Wenig Neues zur Transparenz: Vergleich der DS-GVO mit der DSRL
Die Schaffung von Transparenz gehört zu den zentralen Forderungen an eine umfassende Modernisierung des Datenschutzrechts. Das BVerfG verlangt Transparenz, um dem "diffusen Gefühl der Bedrohlichkeit" entgegenzuwirken, das den Internetnutzer beschleicht, wenn er nicht weiß, welche Datenspuren er hinterlässt und was mit diesen Datenspuren geschieht. Und die Internetwirtschaft hat ein klares Interesse an Normen, die gleiche Regeln für alle aufstellen, wenn es um die Abfassung von Datenschutzbestimmungen geht. Ohne solche Regeln bleibt unklar, in welcher Genauigkeit und Ausführlichkeit Belehrungen vorgeschrieben sind. Dies führt zu Streit mit Datenschutzbehörden und Verbänden - wie zuletzt in dem Verfahren, das der vzbv gegen Facebook geführt hat:
Die Europäische Kommission setzt in ihrem Entwurf einer Datenschutz-Grundverordnung (DS-GVO) erstaunlich wenig auf Transparenz. Art. 14 DS-GVO unterscheidet sich nur wenig von Art. 10 und 11 der EU-Datenschutzrichtlinie (DSRL), die aus dem Jahre 1995 stammt. Wie die alte RL setzt die DS-GVO auf unbestimmte Rechtsbegriffe. Für die Belehrung des Betroffenen soll es unter anderem auf "Treu und Glauben" und seine "berechtigten Interessen" ankommen.
Substantiell neu sind einige Rechts(behelfs)belehrungen und eine Verpflichtung zur Belehrung des Betroffenen über die "Dauer der Speicherung", die im Zusammenhang mit dem problematischen "Recht auf Vergessen" steht. Insgesamt würde Art. 14 DS-GVO die Transparenz beim Umgang mit Daten nur wenig verbessern, vgl. auch Härting/Schneider, Datenschutz-Grundverordnung v. 14.2.2012.
Vergleich Art. 14 DS-GVO und Art. 10, 11 DSRL
Informationspflichten |
|
Art. 14 DS-GVO | Art. 10, 11 RL |
a) Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen + Vertreter+ Datenschutzbeauftragter | a) Identität des Verantwortlichen und Vertreters, Art. 10 lit. a, Art. 11 lit. a RL. |
b) Zwecke, für die Daten verarbeitet werden, einschließlich der Geschäfts- undallgemeinen Vertragsbedingungen … beziehungsweise die von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen… | b) Zweckbestimmungen der Verarbeitung, Art. 10 lit. a, Art. 11 lit. a RL |
c) Die Dauer der Speicherung |
Neu.d) das Bestehen eines Rechts auf Auskunft sowie Berichtigung oder Löschungdersie betreffenden personenbezogenen Daten durch den für die Verarbeitung
Verantwortlichen beziehungsweise eines Widerspruchsrechts gegen die
Verarbeitung dieser Daten,
Belehrung über Auskunfts- und Berichtigungsrechte in Art. 10 lit. c, 3. Spiegelstrich, und Art. 11 Abs. 1 lit. c, 3. Spiegelstrich, RL vorgeschrieben.
Belehrung über Löschungs- und Widerspruchsrechte nicht. (aber Widerspruchsecht besteht, Art. 14 RL)e) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie derenKontaktdaten,
Neu.f) die Empfänger oder Kategorien von Empfängern der personenbezogenenDaten,Entspricht Art. 10 lit. c, 1. Spiegelstrich, und Art. 11 Abs. 1 lit. c, 2. Spiegelstrich RL.g) gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, dieDaten an ein Drittland oder eine internationale Organisation zu übermitteln,
sowie das dort geltende Datenschutzniveau unter Bezugnahme auf einen
Angemessenheitsbeschluss der Kommission,
Neu.h) sonstige Informationen, die unter Berücksichtigung der besonderen Umstände,unter denen die personenbezogenen Daten erhoben werden, notwendig sind,
um gegenüber der betroffenen Person eine Verarbeitung nach Treu und
Glauben zu gewährleisten.Entspricht Art. 10 lit. c und Art. 11 Abs. 1 lit. c RL („Treu und Glauben).Absatz 2: Werden die personenbezogenen Daten bei der betroffenen Personerhoben, teilt derfür die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten
Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder
fakultativ ist und welche mögliche Folgen die Verweigerung der Daten hätte.
Entspricht Art 10 lit. c, 2. Spiegelstrich RL.
Absatz 3: Werden die personenbezogenen Daten nicht bei der betroffenen Personerhoben, teiltder für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1
genannten Informationen außerdem die Herkunft der personenbezogenen Daten mit.
Entspricht Art. 12 lit. a, 2. Spiegelstrich RL (allerdings nur Auskunftsrecht).Absatz 4: Der für die Verarbeitung Verantwortliche erteilt die Informationen gemäß denAbsätzen 1, 2 und 3
a) zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen
Person oder
b) falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben
werden, zum Zeitpunkt ihrer Erfassung oder innerhalb einer angemessenen
Frist nach ihrer Erhebung, die den besonderen Umständen, unter denen die
Daten erhoben oder auf sonstige Weise verarbeitet wurden, Rechnung trägt,
oder, falls die Weitergabe an einen Empfänger beabsichtigt ist, spätestens zum
Zeitpunkt der ersten Weitergabe.
Im Art. 10 der RL wurde der Zeitpunkt der Informationspflicht nicht ausdrücklich geregelt.
Art. 11 RL verlangt dagegen, dass die Information bei Beginn der Speicherung zu erfolgen hat.
Absatz 5: Die Absätze 1 bis 4 finden in folgenden Fällen keine Anwendung:
a) Die betroffene Person verfügt bereits über die Informationen gemäß den
Absätzen 1, 2 und 3 oder
b) die Daten werden nicht bei der betroffenen Person erhoben und die
Unterrichtung erweist sich als unmöglich oder ist mit einem unverhältnismäßig
hohen Aufwand verbunden oder
c) die Daten werden nicht bei der betroffenen Person erhoben und die Erfassung
oder Weitergabe ist ausdrücklich per Gesetz geregelt oder
d) die Daten werden nicht bei der betroffenen Person erhoben und die
Bereitstellung der Informationen greift nach Maßgabe des Unionsrechts oder
des Rechts der Mitgliedstaaten gemäß Artikel 21 in die Rechte und Freiheiten
anderer Personen ein.
Entsprechende Ausnahmen ergeben sich überwiegend aus Art. 11 Abs. 1 und 2 RL Absatz 6: Im Fall des Absatzes 5 Buchstabe b ergreift der für die Verarbeitung Verantwortlichegeeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen
Person.
Entsprechende Regelung in Art. 11 Abs. 2 RL.Absatz 7: Die Kommission wird ermächtigt, delegierte Rechtsaktenach Maßgabe von Artikel86 zu erlassen, um Einzelheiten zu den Kategorien von Empfängern gemäß Absatz 1
Buchstabe f, den Anforderungen an Informationen gemäß Absatz 1 Buchstabe g, den
Kriterien für die Erteilung sonstiger
Informationen im Sinne von Absatz 1 Buchstabe
h für verschiedene Bereiche und Verarbeitungssituationen und zu den Bedingungen
und geeigneten Garantien im Hinblick auf die Ausnahmen gemäß Absatz 5
Buchstabe b zu regeln. Dabei ergreift die Kommission geeignete Maßnahmen für
Kleinst und Kleinstunternehmen sowie mittlere Unternehmen.
Neu.Absatz 8: Die Kommission kann Standardvorlagen für die Bereitstellung der Informationengemäß den Absätzen 1 bis 3 festlegen, wobei sie gegebenenfalls die Besonderheiten
und Bedürfnisse der verschiedenen Sektoren und Verarbeitungssituationen
berücksichtigt. Die entsprechenden Durchführungsrechtsakte werden in
Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassenNeu.