Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Transkript

1 Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein , Berlin

2 Roter Faden Die Datenschutz-Grundverordnung 1 Punkt herausgegriffen 3 Beobachtungen 5 Herausforderungen Fazit

3 Datenschutz-Grundverordnung Nachfolger der EU-Datenschutz-Richtlinie von 1995 Konstrukt Verordnung : unmittelbar anwendbar Anwendungsvorrang gegenüber nationalem Recht 70 Öffnungsklauseln (Regelungsaufträge und Regelungsoptionen) für nationalen Gesetzgeber Geltung ab Marktortprinzip One-Stop-Shop: einfacher für Verbraucher_innen Kohärenzmechanismus: Einigung der Aufsichtsbehörden

4 DS-GVO: Ziele erreicht? Harmonisierung Abstraktheit der Regeln Öffnungsklauseln Wettbewerbsangleichung Marktortprinzip Siehe oben Modernisierung Im Vergleich zu 1995 Im Vergleich zu 2001 Zukunftsfähig? Neuer Startpunkt

5 1 PUNKT HERAUSGEGRIFFEN

6 Änderung bei der Einwilligung Art. 7 DS-GVO Informiert und unmissverständlich (Art. 4 Nr Art. 7 Abs. 2 DS-GVO) und Ausschluss von missbräuchlichen Klauseln Freiwillig (Art. 7 Abs. 4 DS-GVO) Prüfpunkt erforderlich für die Erfüllung des Vertrags, damit auch Geschäftsmodelle auf dem Prüfstand Kopplung problematisch Widerrufbar (Art. 7 Abs. 3 DS-GVO) So einfach wie das Erteilen der Einwilligung

7 3 BEOBACHTUNGEN

8 1. Zurück zur letzten Basisstation Foto: Bjoern von Thuelen

9 2. Neues: ungeregelt Altes: nur abstrakt Foto: Julian Walker

10 3. Werkzeuge, die wir nun nutzen müssen Öffnungsklauseln Datenschutz durch Technikgestaltung Datenschutz durch datenschutzfreundliche Voreinstellungen Datenschutz- Folgenabschätzung Zertifizierung Sanktionen Gerichte Foto: Johan Aulin

11 5 HERAUSFORDERUNGEN

12 Quasi-Monopole Zentralisierte Architektur Partnerschaften mit Staaten 1. Marktortprinzip durchsetzen

13 2. Realität heute: komplexe Arbeitsteilung, unklare Verantwortung Zugriff auf eine (?) Webseite Einbindung von Dienstleistern: Sicherheit- und Datenschutzrisiken Transparenz? Verantwortung??

14 Realität heute: Marketing-Markt

15

16 3. Verständlichkeit der Datenverarbeitung Eigentlich Grundsatz der fairen und transparenten Datenverarbeitung in DS-GVO Aber Ausnahmen möglich: im Ermessen des Verantwortlichen keine Information der Betroffenen, wenn die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (Art. 14 Abs. 5 lit. b DS-GVO) Big Data? Ubiquitous Computing? Und wenn Information: wie?

17 Vorschläge für mehr Transparenz Klare und einfache Sprache Layered Policies : Aufbau in mehreren Ebenen Standardisierte Bildsymbole (Art. 12 Abs. 7 DS-GVO) Maschinenlesbar Achtung: Quelle: (Januar 2016)

18 4. Minimum-Trend: Datenschutz minimal oder Dienst minimal Datenschutzfreundliche Voreinstellungen + Kopplungsverbot: minimaler Dienst Sinnvoll nutzbar? Datenschutz und Datensicherheit kosten Geld Internationale Konkurrenz mit Bezahlung per Daten minimaler Datenschutz bei Kostenlos-Erwartung Premium-Datenschutz für alle oder nur gegen Geld?

19 5. Vermessung der Verbraucher_innen Mit und ohne Selbstbestimmung Z.B. Profiling Oft: Selbstbestimmung Fremdbestimmung Z.B. Versicherungen: Abkehr vom Solidarprinzip Änderungen der Erwartungen an Einzelne

20 Profiling gemäß Art. 22 DS-GVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. (2) Absatz 1 gilt nicht, wenn die Entscheidung a) [ für Vertrag erforderlich ] b) [ aufgrund Rechtsvorschrift ] oder c) [ mit ausdrücklicher Einwilligung ] Das Ob und Wie des Profiling ist hier NICHT geregelt! Informationspflichten Art : aussagekräftige Informationen über die involvierte Logik Algorithmen-Ethik

21 Zusammenfassung 1. Marktortprinzip durchsetzen 2. Realität heute: komplexe Arbeitsteilung, unklare Verantwortung 3. Verständlichkeit der Datenverarbeitung 4. Minimum-Trend: Datenschutz minimal oder Dienst minimal 5. Vermessung der Verbraucher_innen x Gesetzgeber Datenschutzbehörden Verbraucherschützer x Entwickler x x x x x x x x x x x x x x x

22 Fazit DS-GVO als Basis eröffnet Gestaltungsräume erneutes Aushandeln nötig Nun: nationale Gestaltung Best-Practice-Ansätze nötig Rechtsweg nicht scheuen Zu vermeiden: Race to the bottom Foto: Scott Shingler

23 Vielen Dank für Ihre Aufmerksamkeit Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr Kiel