Bernd Schütze

Erfahrungsbericht der DSK zur Anwendung der DS-GVO inkl. Empfehlungen zu deren Änderung

Der „Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO“ wurde von der DSK am 6. November 2019  verabschiedet, stand der Öffentlichkeit jedoch nicht zur Verfügung. Über „Frag den Staat“ erfolgte jedoch am 26. November 2019 eine Anfrage nach dem Informationsfreiheitsgesetz und seit dem 02. Dezember 2019 steht der Bericht sowohl beim LfDI BW als auch beim LfDI RP online zum Abruf bereit.

Im Erfahrungsbericht sprechen die Aufsichtsbehörden 9 „Schwerpunktthemen“ an. Zu jedem Schwerpunktthema gibt es drei Kapitel: Problemaufriss, Bewertung und Änderungsvorschlag. Die Schwerpunktthemen sind:

  1. Alltagserleichterung & Praxistauglichkeit
  2. Datenpannenmeldungen
  3. Zweckbindung
  4. Data Protection by Design
  5. Befugnisse der Aufsichtsbehörden und Sanktionspraxis
  6. Zuständigkeitsbestimmungen, Zusammenarbeit und Kohärenz
  7. Direktwerbung
  8. Profiling
  9. Akkreditierung

Ergänzt wird das Papier mit einer Tabelle von 7 ergänzenden Änderungsvorschlägen und im Anhang des Berichts findet sich die „Hambacher Erklärung zur KI“ – ob diese, wie im „einleitenden Überbolck“ im letzten Absatz ausgedrückt, bei der Beantwortung „der Frage des Datenschutzes im Bereich der Künstlichen Intelligenz und automatisierten Entscheidungsverfahren“ hilfreich ist, mag jeder für sich selbst beantworten, zu einer Anpassung im Rahmen der Evaluation der DS-GVO wird die Hambacher Erklärung voraussichtlich nicht beitragen.

Die im Erfahrungsbericht enthaltenen Änderungsvorschläge beinhalten Erweiterungen der Befugnisse der Aufsichtsbehörden, Ergänzungen der Bußgeldtatbestände, Einschränkungen bei der Zweckänderung – kurz: Ein kleiner Rundumschlag.

Inwieweit die im Papier dargestellten „Alltagserleichterungen“ praxistauglich sind, ist sicherlich von der Sichtweise der jeweiligen Verantwortlichen abhängig. Wenn beispielsweise im Erfahrungsbericht auf Seite 8 zu finden ist, dass Informationen nach Art. 13 nur auf Verlangen der betroffenen Person herausgegeben werden sollen, „soweit der Verantwortliche Datenverarbeitungen vornimmt, die der Betroffene nach den konkreten Umständen erwartet oder erwarten muss […]“, so kann dies je nach Verarbeitungssituation natürlich eine Verfahrenserleichterung darstellen. Allerdings bleibt die Sanktionierung erhalten. D.h. das Risiko bleibt beim Verantwortlichen: sind die konkreten Umstände wirklich so, dass der Betroffene die Verarbeitung erwarten muss? Wenn nicht und die Information unterbleibt, droht eine Sanktionierung inkl. dem „hohen“ Bußgeld – immerhin geht es um Betroffenenrechte.

Da hier die deutschen Aufsichtsbehörden ihre Erfahrungen der vergangenen Zeit zusammenfassten, lohnt sich die Lektüre des Papieres sicherlich für jeden, der die Sichtweise der Aufsichtsbehörden besser verstehen möchte.

Autor: Bernd Schütze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.