitung zu spät. Sind die Daten inzwischen anonymisiert, fällt die Verarbeitung ohnehin aus dem Anwendungsbereich des Datenschutzrechts heraus. Von den betroffenen Personen den Verzicht auf (vermeintlich) kostenlose Dienste zu verlangen, auf die sie dringend angewiesen sind, weil die mit ihren Daten erzeugten statistischen Muster oder Modelle zum Nachteil von Dritten genutzt werden können, dürfte meist unverhältnismäßig sein. Auch dürfte es schwer sein, vor der Einwilligung oder vor der Nutzung eines Dienstes zu prognostizieren, was mit den Daten geschieht und für wen die nachfolgende Datenverarbeitung welche Nachteile oder Vorteile verursacht. Au- ßerdem liegt der Schwerpunkt der nachträglichen benachteiligenden Nut- 548 S. Roßnagel u.a., 2016, 130 f. 6 Fortentwicklung des Datenschutzrechts 164 zung der Daten nicht bei der betroffenen Person, sondern beim Verantwortlichen. Der Schutz Dritter muss daher beim Verantwortlichen ansetzen. Dieser erhebt die Daten bei der betroffenen Person und verantwortet die statistische Muster- oder Modellerstellung aus diesen Daten als Grundlage für die Anwendung bei anderen Nutzern. Auch wenn der Verantwortliche, der die Daten erhebt, sich von demjenigen unterscheidet, der die statistischen Muster oder Modelle erstellt, und von demjenigen, der die Muster oder Modelle auf Dritte anwendet, so sind sie doch alle Verantwortliche, solange die Daten noch personenbezogen sind. Für den ersten, der die Daten erhebt, und für den zweiten, der personenbezogene Daten in statistischen Mustern oder für solche anonymisiert, handelt es sich um Zweckänderungen, die dem Datenschutzrecht unterfallen. Soweit der Anwender die aus der Statistik gewonnenen Entscheidungsmodelle – im Rahmen algorithmenbasierter Datenverarbeitungen – auf individualisierbare Dritte anwendet, ist er für diese Datenverarbeitung datenschutzrechtlich verantwortlich. Datenschutzrechtlich führt diese Form der Datenverarbeitung zumindest zu drei Fragen: Auf welcher Rechtsgrundlage dürfen personenbezogene Daten erhoben und für solche statistischen Zwecke verarbeitet werden? Ist die Erhebung nicht durch Einwilligungen gerechtfertigt, kommt eine Rechtfertigung durch überwiegende berechtigte Interessen nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO in Betracht.549 Diese Vorschrift erlaubt, auch berechtigte Interessen Dritter zu berücksichtigen. Warum aber ist sie nur mit den „Interessen oder Grundrechte(n) und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,“ abzuwägen und nicht auch mit denen aller anderen betroffenen Dritten? Eine Schutzmöglichkeit könnte sein, in den Gesetzestext auch die Interessen oder Grundrechte und Grundfreiheiten Dritter aufzunehmen. Der statistischen Verarbeitung geht im Regelfall eine Zweckänderung voraus. Da diese statistische Verarbeitung nicht unter die Ausnahme für die öffentliche Statistik des Art. 5 Abs. 1 lit. b DSGVO fällt,550 ist sie als Zweckänderung nach Art. 6 Abs. 4 DSGVO nur zulässig, wenn sie mit dem bisherigen Zweck vereinbar ist. Hier könnte eine Klarstellung in Art. 6 Abs. 4 DSGVO erfolgen, dass dies nicht der Fall ist, wenn die Daten als Material für selbstlernende algorith- 549 S. hierzu auch Kap. 6.3.2. 550 S. Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn. 107. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 165 menbasierte Systeme oder für Big Data-Muster einer bestimmten Risikoklasse551 verwendet werden sollen. Soweit statistische Muster erstellt und selbstlernende algorithmenbasierte Systeme trainiert werden sollen, sind qualitative Anforderungen an die Daten und ihre Verarbeitung aufzustellen, die je nach Risikoklasse unterschiedlich stark kontrolliert werden sollten. Ein Vorschlag für solche qualitativen Anforderungen finden sich in dem vorgeschlagenen neuen Abs. 4 von Art. 22 DSGVO.552 Die Anwendung der statistischen Muster im Einzelfall, ist vom Datenschutzrecht nur dann erfasst, wenn es dabei wiederum zur Verarbeitung personenbezogener Daten kommt. Werden die personenbezogenen Daten von algorithmenbasierten Entscheidungssystemen verarbeitet, fällt dies in den Anwendungsbereich des bestehenden oder – wie hier vorgeschlagen553 – modifizierten Art. 22 DSGVO. Die Kontrolle der Wirkungen kann jedoch – insbesondere für Diskriminierungen – aus dem Anwendungsbereich dieser Vorschrift herausfallen. Letztlich weist das Thema der negativen Auswirkungen der Datenverarbeitung auf Dritte über das Datenschutzrecht hinaus, das dem Schutz der informationellen Selbstbestimmung dient.554 Es betrifft neben der Selbstbestimmung und Selbstentfaltung auch Fragen der Gleichbehandlung, der Gerechtigkeit und der Rechtsstaatlichkeit. Für dieses Thema sollte daher ein den Datenschutz einbeziehendes, aber über diesen hinausgehendes Schutzkonzept gesucht werden. Dies gilt vor allem für die Verwendung von anonymen Daten. Diese wirft zum einen Fragen auf nach der Zulässigkeit der Anwendung von Ergebnissen aus Big-Data-Analysen, zum anderen Fragen nach der Notwendigkeit eines Schutzkonzeptes auch für anonymisierte Daten. Beispiele für solche Schutzkonzepte lassen sich im außereuropäischen Ausland bereits finden. Japan hat etwa im Zuge einer umfassenden Reform seines Datenschutzrechts auch Regelungen für sogenannte „anonymously processed information“ eingeführt.555 Dabei handelt es sich um 551 S. zur Einteilung in Risikoklassen Krafft/Zweig, 2019, 31ff. 552 S. Kap. 5.21. 553 S. Kap. 5.21. 554 S. auch Verbraucherzentrale Bundesverband, 2017, 3; Schulz/Dreyer, 2018, 9; Krafft/Zweig, 2019, 16. 555 S. hierzu umfassend Geminn/Laubach/Fujiwara, ZD 2018, 413. Man beachte auch den gescheiterten Versuch der Kriminalisierung einer Re-Identifizierung durch die australische Privacy Amendment (Re-identification Offence) Bill 2016. 6 Fortentwicklung des Datenschutzrechts 166 personenbezogene Daten, die einer Anonymisierung unterzogen wurden und nun ohne Personenbezug sind. Das japanische Datenschutzrecht sieht für solche Daten Maßnahmen zur Datensicherheit vor, die der Datenverarbeiter ergreifen muss. Diese Maßnahmen betreffen sowohl das Verfahren zur Entfernung des Personenbezuges als auch den Umgang mit den anonymisierten Daten. Darüber hinaus treffen den Datenverarbeiter Informationspflichten bezogen auf die Kategorien von Informationen, die in den anonymisierten Daten enthalten sind. Ergänzt wird dies durch ein Verbot, anonymisierte Daten mit anderen Daten zusammenzuführen, um den Personenbezug wiederherzustellen. Ein Verantwortlicher darf auch im Anonymisierungsverfahren entfernte, aber noch andernorts vorhandene Merkmale nicht erwerben. Werden diese Vorgaben nicht beachtet, sieht das japanische Datenschutzrecht allerdings keine Sanktionen vor. Bezogen auf Datenübermittlungen aus der Europäischen Union gelten Daten nur dann als anonymisiert, wenn Informationen zur Anonymisierungsmethode unwiderruflich gelöscht werden und eine Re-Identifizierung der betroffenen Person unmöglich gemacht wird. Letztere, im Zuge des Angemessenheitsbeschlusses für Japan556 eingeführte Ergänzung zeigt, dass konzeptionelle Unterschiede bestehen, die eine direkte Übernahme drittstaatlicher Instrumente in der Europäischen Union verhindern. Dennoch können diese Vorbilder dazu anregen, konzeptionell weiter zu denken als die Datenschutz-Grundverordnung. Stärkung der Datenschutzprinzipien Die Datenschutzprinzipien stammen weitgehend aus einer Zeit, in der weder PCs noch das Internet bekannt waren. Allgegenwärtige Datenverarbeitung, die Auswertung unendlich vieler personenbezogener Daten aus verschiedensten Quellen, die Datenverarbeitung durch lernfähige Algorithmen und die Erfassung der Welt durch Systeme der Künstlichen Intelligenz machen neue, ergänzende oder präzisierende Grundsätze erforderlich, um die Grundrechte der betroffenen Personen auf Persönlichkeitsschutz und Selbstbestimmung auch in der künftigen Welt zu schützen. Auch wenn die Datenschutz-Grundverordnung keine spezifischen Antworten auf diese gravierenden Herausforderungen bietet,557 könnte erwar- 6.3.5 556 S. hierzu Fujiwara/Geminn/Roßnagel, ZD 2019, 204ff.; Tatsumi, CR 2019, 424ff.; Geminn/Laubach, ZD 2019, 403ff. 557 S. Kap. 6.3.1. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 167 tet werden, dass zumindest die allgemeinen Regelungen der Verordnung – vor allem die Grundsätze der Datenverarbeitung in Art. 5 DSGVO – ausreichend Schutz gewähren.558 Doch diese Grundsätze geraten durch die neuen technischen Herausforderungen unter einen massiven Druck, der ihre künftige Anwendbarkeit in Frage stellt.559 So verliert etwa die Zweckbindung bei allen Systemen ihren schützenden und steuernden Charakter, deren Verarbeitungszweck – wie etwa bei Assistenzsystemen im Auto, in der Wohnung, bei der Arbeit oder beim Hobby – in der umfassenden Unterstützung des Verbrauchers liegen. Dafür ist eine möglichst breite Datenbasis über Verhalten, Interessen und Vorlieben unerlässlich. Das eigentliche Ziel der Zweckbindung, Datenverarbeitung auf das erforderliche Maß zu begrenzen, wird dabei konterkariert, denn jede Information kann potenziell der Zweckerfüllung des Assistenten dienen. Der Grundsatz der Transparenz stößt an subjektive und objektive Grenzen. Subjektiv übersteigt die zu erwartende Vervielfachung der Datenverarbeitungsvorgänge in allen Lebensbereichen die mögliche Aufmerksamkeit, die zur Effektivität der Transparenz erforderlich ist, um ein Vielfaches. Objektiv setzen hohe Komplexität, vielfältige Zwecke und lernfähige Systeme der möglichen Transparenz hohe Grenzen. Um ein letztes Beispiel zu geben: Die Grundsätze der Datenminimierung und der Speicherbegrenzung sind an den jeweils begrenzten Zweck gebunden. Ebenso wie dieser werden auch diese Grundsätze ihre Steuerungskraft verlieren. Wenn der Zweck der Datenverarbeitung ohne wirkliche Grenzen ist, führt auch die Frage, welche Datenverarbeitung für diesen Zweck erforderlich ist, nicht mehr zu einer überschaubaren Eingrenzung erlaubter Datenverarbeitung. Wenn etwa das Gedächtnis der Dinge der betroffenen Person helfen soll, sich an vergessene Ereignisse zu erinnern, ist eine nach Umfang und Zeitraum grenzenlose Datenspeicherung erforderlich. Sensorbestückte Gegenstände und Umgebungen sind fast immer aktiv und erheben eine enorme Menge Daten, um den Verbrauchern nach ihrem – sich ständig ändernden – Bedarf jederzeit ihre Dienste anbieten zu können. Alle Systeme, die kontextsensitiv die betroffene Person entlasten oder unterstützen sollen, die Präferenzen des Nutzenden erkennen und ihnen gerecht werden sollen, können ihre Funktionen nur richtig erfüllen, wenn sie den Grundsatz der Datenminimierung und der Speicherbegrenzung ignorieren. In dem Konflikt zwischen modernen Technikanwendungen 558 Dies behautet die Europäische Kommission in ihrem Evaluationsbericht, Commission Staff Working Document, 28. 559 S. z.B. Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 367ff. 6 Fortentwicklung des Datenschutzrechts 168 und Datenschutzgrundsätzen dürfte entscheidend sein, dass die neuen Technikanwendungen den betroffenen Personen in den meisten Fällen nicht aufgedrängt werden – in diesem Fall dürften die Grundsätze greifen –, sondern von diesen gewollt werden. Sie wollen sich mit ihrer Hilfe die Träume erfüllen, die sie sich von diesen Technikanwendungen erhoffen.560 Die Grundsätze zum Schutz der Verbraucher gegen den aktuellen Willen der Verbraucher zur Geltung zu bringen, dürfte nahezu aussichtslos sein. Obwohl diese Grundsätze durch moderne Datenverarbeitung in Frage gestellt werden, darf dies kein Grund sein, sie als rechtliche Gebote aufzuweichen. Vielmehr sollte durch gesteigerte Anforderungen an technischorganisatorische Maßnahmen versucht werden, das Regelungsziel der Grundsätze zu erreichen. Viele Vorschläge zur Überarbeitung der Datenschutz-Grundverordnung dienen diesem Ziel.561 Neben diesen von der Datenschutz-Grundverordnung in Art. 5 anerkannten Grundsätzen der Datenverarbeitung und den vorgeschlagenen Verbesserungen und Ergänzungen, fordert die technische Entwicklung, neue zusätzliche Grundsätze zu diskutieren, anzuerkennen und umzusetzen. Insbesondere die Anwendungen Künstlicher Intelligenz erfordern neue Grundsätze.562 Als solche sind etwa zu diskutieren die nachgewiesene Relevanz (Aussagekraft) der Kriterien von Expertensystemen oder der Daten und der Algorithmen für lernende Systeme, die Nachvollziehbarkeit algorithmenbasierter Entscheidungen563 und die Erklärbarkeit der Ergebnisse gegenüber der betroffenen Person564 sowie die dauerhafte Überwachung besonders riskanter algorithmenbasierter Entscheidungssysteme.565 Um eine Stärkung der Datenschutzprinzipien in der Praxis zu erreichen, sollten greifbare Anreize für Datenverarbeiter zur Gewährleistung eines möglichst hohen Datenschutzniveaus gesetzt werden, um Eigennutz und Gemeinwohl in Einklang zu bringen.566 Solche Anreize könnten beispiels- 560 S. hierzu Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 DSGVO, Rn. 193. 561 S. zu diesen Kap. 5. 562 Dies bestreitet die Europäische Kommission in ihrem Evaluationsbericht, Commission Staff Working Document, 28. 563 S. hierzu auch Verbraucherzentrale Bundesverband, 2017, 3ff., 12; Schulz/Dreyer, 2018, 45ff. 564 S. hierzu auch die Qualitätskriterien, die in Kap. 2.3.20 für automatisierte Entscheidungen im Einzelfall gefordert werden. 565 S. z.B. Krafft/Zweig, 2019, 5; Martini, 2019, 22. 566 Roßnagel u.a., 2016, 138. 6.3 Vorschläge zur Fortentwicklung des Datenschutzes 169 weise durch die Einbeziehung von Datenschutzfragen als Vergabekriterien in öffentliche Ausschreibungen gesetzt werden.567 Zudem sollte ein umfassendes, institutionalisiertes Kontrollsystem zur Einhaltung von datenschutzrechtlichen Vorgaben eingerichtet werden, das neben Behörden auch Verbände und sonstige Einrichtungen einbezieht. Die Datenschutz-Grundverordnung hat hier bereits eine wesentliche Verbesserung des Status Quo bewirkt. Jedoch sollten die Funktionen und Strukturen von Systemen hier stärker in den Vordergrund gerückt werden, anstelle den Fokus auf das einzelne personenbezogene Datum zu richten.568 567 S. hierzu umfassend Bile u.a., in: Friedewald, 2018, 83ff. 568 S. hierzu auch Roßnagel u.a., 2016, 138 f. 6 Fortentwicklung des Datenschutzrechts 170 Gewährleistung der Zukunftsfähigkeit des Datenschutzrechts Es zeigt sich, dass die Datenschutz-Grundverordnung das Ziel einer umfassenden Modernisierung und Harmonisierung des Datenschutzrechts verfehlt hat. Sie gibt aber als Grundverordnung eine gemeinsame Basis für den Datenschutz in der Europäischen Union und im Europäischen Wirtschaftsraum. Lediglich fünfzig materielle Datenschutzvorschriften geben den Rahmen vor für eine Verarbeitung personenbezogener Daten, die bereits heute und weiter zunehmend nahezu sämtliche Lebensbereiche durchdringt. Sie reicht dabei von der Kundendatei eines kleinen Unternehmens über die Datenverarbeitung im Sportverein bis hin zur massenhaften Verarbeitung im Kontext datengetriebener Geschäftsmodelle. Dieser risikoneutrale „One Size Fits All“-Ansatz macht bereichsspezifische Konkretisierungen und Ergänzungen des Datenschutzrechts unumgänglich. Nur so kann es auf spezifische Anforderungen einzelner Bereiche und Techniklinien sowie deren Risiken adäquat reagieren. Diese Konkretisierungen und Ergänzungen können je nach Art und Abstraktionsgrad auf vielfältige Weise erfolgen. Denkbar sind: (1) eine Überarbeitung der Datenschutz-Grundverordnung selbst infolge einer Evaluation ihrer Schwächen, (2) die Erstellung bereichs- oder technikspezifischer europäischer Verordnungen oder Richtlinien durch den europäischen Gesetzgeber, (3) die Ergänzung und Konkretisierung der Datenschutz-Grundverordnung durch mitgliedstaatliches Recht im Rahmen des von der Verordnung belassenen nationalen Gestaltungsspielraums, (4) Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses, (5) die Erarbeitung von Standards auf Ebene der datenverarbeitenden Unternehmen selbst und branchenspezifische Verhaltensregelungen nach Art. 40 und 41 DSGVO569 sowie (6) Regeln der technischen Normung in Normungsorganisationen wie ISO, CEN und DIN. 7 569 S. zu diesen Roßnagel, in: Roßnagel, 2018, 202ff. 171 Dabei soll nicht in Zweifel gezogen werden, dass die Datenschutz-Grundverordnung bereits zahlreiche notwendige Innovationen und Verbesserungen im Vergleich zur Datenschutzrichtlinie enthält. Der Erfolg dieser Innovationen und Verbesserungen ist jedoch davon abhängig, dass diese in der Praxis auch gelebt werden. Dies kann nur gelingen, wenn ihre Durchsetzung durch die Aufsichtsbehörden und die Gerichte, soweit es ihnen möglich ist, konsequent erfolgt. Zudem müssen aber auch handhabbare Erläuterungen gegeben werden, die klarstellen, wie die oft nur unscharf umrissenen Vorgaben der Grundverordnung umzusetzen sind. Die Leitlinien der Datenschutzgruppe und des Ausschusses sind dabei nur ein Anfang. Die Regelung des Art. 97 DSGVO zur regelmäßigen Evaluation der Verordnung ist eine richtige Reaktion auf die Erkenntnis, dass die Digitalisierung die Gesellschaft sehr schnell und nachhaltig verändert und dass die Schutzkonzepte für Grundrechte und Demokratie sich immer wieder den veränderten Herausforderungen anpassen müssen. Dies gilt auch für die Datenschutz-Grundverordnung. Ihr Schutz für Persönlichkeitsrechte und Demokratie ist immer wieder anzupassen an die sich verändernden Risiken, neu zu konzipieren und zu verhandeln. Hierfür ist jedoch zu beachten, dass die Datenschutz-Grundverordnung zwei grundlegende Ziele verfolgt, die miteinander in Konflikt geraten können. Beide hat sie nicht konsequent umgesetzt. Zum einen will sie das Datenschutzrecht unionsweit vereinheitlichen und einen soliden, „kohärenten und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ schaffen.570 Dieses Ziel hat sie insofern erreicht, als ihr Text nach Art. 288 Abs. 2 Satz 1 AEUV in allen Mitgliedstaaten unmittelbar gilt. Sie hat es jedoch dadurch verfehlt, dass sie in 70 Öffnungsklauseln den Mitgliedstaaten die Möglichkeit eröffnet, in wichtigen Regelungsbereichen (z.B. öffentliche Verwaltung, Medien, Arbeit, Forschung) jeweils eigene und damit unterschiedliche Datenschutzregelungen zu erlassen. Statt Vereinheitlichung sieht die verabschiedete Datenschutz-Grundverordnung deshalb – letztlich zurecht – eine Ko-Regulierung zwischen unionaler und mitgliedstaatlicher Ebene vor.571 Zum anderen will sie den Datenschutz angesichts der Herausforderungen der technischen Entwicklung modernisieren und den Schutz der Grundrechte verbessern.572 Dieses Ziel hat sie 570 S. hierzu Erwägungsgründe 3 und 9 DSGVO. 571 S. hierzu näher Roßnagel, in: Roßnagel, 2018, 31ff. 572 S. hierzu Erwägungsgründe 1, 2, 4 und 6 DSGVO. 7 Gewährleistung der Zukunftsfähigkeit des Datenschutzrechts 172 dadurch verfehlt, dass sie wegen übertriebener Technikneutralität keine der modernen Herausforderungen risikospezifisch aufgegriffen hat.573 Soll das Ziel der Vereinheitlichung in den folgenden Evaluationen erreicht werden, setzt dies als rechtspolitische Vorgehensweise Zentralisierung und Monopolisierung der weiteren Fortentwicklung des Datenschutzrechts voraus. Soll das Ziel der Modernisierung, die den künftigen Herausforderungen für Grundrechte und Demokratie gerecht werden will, erreicht werden, erfordert dieses als Vorgehensweise eine den Herausforderungen angemessene Evolution des Datenschutzrechts nach dessen Prinzipien der Variation und Selektion. Die von der Datenschutz-Grundverordnung realisierte Ko-Regulierung ermöglicht, diesen Widerspruch der Vorgehensweisen aufzulösen. Denn eine reine Zentralisierung und Monopolisierung der Fortentwicklung des Datenschutzrechts, wie sie im Entwurf der Europäischen Kommission zur Datenschutz-Grundverordnung aus dem Jahr 2012 noch vorgesehen war,574 ist letztlich innovationsschädlich. Dagegen ermöglicht die durchgesetzte Ko-Regulierung die Erprobung neuer Konzepte durch die Mitgliedstaaten im Rahmen des Gestaltungsspielraums, den die Datenschutz- Grundverordnung den Mitgliedstaaten belässt. Nur so ist die notwendige Komplexität der Datenschutzregelungen angesichts einer sich ständig wandelnden, gesellschaftsweiten Verarbeitung personenbezogener Daten auch zu erreichen. Die Suche nach einem modernen Datenschutzrecht muss einem in sich stimmigen, demokratischen und pluralistischen Modell der Evolution des Datenschutzrechts folgen. Dieses könnte unter anderem wie folgt aussehen: Die notwendige Variation von Lösungsansätzen könnte dadurch erreicht werden, dass die Mitgliedstaaten – innerhalb des Spielraumes der Datenschutz-Grundverordnung – vielfältige neue Datenschutzkonzepte erproben, die jeweils auf neue Herausforderungen moderner Informationstechnik reagieren oder diese sogar steuern.575 Angesichts der Vielfalt und Dynamik der zukünftigen, heute noch unbekannten Herausforderungen der Digitalisierung für die Grundrechte kann auf der Ebene der Mitgliedstaaten mit unterschiedlichen Regelungskonzepten experimentiert werden. Dadurch können vielfältige Quellen dazu beitragen, dass sich in der Union ein lebendiger Datenschutz entwickelt. Statt einer Vereinheitlichung der Datenschutzpraxis ermöglichen unbestimmte Rechtsbegriffe 573 S. hierzu näher Roßnagel, in: Roßnagel, 2018, 34 f. 574 S. Roßnagel, in: Roßnagel, 2018, 28ff. 575 Ein verbraucherrelevantes Beispiel ist § 31 BDSG. 7 Gewährleistung der Zukunftsfähigkeit des Datenschutzrechts 173 und ihre situationsgerechte Konkretisierung, dass in den einzelnen Mitgliedstaaten Datenschutz den lokalen Bedingungen angepasst werden kann. Schließlich könnten die vielen Regelungsmöglichkeiten der Mitgliedstaaten Chancen für eine Modernisierung des Datenschutzrechts bieten, indem dort versucht wird, durch risikoadäquate Regelungen einen ausreichenden Schutz der Grundrechte gegen künftige Herausforderungen zu gewährleisten. Erfolgreiche Regulierungsmodelle könnten in andere Mitgliedstaaten und darüber hinaus exportiert werden. So könnte ein pluralistisches Modell entstehen, bei dem zahlreiche Mitspieler die Evolution des Datenschutzrechts vorantreiben.576 Die notwendige Harmonisierung des Datenschutzrechts im europäischen Binnenmarkt wird dabei durch die Grundverordnung selbst gewährleistet. Die Kommission sollte diese Variationen nicht als Verstoß gegen die Datenschutz-Grundverordnung ansehen, sondern deren Anwendung in einem oder mehreren Mitgliedstaaten als geeignetes Mittel verstehen, um eine Erprobung der verschiedenen Datenschutzkonzepte in der Praxis durchzuführen. Solange diese nicht gegen grundlegende Festlegungen der Datenschutz-Grundverordnung verstoßen, helfen sie, diese durch Erfahrung mit neuen und angepassten Datenschutzkonzepten zu verbessern. In den regelmäßigen Evaluationen der Kommission zur Umsetzung der Datenschutz-Grundverordnung findet eine Bewertung und Selektion der verschiedenen Datenschutzkonzepte statt. In den Diskussionen über den Evaluationsbericht haben alle Interessierte die Möglichkeit, ihre individuellen Bewertungen in die Evaluation einzubringen. Hier werden die Erfolge für den Grundrechtsschutz der Betroffenen und für den Ausgleich mit den Grundrechtspositionen und den öffentlichen Interessen der Datenverarbeiter bewertet. Schließlich finden in regelmäßigen Novellen zur Datenschutz-Grundverordnung Festlegungen durch den Unionsgesetzgeber statt, in denen er das in einzelnen Mitgliedstaaten Bewährte unionsweit übernimmt. So kann die notwendige Modernisierung des Datenschutzrechts mit seiner notwendigen Vereinheitlichung in der Europäischen Union vereinbart werden. 576 S. hierzu ausführlicher Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 383 f. 7 Gewährleistung der Zukunftsfähigkeit des Datenschutzrechts 174 Zusammenfassung der Ergebnisse Die Datenschutz-Grundverordnung hat die Stellung von Verbrauchern bei der Verarbeitung personenbezogener Daten an vielen Stellen verbessert. Hier sind unter anderem das Aufenthaltsprinzip, das Recht auf Datenübertragung, die Verpflichtung zum Datenschutz durch Systemgestaltung, das Beschwerderecht und die Sanktionierung von Verstößen zu nennen. Dennoch bleibt sie hinter ihren Möglichkeiten zurück. Einerseits hat die Grundverordnung eine erhebliche Rechtsunsicherheit geschaffen, die sich zumeist zuungunsten der Verbraucher auswirkt. Diese Unsicherheit resultiert überwiegend daraus, dass die Grundverordnung zu abstrakt bleibt und klarstellende Präzisierungen unterlässt – sowohl was ihr Verständnis als auch was ihre praktische Umsetzung betrifft. Dies verleitet Anbieter dazu, die vorhandenen Auslegungsspielräume zu Ungunsten von Verbrauchern zu nutzen. Andererseits konnten sich bestimmte verbraucherfreundliche Regelungen bei der Entstehung der Grundverordnung schlicht nicht durchsetzen. Dies betrifft etwa einen angemessenen Schutz vor Scoring. Beides behindert die Innovationen, die die Datenschutz-Grundverordnung 2018 in die europäische Datenschutzpraxis einführen wollte. Sie können ihre verbraucherschützenden Potentiale nicht entfalten. Die vorliegende Untersuchung zeigt, dass Probleme auf zwei Ebenen bestehen. Zunächst sind Probleme zu nennen, die auf Mängeln im Normtext beruhen. Hier wurden 33 Formulierungen vorgeschlagen, um den Text der Datenschutz-Grundverordnung aus Verbrauchersicht zu verbessern. Darüber hinaus bestehen aber auch konzeptionelle Probleme, die nicht mit kleineren Eingriffen in den Normtext beseitigt werden können. Auch hierzu wurden Lösungsansätze angeboten und diskutiert, deren Umsetzung weiter in die Zukunft gerichtet ist. Gemessen an diesen Erwartungen ist der Evaluationsbericht der Europäischen Kommission vom 24. Juni 2020 enttäuschend. Er beschränkt sich allein auf ausgewählte Aspekte der Umsetzung der Datenschutz-Grundverordnung und verweigert sich einer Diskussion der in vielen Stellungnahmen vorgeschlagenen Verbesserungen des Verordnungstextes. Dabei bot die Evaluation der Datenschutz-Grundverordnung die ideale Gelegenheit, den Unionsgesetzgeber auf die genannten Defizite hinzuweisen, und Vorschläge vorzustellen, die Verordnung konstruktiv weiterzuentwickeln. Ziel muss es dabei sein, das Machtgefälle zwischen Anbietern und Verbrau- 8 175 chern zu reduzieren. Dies wird erreicht, indem in der Grundverordnung angelegte Innovationen besser zur Geltung gebracht werden. Der Erfolg der verbraucherfreundlichen Innovationen der Datenschutz- Grundverordnung darf nicht allein von der Auslegung des geltenden Normtextes aus dem Jahr 2016 abhängen. Es sind vielmehr Präzisierungen vorzunehmen, die grundrechtsfreundlichere Regelungen direkt im Wortlaut der jeweiligen Normen verankern und Rechte der Verbraucher und Pflichten der Verantwortlichen eindeutiger fassen. Bereits kleine Veränderungen des Textes können die notwendige Präzisierung erreichen oder zumindest die Bestimmtheit der Regelung deutlich steigern und eine erheblich die Verbraucher stärkende Wirkung entfalten. Dort, wo dies nicht der Fall ist, müssen anstelle des Unionsgesetzgebers die Gesetzgeber der Mitgliedstaaten, der Europäische Datenschutzausschuss und die nationalen Datenschutzaufsichtsbehörden tätig werden Gesetze oder Leitlinien erlassen. Auch hierzu bietet das Gutachten Anregungen. Konkret wurden die folgenden Überarbeitungen der Datenschutz- Grundverordnung vorgeschlagen, wobei die Reihung der Vorschläge keine Priorisierung bestimmter Vorschläge indiziert: Ausübung persönlicher oder familiärer Tätigkeiten: – Rücknahme der vollständigen Ausnahme von invasiven Datenverarbeitungen aus dem Anwendungsbereich der Datenschutz-Grundverordnung in Art. 2 Abs. 2 lit. c DSGVO; stattdessen risikoadäquate Differenzierung auch bei persönlichen und familiären Tätigkeiten; vollständige Ausnahme aus dem Anwendungsbereich nur bei geringen Risiken; bei erhöhten Risiken teilweise Anwendung ausgewählter Regelungen der Datenschutz-Grundverordnung. Aufenthaltsprinzip: – Ausweitung des räumlichen Anwendungsbereichs der Datenschutz- Grundverordnung auf jede Form der Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union aufhalten. Grundsätze der Datenverarbeitung: – Anpassung der deutschen Sprachfassung der Datenschutz-Grundverordnung: Ersetzung des Begriffspaars „Treu und Glauben“ in Art. 5 Abs. 1 lit. a DSGVO durch den Begriff „Fairness“. – Ergänzung der Datenschutz-Grundverordnung um ein Gebot der Datenvermeidung in Art. 5 Abs. 1 lit. c DSGVO. – Modernisierung und risikoadäquate Weiterentwicklung der Grundsätze der Datenverarbeitung. 8 Zusammenfassung der Ergebnisse 176 Verhältnis zwischen Einwilligung und anderen Erlaubnistatbeständen: – Klarstellung in Art. 6 Abs. 1 UAbs. 1 DSGVO, dass ein Verantwortlicher sich neben einer Einwilligung nicht zusätzlich oder ersatzweise auf einen anderen gesetzlichen Erlaubnistatbestand berufen kann und dadurch andere Rechtsfolgen für die betroffene Person bewirkt. Bestimmung des Vertragszwecks: – Präzisierung des Erlaubnistatbestandes von Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO: objektive (funktionale) Bestimmung der zur Erfüllung eines Vertrages notwendigen Verarbeitung personenbezogener Daten unabhängig von der Vertragsformulierung. Profiling: – Eigenständiger Erlaubnistatbestand für Profiling, das im Grundsatz unzulässig und nur in definierten Ausnahmefällen möglich sein soll. Verarbeitung der Daten von Kindern: – Berücksichtigung der besonderen Schutzinteressen bei der Prüfung der Vereinbarkeit eines neuen Verarbeitungszwecks mit dem bisherigen Verarbeitungszweck, wenn die Daten eines Kindes für einen anderen Zweck verwendet werden sollen. – Übernahme von Erwägungsgrund 38 Satz 2 DSGVO in den Normtext, die Daten von Kindern nicht für Werbezwecke und Profiling zu verwenden. – Ausschluss der Einwilligung eines Kindes in die Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 2 lit. a DSGVO. – Besondere Berücksichtigung der Tatsache, dass personenbezogene Daten im Kindesalter erhoben worden sind, beim Recht auf Widerspruch. – Unzulässigkeit der Einwilligung eines Kindes in die Verarbeitung personenbezogener Daten zur automatisierten Entscheidung. – Besondere Berücksichtigung der Grundrechte und Interessen von Kindern bei der datenschutzgerechten Systemgestaltung und den datenschutzfreundlichen Voreinstellungen nach Art. 25 DSGVO. – Aufnahme einer Verpflichtung zu besonderer Berücksichtigung der Grundrechte und Interessen von Kindern bei der Risikoanalyse und bei der Festlegung von Schutzmaßnahmen in der Datenschutz-Folgenabschätzung. Informationspräsentation: – Ergänzung der Datenschutz-Grundverordnung um spezifische Regelungen zur Informationspräsentation im Kontext spezieller Anwendungsbereiche und Technologien. 8 Zusammenfassung der Ergebnisse 177 – Situations-, interessen- und entscheidungsgerechte Informationspräsentation. – Fokussierung der Informationen auf die tatsächlichen Umstände der jeweils anstehenden Verarbeitung. Informationspflichten des Verantwortlichen: – Ergänzung einer Grundregel zur Auflösung des Konflikts zwischen Informationsanspruch und Geheimnisschutz: Bereitstellung eines möglichst hohen Maßes an Information unter gleichzeitiger Wahrung von Geschäftsgeheimnissen und geistigem Eigentum; Verpflichtung zu einem unter Berücksichtigung dieser Gegeninteressen vertretbaren Maximum an Information. – Klarstellung, dass die Information über die Tragweite auch die rechtlichen und tatsächlichen Auswirkungen auf die betroffene Person umfasst. – Klarstellung, dass Information über die „involvierte Logik“ auch die Kriterien für die Entscheidung und ihre Gewichtung umfassen müssen. – Klarstellung, dass eine Arbeitsteilung im Kontext automatisierter Entscheidungen im Einzelfall nicht zu einem Unterbleiben oder einer Verkürzung der Information führen darf; Informationspflicht bei arbeitsteiligen automatisierten Entscheidungsverfahren jedes Kooperationspartners über seinen Anteil am Verfahren samt den Schnittstellen zu allen anderen Anteilen. – Ergänzung um eine Informationspflicht bei jedem Profiling, auch wenn dieses nicht unmittelbar mit einer automatisierten Entscheidung verbunden ist, sondern für andere Bewertungszwecke verwendet wird. – Ergänzung von Art. 13 DSGVO um Regelungen zur Informationserleichterung bei der Erhebung von Daten in alltäglichen Kontakten. Das Auskunftsrecht der betroffenen Person: – Verpflichtung des Verantwortlichen zur Protokollierung aller Empfänger personenbezogener Daten; Pflicht zur Bekanntgabe dieser Protokollinhalte gegenüber der betroffenen Person. – Verpflichtung des Verantwortlichen zu einer gesonderten Information für jedes Profiling, dessen Umfang, Inhalt, Zielsetzung und Verwendungszweck. – Präzisierung des Rechts auf Kopie; Ergänzung einer Pflicht zur Mitteilung aller verarbeiteten Daten, wenn keine Kopie zur Verfügung gestellt werden kann. Das Recht auf Datenübertragung: – Ersetzung des Titels der Vorschrift, der nicht nur eine Möglichkeit, sondern die Handlung beschreibt, die der Verbraucher fordern kann und 8 Zusammenfassung der Ergebnisse 178 zu der der Verantwortliche verpflichtet ist: Recht auf Datenübertragung. – Ausweitung des Rechts auf Datenübertragung auf die von der betroffenen Person verursachten Daten. – Festlegung der Übertragung der Daten in einem interoperablen Format und in deutscher (oder der jeweiligen Landessprache des Mitgliedstaates) oder englischer Sprache. Automatisierte Entscheidungen im Einzelfall: – Streichung der Einschränkung „ausschließlich“ für die Bestimmung des Anwendungsbereichs der Vorschrift. – Ergänzung um ein Verbot, automatisiert vorbereiteten Entscheidungen ausgeliefert zu sein, die der menschliche Entscheider im Regelfall unbesehen übernimmt, ohne dass die betroffene Person eine Möglichkeit hat, vor der Entscheidung ihren Standpunkt vorzutragen. – Streichung der Einschränkung, dass die Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt; benachteiligende Beeinträchtigung soll ausreichen. – Streichung von Art. 22 Abs. 2 lit. a DSGVO. Die Verarbeitung auf der Grundlage einer Einwilligung der betroffenen Person nach Art. 22 Abs. 2 lit. c DSGVO genügt. – Aufnahme von qualitativen Anforderungen an eine auf einer automatisierten Verarbeitung beruhenden Entscheidung gemäß Erwägungsgrund 71 DSGVO und dem Vorbild von § 31 BDSG. – Ergänzung von Art. 22 Abs. 3 DSGVO um die Wendung „und die Erläuterung der Entscheidungsgründe“. Verantwortung des für die Verarbeitung Verantwortlichen: – Ergänzung um eine Verpflichtung der Hersteller zur Unterstützung der Verantwortlichen. Datenschutz durch Systemgestaltung: – Aufnahme einer Verpflichtung zu besonderem Schutz der Grundrechte und Interessen von Kindern. – Technologie- oder bereichsspezifische Konkretisierung der Verpflichtung zur Systemgestaltung durch den Europäischen Datenschutzausschuss. – Ausweitung der Verpflichtung auf die Hersteller von datenverarbeitenden Systemen. 8 Zusammenfassung der Ergebnisse 179 Datenschutz durch Voreinstellungen: – Beschränkung des Zwecks auf die Funktionalität des jeweiligen Dienstes. – Ergänzung um das Prinzip der Datenvermeidung. – Aufnahme einer Verpflichtung zu besonderem Schutz der Grundrechte und Interessen von Kindern. Befugnisse der Aufsichtsbehörden: – Ergänzung der Befugnisse der Aufsichtsbehörden in Art. 58 Abs. 1 und 2 DSGVO um Möglichkeiten, gegenüber Herstellern Anordnungen treffen zu können. Aufgaben des Europäischen Datenschutzausschuss: – Aufnahme zusätzlicher Aufgaben des Europäischen Datenschutzausschusses in Art. 70 Abs. 1 DSGVO: Präzisierung der Pflicht zu einer datenschutzgerechten Systemgestaltung nach Art. 25 Abs. 1 DSGVO und der Pflicht zur datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO sowie nähere Bestimmung der interoperablen Formate für eine Übertragung von Daten gemäß Art. 20 Abs. 1 und 2. Rechtsbehelfe und Schadensersatz gegen Hersteller: – Erstreckung des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf und des Rechts auf Schadensersatz auf Hersteller. Zu den Sanktionen: – Präzisierung der Bußgeldtatbestände durch eine Leitlinie des Ausschusses nach Art. 70 Abs. 1 Satz 2 lit. k DSGVO; Präzisierung durch unverbindliche Bußgeldkataloge der mitgliedstaatlichen Aufsichtsbehörden. – Ergänzung des Art. 83 Abs. 4 lit. a DSGVO um einen Verweis auf die Pflichten des Herstellers. – Verpflichtung der Aufsichtsbehörden zur Veröffentlichung einer jährlichen Statistik zu ihrer Bußgeldpraxis. Die Innovationen der Datenschutz-Grundverordnung können sich nur entfalten, wenn ausreichend konkrete Regelungen eine effektive Anwendung gewährleisten. Rechtsunsicherheit muss vermieden werden. Dabei schlägt die Datenschutz-Grundverordnung an vielen Stellen zu stark in Richtung Offenheit aus und verhindert mangels Präzisierung, dass Pflichten ernst genommen werden und Datenschutz in allen Facetten auch tatsächlich gelebt wird. Der Erfolg der Innovationen der Datenschutz-Grundverordnung steht und fällt mit diesen Präzisierungen. Hierzu wurden Vorschläge unterbreitet, wie die Datenschutz-Grundverordnung mit Blick auf ihre eigene Konsistenz und Umsetzung verbessert werden kann. Bei der Erarbeitung dieser Vorschläge stand die Sicht des Verbrauchers im Mittelpunkt. Dessen Stellung zu stärken und Machtasymmetrien zwischen Ver- 8 Zusammenfassung der Ergebnisse 180 arbeitern und betroffenen Personen abzubauen, steht im Einklang mit dem erklärten Ziel der Datenschutz-Grundverordnung, die Verarbeitung personenbezogener Daten in die Dienste der Menschheit zu stellen und die Rechte und Freiheiten der betroffenen Personen – freilich unter Beachtung der Rechte der Datenverarbeiter – zu wahren und zu ihrem Wohlergehen beizutragen. Die Untersuchung hat gezeigt, dass bereits kleine Veränderungen des Wortlauts im Normtext der Datenschutz-Grundverordnung eine deutlich verbraucherstärkende Wirkung entfalten und Fehlentwicklungen vorbeugen können. An einigen Stellen ist jedoch eine umfassende Präzisierung und Klarstellung durch Leitlinien des Europäischen Datenschutzausschusses unerlässlich. Die Verbesserungsvorschläge hätten schon im Rahmen der Evaluation der Datenschutz-Grundverordnung im Jahr 2020 für eine konstruktive Weiterentwicklung der Verordnung genutzt werden können. Einige von ihnen hätten vermutlich Widerspruch erfahren und eine umfassendere Diskussion in der Europäischen Union erfordert. Viele sind aber so klar und einfach, dass sie auf eine große Zustimmung treffen könnten. Dass die Kommission sie in ihrem Evaluationsbericht nicht berücksichtigen und zumindest erörtern wollte, stell ihre Berechtigung nicht in Frage. Sie können und werden die Grundlage für eine weitergehende Diskussion zur notwendigen Verbesserung der Datenschutz-Grundverordnung bieten. Das Datenschutzrecht regelt eine Rechtsmaterie, die stark durch immer wieder neue Geschäftsmodelle und den dynamischen Fortschritt der Informationstechnik herausgefordert wird. Die Datenschutz-Grundverordnung kann deshalb nicht der Endpunkt der Diskussion um die konzeptionelle Ausformung des Datenschutzrechts sein. Vielmehr zeichnen sich bereits jetzt Entwicklungen ab, die das aktuelle Datenschutzrecht schlicht überfordern. Dies liegt zum einen daran, dass die Datenschutz-Grundverordnung die zentralen Konzepte des Datenschutzrechts, die in den 1970er Jahren entwickelt worden sind, im Wesentlichen übernommen hat. Zum anderen ist es darauf zurückzuführen, dass der Unionsgesetzgeber es abgelehnt hat, risikospezifische Grundregeln zu erlassen, die den größten Gefährdungen der Grundrechte durch moderne Informationstechnikanwendungen gerecht werden. Das Gutachten bietet zu diesen Grundfragen des Datenschutzrechts Denkanstöße und skizziert Lösungsansätze, die bezogen auf die Risiken dieser Herausforderungen Benachteiligungen von Verbrauchern verhindern sollen. 8 Zusammenfassung der Ergebnisse 181 Executive Summary The General Data Protection Regulation (GDPR) has improved the standing of consumers regarding the processing of personal data in many places. Examples are the residence principle, the right to data portability, data protection by design, the right to lodge a complaint and the sanctioning of violations. Yet, it does not realise its full potential. On the one hand, the GDPR has created significant legal uncertainty, which often affects consumers adversely. This uncertainty results mostly from the fact that the GDPR remains abstract and omits clarifying specifications – both concerning its understanding and its practical implementation. This entices providers to use the existing room for manoeuvre to the disadvantage of consumers. On the other hand, certain consumer-friendly provisions simply were unsuccessful during the creation of the GDPR. This concerns for instance an adequate protection from scoring. Both hinder the innovations that the GDPR aimed to introduce 2018 into the European data protection practice. They are unable to unfold their potentials when it comes to protecting consumers. This report shows that issues exist on two levels. First, there are issues that result from deficits in the text of the regulation. Here, the report suggests 33 alterations of the text in order to improve it – from the point of view of consumers. Beyond that, there are conceptional issues that cannot be resolved with smaller alterations of the text of the norm. The report suggests and discusses approaches to these issues whose implementation is directed more towards the future. Considering these expectations, the evaluation report of the European Commission from 24 June 2020 is underwhelming. It is limited solely to select issues of the implementation of the GDPR and rejects any discussion of the improvements of the text of the regulation that were proposed in many written comments. And yet, the evaluation of the GDPR would have been presented the ideal opportunity to point out these issues to European Union lawmakers and to present proposals that constructively evolve the GDPR. The goal must be to reduce the power gradient between providers and consumers. This goal is achieved by better bringing to bear the innovations that are laid out already in the GDPR. 9 182 The success of the consumer-friendly innovations of the GDPR must not solely depend on the interpretation of the applicable text from 2016. Instead there need to be specifications that anchor provisions that are more friendly to fundamental right and that frame the rights of consumers and the obligations of controllers more clearly directly in text of the relevant articles of the GDPR. Even small changes of the text can achieve the necessary specifications or at least significantly increase the clarity of existing provisions and strengthen the position of consumers. Where this is not the case, instead of the EU lawmakers, the lawmakers of the member states, the European Data Protection Board and the national data protection authorities need to enact laws or guidelines. The report contains proposals regarding this as well. In particular, the report proposes the following revisions of the GDPR. The sequence of the recommended revisions is not meant to indicate a prioritisation of certain revisions. Processing in the course of a purely personal or household activity: – Retraction of the complete exemption of invasive data processing from the material scope of the GDPR in Art. 2(2)(c); instead risk-adequate differentiation also in the context of personal or household activity; complete exemption from the material scope only for low-risk processing; for heightened risks application of select provisions of the GDPR. Residence principle: – Expansion of the territorial scope of the GDPR to include every type of processing of personal data of data subjects that reside in the European Union. Principles relating to processing of personal data: – Adjustment of the German language version of the GDPR: Replacing the term “Treu und Glauben” in Art. 5(1)(a) with “Fairness”. – Amendment of the GDPR with an obligation to data avoidance in Art. 5(1)(c). – Modernising and risk-adequate evolution of the principles. Relations between consent and other grounds for lawful processing: – Clarification in Art. 6(1)(1) GDPR that a controller in addition to consent or as substitute for consent cannot rely on another ground for lawful processing while creating different legal effects on the data subject. Determining the purpose of a contract: – Specification of Art. 6(1)(1)(b) GDPR: objective (functional) specification of the processing of personal data that is necessary to fulfil a contract independently from the phrasing of the contract. 9 Executive Summary 183 Profiling: – Separate provisions on lawfulness regarding profiling, which shall be unlawful by default and only possible in pre-defined exceptions. Processing of data of children: – Consideration of the special protection that children merit when assessing the compatibility of a new purpose with the initial purpose, if the data of a child are to be used for another purpose. – Transfer of recital 38(2) GDPR to the articles, prohibiting the use of personal data of children for the purposes of marketing or profiling. – Exclusion of the consent of a child from the processing of special categories of personal data according to Art. 9(2)(a) GDPR. – Special consideration of the fact that personal data has been obtained during childhood in the right to object. – Inadmissibility of the consent of a child to the processing of personal data for automated individual decision-making. – Special consideration of the fundamental rights and interests of children in the context of data protection by design and by default according to Art. 25 GDPR. – Incorporation of an obligation to special consideration of the fundamental rights and interests of children in the context of risk analysis and when determining measures for protection during a data protection impact assessment. Presenting information: – Addition of specific provisions regarding the presentation of information in the context of specific fields of processing and technologies. – Presentation of information that is adequate to the situation, the interests and the decisions involved. – Focussing of information on the actual circumstances of the respective processing that is about to occur. Information to be provided by the controller: – Addition of a basic rule to resolve the conflict between the right to access and the protection of trade secrets: provision of the highest amount of information possible while protecting trade secrets and intellectual property; obligation to provide a maximum of information while still taking these opposing interests into account. – Clarification that information on the “logic involved” entails the criteria for the decision and their balancing. – Clarification that a division of labour or cooperation in the context of automated individual decision-making must not lead to an omission or limitation of information to be provided to the data subject; obligation 9 Executive Summary 184 to inform about divided / cooperative automated decision processes that has to be met by every cooperating partner concerning his or her contribution to the process including the interfaces to all other contributions. – Addition of an obligation to provide information for every profiling, even if it is not directly linked to an automated individual decision but is instead used for other assessment purposes. – Amending Art. 13 GDPR with rules that facilitate the provision of information in everyday contact/communication. Right of access by the data subject: – Obligation of the controller to log all recipients of personal data; obligation to present the contents of the log to the data subject. – Obligation of the controller to separately inform the data subject of any profiling, its extent, contents, goals and purposes. – Specification of the right to be provided with a copy; addition of an obligation to communicate all processed data wherever no copy can be provided. Right to data portability: – Rephrasing the title of the norm in a way that not only describes a possibility, but the action that the consumer may demand, and that the controller is obligated to perform: “Recht auf Datenübertragung” / “right to data transmission”. – Expansion of the right to data transfer to the data caused by the data subject. – Stipulation of the transfer of data in an interoperable format and in German (or the respective language of the member state) or in English. Automated individual decision-making: – Deletion of the limitation “solely” in the scope of the applicability of the provision. – Addition of a prohibition to be subjected to automatically prepared decisions that the human decider adopts without review and without giving the data subject the opportunity to present his or her point of view prior to the decision. – Deletion of the limitation that the decision must produce legal effects concerning the data subject or “similarly significantly affects him or her”; a detrimental effect shall be sufficient. – Deletion of Art. 22(2)(a) GDPR. Processing on the basis of consent of the data subject according to Art. 22(2)(c) is sufficient. 9 Executive Summary 185 – Addition of qualitative requirements for a decision that is based on an automatically prepared decision in the image of § 31 of the German Federal Data Protection Act. – Amendment of Art. 22(3) GDPR with the phrase “to clarification of the reasons for the decision”. Responsibility of the controller: – Addition of a liability for manufacturers to support the controller. Data protection by design: – Addition of an obligation to award special protection to the fundamental rights and interests of children. – Technologically specific or sector-specific specification of the obligation of data protection by design by the Board. – Expansion of the obligation to producers/manufacturers of systems that process personal data. Data protection by default: – Limitation of the purpose to the functionality of the respective service. – Amendment of the principle of data avoidance. – Addition of an obligation to award special protection to the fundamental rights and interests of children. Powers of the supervisory authorities: – Amendment of the powers of the supervisory authorities in Art. 58(1) and (2) GDPR with the power to instruct manufacturers. Tasks of the European Data Protection Board: – Incorporation of additional tasks of the European Data Protection Board in Art. 70(1) GDPR: Specification of the obligation to data protection by design according to Art. 25(1) GDPR and data protection by default according to Art. 25(2) GDPR as well as specification of interoperable formats for a transmission of data following Art. 20(1) and (2) GDPR. Remedies and penalties with regard to manufacturers: – Extension of the right to an effective judicial remedy and the right to receive compensation to manufacturers. Regarding administrative fines: – Specification of the provisions on administrative fines through guidelines issued by the Board in accordance with Art. 70(1)(2)(k) GDPR; specification through non-binding catalogues on fines by the data protection authorities of the member states. – Amendment of Art. 83(4)(a) GDPR with a cross reference to the responsibilities of the manufacturer. 9 Executive Summary 186 – Obligation of the data protection authorities to publish an annual statistic on the issuing of fines. The innovations of the General Data Protection Regulation can only unfold, if sufficiently concrete provisions ensure an effective application. Legal uncertainty must be avoided. However, in many places the GDPR goes too far in the direction of openness and thus prevents – for lack of specification – that legal obligations are taken seriously, and that data protection is appreciated in all its facets. The success of the innovations of the GDPR depends on these specifications. This report has made recommendations how to improve the GDPR with regard to its consistency and implementation in order to constructively advance the regulation. While drafting these recommendations, the view of the consumer took centre stage. Strengthening the position of the consumer and to reduce the asymmetry of power between controller and data subject is in line with the pronounced goal of the GDPR to have the processing of personal data serve mankind, to safeguard the fundamental rights and freedoms of data subjects and to contribute to the well-being of natural persons – indeed with respect to the rights of the controllers. This report has demonstrated that even small changes in the wording of the provisions of the regulation can have a significant effect in strengthening the position of consumers and to prevent aberration. In some places however, extensive specification and clarification through guidelines issued by the European Data Protection Board is irremissible. The recommendations given could have already been used in the context of the evaluation of the GDPR in the year 2020 for constructive enhancements of the regulation. Some of the recommendations would likely have sparked opposition and required a comprehensive discussion in the European Union. Others however are so clear and simple that they can hope for broad consent. The fact that the Commission did not seek to consider or at least to discuss them in the evaluation report does not call their eligibility into question. They can and will provide the basis for a continued discussion on necessary improvements of the GDPR. Data protection law governs a field of law that is challenged constantly and profoundly by emerging business models and the dynamic evolution of information technology. Therefore, the GDPR cannot be the final act in the discussion on the structural foundation and implementation of data protection law. Rather, developments are on the horizon that simply overstrain the current data protection law. The reason for this is on the one hand that the GDPR in essence maintains the fundamental concepts of data protection law that were developed in the 1970s. On the other hand, it 9 Executive Summary 187 results from the refusal of the EU lawmakers to enact technologically specific basic rules that do justice to the biggest threats to fundamental rights caused by modern information technology. The report offers food for thought regarding these fundamental questions and outlines approaches that prevent disadvantages for consumers in the context of the risks that emerge from these challenges. 9 Executive Summary 188 Literatur Abel, R. B., Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO, ZD 2018, 304. Albrecht, J. P., Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88. Albrecht, J. P./Jotzo, F., Das neue Datenschutzrecht der EU, Baden-Baden 2017 (zitiert: Bearbeiter, in: Albrecht/Jotzo). Aridor, G./Che, Y.-K., Nelson, W./Salz, T., The Economic Consequences of Data Privacy Regulation: Empirical Evidence from GDPR, Social Science Research Network, 24.1.2020; https://ssrn.com/abstract=3522845. Artikel 29-Datenschutzgruppe, Schutz der personenbezogenen Daten von Kindern, WP 147, 2008. Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, 2017, vom Europäische Datenschutzausschuss am 25. Mai 2018 übernommen. Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 2018, vom Europäischen Datenschutzausschuss am 25. Mai 2018 übernommen. Artikel 29-Datensachutzgruppe, Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679, WP 253, 2017. Artikel 29-Datenschutzgruppe, Leitlinien für Transparenz, WP 260 rev.01, 2018, vom Europäische Datenschutzausschuss am 25. Mai 2018 übernommen. Bayerisches Landesamt für Datenschutz, 8. Tätigkeitsbericht 2017/2018, Ansbach 2019. Bergt, M., Sanktionierung von Verstößen gegen die Datenschutz-Grundverordnung, DuD 2017, 555. Bernhardt, U./Ruhmann, I./Schuler, K./Weichert, T., Netzwerk Datenschutzexpertise, Evaluation der Europäischen Datenschutz-Grundverordnung, DSGVO nach einem Jahr, 18.7.2019. Bieker, F./Bremert, B./Hansen, M., Die Risikobeurteilung nach der DSGVO, DuD 2018, 492. Bischoff, B., Drohnen im rechtlichen Praxistest, DuD 2017, 142. BITKOM, Kinder und Jugend in der digitalen Welt, Berlin 2017. Born, T., Bonitätsprüfungen im Online-Handel – Scorewert-basierte automatisierte Entscheidung über das Angebot von Zahlungsmöglichkeiten, ZD 2015, 66. Brink, S./Joos, Reichweite und Grenzen des Auskunftsanspruchs und des Rechts auf Kopie – Tatbestandlicher Umfang und Einschränkungen des Art. 15 DS- GVO, ZD 2019, 483. 189 Buchner, B., Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS- GVO, DuD 2016, 155. Buchner, B., Von der Wiege bis zur Bahre? – Datenschutz im Familienrecht unter der DS-GVO, FamRZ 2019, 665. Bundesregierung, Germany, in: Council of the European Union, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) – Comments from Member States, No. prev. doc.: 11292/19, Brussels 2019, https://data.consilium.europa.eu/doc/document/ ST-12756-2019-REV-1/en/pdf. Dammann, U., Der EuGH im Internet – Ende des internationalen Datenschutzes?, RDV 2004, 19. Datenethikkommission der Bundesregierung, Gutachten, Berlin 2019. Dausend, T., Der Auskunftsanspruch in der Unternehmenspraxis. Beispiel zur Bearbeitung von Betroffenenanfragen und Exkurs zur Reichweite des Auskunftsanspruchs, ZD 2019, 103. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Tätigkeitsbericht 2017-2018, 27. Tätigkeitsbericht, Berlin 2019. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Tätigkeitsbericht Datenschutz 2018, 27. Tätigkeitsbericht, Hamburg 2019. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Tätigkeitsbericht Datenschutz 2019, 28. Tätigkeitsbericht, Hamburg 2020. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit: 47. Tätigkeitsbericht Datenschutz, 1. Tätigkeitsbericht Informationsfreiheit, Wiesbaden 2019. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden- Württemberg, Unsere Freiheiten: Daten nützen – Daten schützen, Tätigkeitsbericht Datenschutz 2018, 34. Tätigkeitsbericht, Stuttgart 2019. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Ergebnisse der Anhörung vom 28. Juni 2019 bei der IHK Stuttgart zur Evaluierung der DS-GVO, Stuttgart November 2019. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg- Vorpommern, Vierzehnter Tätigkeitsbericht zum Datenschutz, Schwerin 2019. Deutsche Telekom AG, Stellungnahme der Deutschen Telekom AG zur Bewertung und Überprüfung der Datenschutz-Grundverordnung durch die EU-Kommission gem. Art. 97 DSGVO, 14.3.2019. DIGITALEUROPE, Almost two years of GDPR: celebrating and improving the application of Europe’s data protection framework, Policy Paper, 21.1.2020, https://www.digitaleurope.org/wp/wp-content/uploads/2020/01/Position-paperon-GDPR-review.pdf. Deutscher Industrie- und Handelskammertag, Positionspapier zur Evaluation der DSGVO, vom Berlin, 2.7.2019. Dieterich, D., Rechtsdurchsetzungsmöglichkeiten der DS-GVO – Einheitlicher Rechtsrahmen führt nicht zwangsläufig zu einheitlicher Rechtsanwendung, ZD 2016, 260. Literatur 190 Dochow, C., Grundlagen und normativer Rahmen der Telematik im Gesundheitswesen, Baden-Baden 2017. Dorfleitner, D./Hornuf, L, Analyse der Datenschutzerklärungen deutscher Fin- Tech-Unternehmen nach Einführung der DSGVO, Münster 2018. Datenschutzkonferenz, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Erfahrungsbericht zur Anwendung der DS- GVO, November 2019. Datenschutzkonferenz, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14.10.2019. Dünkel, H., Kollektiver Rechtsschutz bei Datenschutzrechtsverstößen – Durchsetzung der DSGVO durch deutsche Verbraucherverbände, DuD 2019, 483. Eckhardt, J./Menz, K., Bußgeldsanktionen der DS-GVO, DuD 2018, 139. Eifert, M./Hoffmann-Riem, W. (Hrsg.), Innovationsfördernde Regulierung, Berlin 2009. Ehmann, E./Selmayr, M. (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2. Aufl., München 2018 (zitiert: Bearbeiter, in: Ehmann/Selmayr, DSGVO 2018). Eifert, M./Hoffmann-Riem, W. (Hrsg.), Geistiges Eigentum und Innovation, Band 1, Berlin-Steglitz 2011 (zitiert: Bearbeiter, in: Eifert/Hoffmann-Riem (Hrsg.), Innovation und Recht, 2011). Engeler, M., Das überschätzte Kopplungsverbot, ZD 2018, 55. Engeler, M./Quiel, P., Recht auf Kopie und Auskunftsanspruch im Datenschutzrecht, NJW 2019, 2201. Eßer, M./Kramer, P./v. Lewinski, K. (Hrsg.), Auernhammer DSGVO/BDSG, 6. Aufl., Köln 2018 (zitiert: Bearbeiter, in: Auernhammer). Europäische Akademie für Informationsfreiheit und Datenschutz, Evaluation of the General Data Protection Regulation, 27.1.2020, https://www.eaid-berlin.de/ wp-content/uploads/2020/01/2020-01-27-EAID_GDPR_evaluation_en.pdf. Europäische Kommission, Mitteilung „Datenschutzvorschriften als Voraussetzung für Vertrauen in die EU und darüber hinaus – eine Bilanz“, KOM(2019) 374 final. Europäische Kommission, Communication from the Commission to the European Parliament and the Council Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition– two years of application of the General Data Protection Regulation, COM(2020) 264 final (SWD(2020) 115 final) vom 24.6.2020. Europäische Kommission, Commission Staff Working Document Accompanying the Document Communication from the Commission to the European Parliament and the Council Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation, COM(2020) 264 final vom 24.6.2020. Faust, S./Spittka, J./Wybitul, T., Milliardenbußgelder nach der DS-GVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, 120. Literatur 191 Forum Privatheit, Evaluation der Datenschutz-Grundverordnung, Policy Paper, Karlsruhe November 2019. Friedewald, M. (Hrsg.), Privatheit und selbstbestimmtes Leben in der digitalen Welt, Wiesbaden 2018. Friedewald, M./Schiering, I./Martin, N., Datenschutz-Folgenabschätzung in der Praxis - Herausforderungen bei der Implementierung eines innovativen Instruments der DSGVO, DuD 2019, 473. Fujiwara, S./Geminn, C./Roßnagel, A.: Angemessenes Datenschutzniveau in Japan. Der Angemessenheitsbeschluss der Kommission und seine Folgen, ZD 2019, 204. Geminn, C., Das Europäische Datenschutzrecht – Zwischen Leuchtturmfunktion und Werteexport?, DVBI 2018, 1539. Geminn, C., Das Smart Home als Herausforderung für das Datenschutzrecht. Enthält die Datenschutz-Grundverordnung risikoadäquate Regelungen?, DuD 2015, 575. Geminn, C., Betroffenenrechte verbessern – Überarbeitungsbedarf der Datenschutz-Grundverordnung, DuD 2020, 307. Geminn, C./Laubach, A., Gewährleistung einer unabhängigen Datenschutzaufsicht in Japan, ZD 2019, 403. Geminn, C./Laubach, A./Fujiwara, S., Schutz anonymisierter Daten im japanischen Datenschutzrecht, ZD 2018, 413. Gesellschaft für Datenschutz und Datensicherheit e.V., Stellungnahme zur Evaluierung der DSGVO vom 28.6.2019. Gilga, C., Ausspioniert im Kinderzimmer? – Gefahren smarter Spielzeuge, ZD-Aktuell 2019, 06822, ZD 2019, Heft 12, V. Glatzner, F., Profilbildung und algorithmenbasierte Entscheidungen: Regulierungsbedarf aus Verbrauchersicht, DuD 2020, 312. Gola, P. (Hrsg.), Datenschutz-Grundverordnung VO (EU) 2016/679, 2. Aufl. München 2018 (zitiert: Bearbeiter, in: Gola). Gola, P./Lepperhoff, N., Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung - Aufnahme und Umfang der Ausnahmeregelung in der DS- GVO, ZD 2016, 9. Greger, R., Kamera on board – Zur Zulässigkeit des Video-Beweises im Verkehrsunfallprozess, NZV 2015, 114. Härting, N., Was ist eigentlich eine „Kopie“? Zur Auslegung des Art. 15 Abs. 3 Satz 1 DSGVO, CR 2019, 219. Hoffmann-Riem, W. (Hrsg.), Big Data – Regulative Herausforderungen, Baden-Baden 2018. IHK München und Oberbayern, Datenschutz modernisieren, IHK-Positionen zur Evaluierung der DSGVO, 2019. Jandt, S., Smart Health – Wird der DSGVO den dynamischen Herausforderungen gerecht?, DuD 2016, 571. Literatur 192 Jandt, S./Roßnagel, A., Datenschutz in Social Networks - Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, 160. Jandt, S./Steidle, R. (Hrsg.), Datenschutz im Internet – Rechtshandbuch zu DSGVO und BDSG, Baden-Baden 2018 (zitiert: Bearbeiter, in: Jandt/Steidle (Hrsg.), Datenschutz im Internet, 2019). Jaspers, A./Jacquemain, T., Datenschutz-Grundverordnung – Praxiserfahrungen und Evaluation - Aus Sicht von Datenschutzbeauftragten, DuD 2020, 297. Johannes, P. C., EDSA: Leitlinien 2/2019 zur Vertragsdatenverarbeitung veröffentlicht, ZD-Aktuell 2019, 06821, ZD 2019, Heft 12, VI. Jülicher, T./Röttgen, C./v. Schönfeld, M., Das Recht auf Datenübertragbarkeit - Ein daten-schutzrechtliches Novum, ZD 358. Keßler, O., Intelligente Roboter – neue Technologien im Einsatz. Voraussetzungen und Rechtsfolgen des Handelns informationstechnischer Systeme, MMR 2017, 589. Kinast, K./Kühnl, C., Telematik und Bordelektronik – Erhebung und Nutzung von Daten zum Fahrverhalten, NJW 2014, 3057. Knote, R./Thies, L. F./Söllner, M./Jandt, S./Leimeister, J. M./Roßnagel, A., Rechtsverträgliche und qualitätszentrierte Gestaltung für „KI made in Germany“. Ein interdisziplinärer Ansatz am Beispiel smarter persönlicher Assistenten, Informatik Spektrum 2020, 118. Krafft, T. D./Zweig, K. A., Transparenz und Nachvollziehbarkeit algorithmenbasierter Entscheidungsprozesse – Ein Regelungsvorschlag aus sozioinformatischer Perspektive, Berlin 2019. Kugelmann, D., Datenfinanzierte Internetangebote – Regelungs- und Schutzmechanismen der DSGVO, DuD 2016, 566. Kühling, J./Buchner, B. (Hrsg.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. Aufl., München 2018 (zitiert: Bearbeiter, in: Kühling/Buchner, DSGVO/ BDSG, 2018). Kühling, J./Sackmann, F., Rechte an Daten, Berlin 2018. Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg, Tätigkeitsbericht 2018, Datenschutz, Potsdam 2019. Lapp, T., Informations- und Auskunftspflichten von Anwaltskanzleien, NJW 2019, 345. Maier, N./Bile, T., Die Zertifizierung nach der DSGVO, DuD 2019, 468. Martin, N./Friedewald, M., Warum Unternehmen sich (nicht) an Recht und Gesetz halten, DuD 2019, Heft 8, 493. Martini, M., Grundlinien eines Kontrollsystems für algorithmenbasierte Entscheidungsprozesse, Berlin 2019. MPFS – Medienpädagogischer Forschungsverbund Südwest, KIM-Studie 2016, Kindheit, Internet, Medien 2016, https://www.mpfs.de/studien/kim-studie/201 6/. MPFS – Medienpädagogischer Forschungsverbund Südwest, JIM-Studie 2018, Jugend, Information, Medien 2018, 29. November 2018. Literatur 193 Nebel, M./Richter, P., Datenschutz bei Internetdiensten nach der DS-GVO - Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2014, 407. Nebel, M./Dräger, M., Altersgrenzen für die Einwilligung von Kindern nach Art. 8 DS-GVO in den einzelnen Mitgliedstaaten, ZD-Aktuell 2019, 06645, ZD 2019, VIII. Netzwerk Datenschutzexpertise, Evaluation der Europäischen DSGVO vom 18.7.2019. Paal, B./Pauly, D., Datenschutz-Grundverordnung Bundesdatenschutzgesetz, Beck’sche Kompakt-Kommentar, 2. Aufl., München 2018 (zitiert: Bearbeiter, in: Paal/Pauly). Plath, K.-U., DSGVO/BDSG, Kommentar, 3. Aufl., Köln 2018 (zitiert: Bearbeiter, in: Plath). Raith, N., Das vernetzte Automobil – im Konfliktzwischen Datenschutz und Beweisführung, Wiesbaden 2019. Rat der Europäischen Union, Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR), 18.7.2019, ST 11292/19. Rat der Europäischen Union, Preparation of the Council position on the evaluation and review of the GDPR – Comments from Member States, 9.10.2019, ST 12756/1/19. Rat der Europäischen Union, Standpunkt und Feststellungen des Rates zur Anwendung der DSGVO, 15.1.2020, ST 14994/2/19, Rev. 2. Reding, V., Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, 195. Reibach, B., Private Dashcams & Co. – Household Exemption ade?, DuD 2015, 157. Richter, P., Datenschutz zwecklos? – Das Prinzip der Zweckbindung im Ratsentwurf der DSGVO, DuD 2015, 735. Rose, E., Datenbrillen, Drohnen, Dashcams …, DuD 2017, 137. Roßnagel, A., Verbraucherrechte im Datenschutz verwirklichen – ein Überblick, in: Brönneke, T./Willburger, A./Bietz, S. (Hrsg.), Verbraucherrechte verwirklichen! Der richtige Instrumentenmix für einen wirkungsvollen Verbraucherrechtsvollzug, Baden-Baden 2020, 299. Roßnagel, A., Evaluation der Datenschutz-Grundverordnung. Verfahren – Stellungnahmen – Vorschläge, DuD 2020, 287. Roßnagel, A., Technik, Recht und Macht – Zur Aufgabe des Freiheitsschutzes in Rechtsetzung und Rechtsanwendung im Technikrecht, MMR 2020, 222. Roßnagel, A., Der Datenschutz von Kindern in der Datenschutz-Grundverordnung – Vorschläge für die Evaluierung und Fortentwicklung, ZD 2020, 88. Roßnagel, A., Privatheit und Selbstbestimmung von Kindern in der digitalisierten Welt: Ein juristischer Blick auf die Datenschutz-Grundverordnung, in: Ammicht Quinn, R./Friedewald, M./Heesen, J./Krämer, N./Stapf, I. (Hrsg.), Aufwachsen in überwachten Umgebungen, Baden-Baden 2020, i.E. Literatur 194 Roßnagel, A., Quantifizierung der Persönlichkeit – aus grundrechtlicher und datenschutz-rechtlicher Sicht, in: Baule, B./Hohnsträter, D./Krankenhagen, S./ Lamla, J. (Hrsg.), Transformationen des Konsums – Vom industriellen Massenkonsum zum individualisierten Digitalkonsum, Baden-Baden, 33. Roßnagel, A., Innovationen der Datenschutz-Grundverordnung – Wer greift die Chancen zu besserem Datenschutz auf?, DuD 2019, 467. Roßnagel, A. (Hrsg.), Das neue Datenschutzrecht, Europäische Datenschutz- Grundverordnung und deutsche Datenschutzgesetze, Baden-Baden 2018. Roßnagel, A., Notwendige Schritte zu einem modernen Datenschutzrecht, in: Roßnagel, A./Friedewald, M./Hansen, M. (Hrsg.), Die Fortentwicklung des Datenschutzrechts, Berlin/Wiesbaden, 2018, 361. Roßnagel, A., Umsetzung der Unionsregelungen zum Datenschutz – Erste Erfahrungen mit der Datenschutz-Grundverordnung aus rechtswissenschaftlicher Sicht, DuD 2018, 741. Roßnagel, A. (Hrsg.), Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, Baden-Baden 2017. Roßnagel, A., Datenschutzgesetzgebung für öffentliche Interessen und das Arbeitsumfeld – Chancen für risikoadäquate Datenschutzregelungen?, DuD 2017, 290. Roßnagel, A., Datenschutzaufsicht nach der Datenschutz-Grundverordnung, Wiesbaden 2017. Roßnagel, A., Wie zukunftsfähig ist die Datenschutz-Grundverordnung? – Welche Antworten bietet sie für die neuen Herausforderungen des Datenschutzrechts?, DuD 2016, 561. Roßnagel, A., Was bringt das neue europäische Datenschutzrecht für die Verbraucher? – Die Datenschutzgrundverordnung steht vor ihrer Verabschiedung, VuR 2015, 361. Roßnagel, A., Big Data – Small Privacy? Konzeptionelle Herausforderungen für das Datenschutzrecht, ZD 2013, 562. Roßnagel, A., Datenschutz in einem informatisierten Alltag, Berlin 2007. Roßnagel, A., Globale Datennetze: Ohnmacht des Staates - Selbstschutz der Bürger. Thesen zur Änderung der Staatsaufgaben in einer „civil information society“, ZRP 1997, 26. Roßnagel, A., Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungs-disziplin, Baden-Baden 1993. Roßnagel, A./Friedewald, M./Hansen, M. (Hrsg.), Die Fortentwicklung des Datenschutzes, Wiesbaden 2018. Roßnagel, A./Geminn, C., Evaluation der DSGVO aus Verbrauchersicht, Kassel, November 2019. Roßnagel, A./Geminn, C./Jandt, S./Richter, P., Datenschutzrecht 2016 - „Smart genug für die Zukunft?“, Ubiquitous Computing und Big Data als Herausforderung des Datenschutzrechts, Band 4, Kassel 2016. Roßnagel, A./Hornung, G. (Hrsg.), Grundrechtsschutz im Smart Car – Kommunikation, Sicherheit und Datenschutz im vernetzten Fahrzeug, Wiesbaden 2019. Literatur 195 Roßnagel, A./Kroschwald, S., Was wird aus der Datenschutzgrundverordnung? - Die Entschließung des Europäischen Parlaments über ein Verhandlungsdokument, ZD 2014, 495. Roßnagel, A./Nebel, M., (Verlorene) Selbstbestimmung im Datenmeer, DuD 2015, 455. Roßnagel, A./Nebel, M./Richter, P., Was bleibt vom Europäischen Datenschutzrecht? - Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, 455. Roßnagel, A./Pfitzmann, A./Garstka, H., Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, Berlin 2001. Roßnagel, A./Richter, P., Aufwachsen in virtuellen und technologisierten Welten: Herausforderungen der Datensammlung, Vernetzung, Kommerzialisierung und neuen Überwachungstechnologien für Jugendliche, in: Sachverständigenkommission 15. Kinder- und Jugendbericht (Hrsg.), Zwischen Freiräumen, Familie, Ganztagsschule und virtuellen Welten – Persönlichkeitsentwicklung und Bildungsanspruch im Jugendalter, Materialien zum 15. Kinder- und Jugendbericht, München 2017, 205. Roßnagel, A./Richter, P./Nebel, M., Besserer Internetdatenschutz für Europa - Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, 103. Rost, M. C., Datenschutzsanktionen: scharfes Schwert oder Papiertiger?, Die deutsche Datenschutzaufsicht erstarkt durch ein neues Maßnahmen- und Sanktionsinstrumentarium, DuD 2019, 488. Sachsen-Anhalt, XV. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, LT-Drs. 7/4095, Magdeburg 2019. Schantz, P., Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841. Schantz, P./Wolff, H. A., Datenschutzgrundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017 (zitiert: Bearbeiter, in: Schantz/Wolff). Scheibel, L./Horn, M./Öksüz, A., Soziale Medien und die EU-Datenschutz-Grundverordnung, Teil II Recht auf Auskunft und Datenübertragbarkeit, hrsg. von Verbraucherzentrale NRW e.V., Düsseldorf 2018. Schulz, S., Die Evaluation der DSGVO – Anregungen aus dem Maschinenraum, DuD 2020, 302. Schulz, W./Dreyer, S., Was bringt die Datenschutz-Grundverordnung für automatisierte Entscheidungssysteme, Gütersloh 2018. Schwartmann, R./Jaspers, A./Thüsing, G./Kugelmann, D. (Hrsg.), Datenschutz- Grundverordnung mit Bundesdatenschutzgesetz, München 2018 (zitiert: Bearbeiter, in: Schwartmann u.a.). Schwenke, T., Schnittstellen zum „Cyborgspace“ – Erkenntnisse zu Datenbrillen nach Ende des „Google Glass“ – Experiments, DuD 2015, 161. SimitisS. (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. Baden-Baden 2014. Simitis, S./Hornung, G./Spiecker gen. Döhmann, I. (Hrsg.), Datenschutzrecht, DSGVO mit BDSG, Baden-Baden 2019 (zitiert: Bearbeiter, in: Simitis/Hornung/ Spiecker gen. Döhmann). Literatur 196 Skistims, H., Smart Homes, Rechtsprobleme intelligenter Haussysteme unter besonderer Beachtung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Band 31, Baden-Baden 2016. Solmecke, C./Kocatepe, S., Google Glass – Der Gläserne Mensch 2.0 - Die neueste technische Errungenschaft – ein Fluch oder eine Herausforderung? ZD 2014, 22. Specht-Riemenschneider, L./Schneider, R., Die gemeinsame Verantwortlichkeit im Datenschutzrecht, MMR 2019, 503. Spindler, G., Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937. Steidle, R., Multimedia-Assistenten im Betrieb – Datenschutzrechtliche Anforderungen, rechtliche Regelungs- und technische Gestaltungsvorschläge für mobile Agentensysteme, Wiesbaden 2005. Stiftung Datenschutz (Hrsg.), Praktische Umsetzung des Rechts auf Datenübertragbarkeit – Rechtliche, technische und verbraucherbezogene Implikationen, 2017. Stöber, M., Zulässigkeit und Grenzen der Videoüberwachung durch Private, NJW 2015, 3681. Strubel, M., Anwendungsbereich des Rechts auf Datenübertragbarkeit, ZD 2017, 355. Sydow, G. (Hrsg.), Europäische Datenschutzgrundverordnung, Handkommentar, 2. Aufl., Baden-Baden 2018 (zitiert: Bearbeiter, in: Sydow). Taeger, J./Gabel, D., DSGVO – BDSG, Kommentar, 3. Aufl., München 2019 (zitiert: Bearbeiter, in: Taeger/Gabel). Tatsumi, T., „Angemessene“ Datenschutzaufsicht in Japan? Kurze Diagnose der ersten Angemessenheitsfeststellung unter DSGVO, CR 2019, 424. Thies, L./Knote, R./Jandt, S./Söllner, M., Konfliktäre Anforderungen an smarte persönliche Assistenten - Dienstleistungsqualität und Rechtsverträglichkeit, DuD 2020, Heft 9, i.E. Uecker, P., Die Einwilligung im Datenschutzrecht und ihre Alternativen. Mögliche Lösungen für Unternehmen und Vereine, ZD 2019, 248. Unabhängige Datenschutzaufsichtsbehörden des Bundes und der Länder, Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO v. 6.11.2019 (zit.: DSK, Erfahrungsbericht). Unabhängiges Datenschutzzentrum Saarland, 27. Tätigkeitsbericht 2017/2018, LT- Drs. 16/780, Saarbrücken 2019. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Tätigkeitsbericht 2019, 37. Tätigkeitsbericht, LT-Drs. 19/1430, Kiel 2019. Veil, W., DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347. Verbraucherzentrale Bundesverband, Modernisierung des europäischen Datenschutzrechts, Berlin 2013. Verbraucherzentrale Bundesverband, Algorithmenbasierte Entscheidungsprozesse, Berlin 2013. Literatur 197 Verbraucherzentrale Bundesverband, Die Europäischen Datenschutz-Grundverordnung, Berlin 2016. Verbraucherzentrale Bundesverband, Algorithmenkontrolle, Berlin 2019. Verbraucherzentrale Bundesverband, Für eine effektive Durchsetzung von Verbraucherrechten in der Plattformökonomie, Berlin 2019. Verbraucherzentrale Bundesverband, Evaluation der DSGVO aus Sicht der Verbraucher, Berlin 27.11.2019. Weichert, T., Big Data und Datenschutz. Chancen und Risiken einer neuen Form der Daten-analyse, ZD 2013, 251. Weichert, T., Verbraucherverbandsklage bei Datenschutzverstößen, Netzwerk Datenschutzexpertise, 20.3.2017. Weichert, T., Die DSGVO, ein – ganz guter – Anfang, DuD 2020, 293. Weik, R., Die Datenkopie nach Artikel 15 Abs. 3 DS-GVO, DuD 2020, 98. Wendehorst, C./Graf v. Westphalen, F., Das Verhältnis zwischen Datenschutz- Grundverordnung und AGB-Recht, NJW 2016, 3745. Westphal, M./Wichtermann, M., Datenportierung nach Art. 20 DS-GVO. Ausgewählte Aus-schlussgründe, ZD 2019, 191. Wissenschaftliche Dienste des Deutschen Bundestags, Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware „Alexa“ durch Amazon, WD 10-3000-032/19, 2019. Wybitul, T., Datenschutz-Grundverordnung im Unternehmen, Frankfurt 2016. Wybitul, T., Anmerkung zu LAG Baden-Württemberg: Einsichtsrecht des Arbeitnehmers in die Personalakte, Urteil vom 20.12.2018, ZD 2019, 278. Wybitul, T./Brams, I., Welche Reichweite hat das Recht auf Auskunft und auf eine Kopie nach Art. 15 I DS-GVO?, NZA 2019, 672. Zikesch, P./Sörup, T., Der Auskunftsanspruch nach Art. 15 DS-GVO. Reichweite und Begrenzung, ZD 2019, 239. Literatur 198

Zusammenfassung

Das Buch führt nach zwei Jahren Erfahrung mit der Datenschutz-Grundverordnung eine Evaluation aus Verbrauchersicht durch und präsentiert 33 einfache konkrete Vorschläge, ihren Text zu verbessern, um ihre Ziele besser zu verwirklichen. Daneben erörtert es konzeptionelle Schwächen der Verordnung und entwickelt Vorschläge für Lösungen, die ihren Schutzauftrag erfüllen.

Die Verordnung ist für viele typische Anwendungssituationen viel zu abstrakt und provoziert daher Rechtsunsicherheit und Investitionsstau. Sie wird keiner Herausforderung moderner Informationstechnik gerecht und bewirkt dadurch Schutzlücken. Die wiederkehrenden Evaluationen der Verordnung können dazu beitragen, Mängel zu beseitigen und eine Evolution des EU-Datenschutzrechts zu bewirken.

References

Zusammenfassung

Das Buch führt nach zwei Jahren Erfahrung mit der Datenschutz-Grundverordnung eine Evaluation aus Verbrauchersicht durch und präsentiert 33 einfache konkrete Vorschläge, ihren Text zu verbessern, um ihre Ziele besser zu verwirklichen. Daneben erörtert es konzeptionelle Schwächen der Verordnung und entwickelt Vorschläge für Lösungen, die ihren Schutzauftrag erfüllen.

Die Verordnung ist für viele typische Anwendungssituationen viel zu abstrakt und provoziert daher Rechtsunsicherheit und Investitionsstau. Sie wird keiner Herausforderung moderner Informationstechnik gerecht und bewirkt dadurch Schutzlücken. Die wiederkehrenden Evaluationen der Verordnung können dazu beitragen, Mängel zu beseitigen und eine Evolution des EU-Datenschutzrechts zu bewirken.