By: Comments off 16. Dezember 2019

Nur noch zwei Wochen, bis das Jahr 2019 vorbei ist. Es hat sich viel getan in Sachen DSGVO. Die regelmäßigen Jahresberichte und Evaluationen stehen an. So hat auch die Konferenz der unanhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Bericht erstellt.

Einerseits widmet sich die DSK dem Thema Praxistauglichkeit der DSGVO und der alltäglichen Umsetzung. Gerade bei der Gestaltung von Informationspflichten gibt es nach wie vor Probleme. Wie zum Beispiel Unsicherheit darüber, wie eben jene Informationspflichten etwa bei telefonischer Terminabsprache oder telefonischem Vertragsschluss rechtswirksam erbracht werden können. Eine Ausnahme dieser Pflichten kann sich die DSK jedoch nicht vorstellen. Ziel der Normen sei es, die Betroffenen in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ über die jeweilige Verarbeitungstätigkeit zu informieren.

Die DSK räumt jedoch ein, dass die Informationspflichten zumindest in bestimmten „nicht digitalen Sachverhalten“, nicht immer praxisgerecht zu erfüllen sind. Vor allem  telefonischen Kontakten im geschäftlichen Bereich sei es schwierig zu erwarten, dass der Verantwortliche umfassende Informationen im Sinne des Art. 13 DSGVO am Telefon erteilt.

 

Einen weiteren Mangel stellt die DSK bei der fehlenden Praxistauglichkeit des Art. 37 Abs. 7 DSGVO fest. Jetzt noch besteht die Pflicht des Verantwortlichen der Aufsichtsbehörde die Kontaktdaten der Datenschutzbeauftragten mitzuteilen und stets auf dem aktuellen Stand zu halten. Das zusätzliche Melden bei den Behörden stellt laut der DSK für einen nutzlosen bürokratischen Aufwand. So schlägt die DSK vor, den letzten Halbsatz in Art. 37 Abs. 7 DSGVO zu streichen.

 

Kritik besteht auch bei der Meldepflicht von Datenschutzpannen und dass jede einzelne Datenschutzverletzung der Aufsichtsbehörde zu melden ist. Weiterhin erwähnt die DSK, dass es von Vorteil wäre, die Meldepflicht künftig auf Fälle zu beschränken, die voraussichtlich zu einem „mehr als nur geringen Risiko“ führen.

 

Auch die Praxistauglichkeit des technischen Fortschritts innerhalb des Datenschutzes wird unter die Lupe genommmen. Die DSK bemängelt, dass die Grundsätze “data protection by design / data protection by default” gemäß Art. 25 Abs. 1 DSGVO lediglich für die Verantwortlichen vorgeschrieben sind. Sie fordert daher, künftig auch die Hersteller von Hard- und Software stärker in die Pflicht zu nehmen.

 

Der letzte Punkt betrifft das Erstellen von umfassenden Nutzerprofilen. Die DSK empfindet die Bildung von Profilen zu kommerziellen Zwecken als zentrale Herausforderung des Datenschutzes. Gerade aber das umfassende Anlegen, Auswerten und Analysieren von Datensätzen eröffnet die Möglichkeit das Verhalten von Einzelnen womöglich zu steuern und vorherzusagen. Um dem entgegenzusteuern, schlägt die DSK eine Verschärfung der Rechtslage vor. Es bleibt abzuwarten, wie sich das entwickelt.

Der Bericht der DSK gibt Einblicke in die noch vorhandenen kleinen Probleme der DSGVO. Nun warten wir ab, was das Jahr 2020 für uns bereit hält.

Author: Total Post: 19