LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Ausweislich des ErwG 72 ist das Profiling eine Art der Verarbeitung personenbezogener Daten, die durch einen Erlaubnistatbestand der Art. 6oder 9legitimiert sein muss. Relevant ist die Norm damit vor allem für Verantwortliche, die automatisierte Einzelentscheidungen vornehmen und dabei Profilinganalysen oder -vorhersagen verwenden.

Nach der Definition des Art. 4 Nr. 4ist Profiling nur die Datenanalyse, ohne dass hieran bereits Folgen für den Betroffenen geknüpft sind. Zu trennen sind beim Profiling die Datensammlung und die daran anschließende Datenauswertung.[156]

Legt man dem „Profiling“ ein weites Begriffsverständnis zugrunde, sind darunter nicht nur automatisierte Verfahren der Verhaltensanalyse zu fassen, sondern auch Techniken, mit deren Hilfe auf der Grundlage des analysierten Verhaltens unter Zugrundelegung statistisch-mathematischer Verfahren eine Prognose über das zukünftige Verhalten einer Person erstellt werden. Dies können Kaufprognosen sein, wie sie im Rahmen des „Costumer Relationship Management“ möglich sind, die Einschätzung von Fehler- oder Ermüdungsrisiken im Zusammenhang mit der Bedienung komplexer Maschinen bis hin zu Einschätzung von Kredit- und Bonitätsrisiken, wie sie in der Vergangenheit mit dem Begriff des Scoring verknüpft waren.[157]

Die Datenbasisfür ein mögliches Profiling kann vielfältig sein. Insbesondere kommt das individuelle Kommunikations- und Nutzungsverhalten im Internet in Betracht. So können in diesem Zusammenhang Aktivitäten in sozialen Netzwerken, besuchte Websites, Onlinekäufe[158], aber auch Suchanfragen bei Suchmaschinen relevant sein. Vermehrt können auch Daten aus „smarten“ Geräten, wie Fahrzeugen[159], Smart-TV oder Smartwatches in ein Profiling einfließen, um dadurch ein bestmögliches Persönlichkeitsbild über den Verwender und die betroffene Person zu erhalten.[160]

In ihrem Gutachten bezieht auch die von der Bundesregierung eingesetzte DatenethikkommissionStellung zum Themengebiet des Profilings und des Scorings. Nach Ansicht der Kommission besteht, insbesondere mit Blick auf Art. 22 Klarstellungs- und Konkretisierungsbedarf.[161] Im Lichte des im Einzelnen stark differenzierenden Schädigungspotentials algorithmenbasierter Systemeerscheine es nicht angemessen, das Verbotsprinzip des Art. 22generell auszuweiten. Von diesem Gedanken ausgehend empfiehlt die Kommission ein risikoadaptiertes Regelungsregime, das dem Einzelnen angemessene Schutzgarantien, insbesondere gegen Profiling, und Verteidigungsmöglichkeiten gegen Fehler und Bedrohungen seiner Rechte vermittelt.[162] Zur Bestimmung des Kritikalitätsgrades algorithmischer Systeme empfiehlt die Kommission die Orientierung anhand eines übergreifenden Modells.[163] Unter Heranziehung einer 5-stufigen Kritikalitätspyramide soll das Schädigungspotential algorithmischer Systeme bestimmt und davon ausgehend die gebotene Regulierungstiefe abgeleitet werden.[164] Nach Ansicht der Kommission soll der Kritikalitätsgrad Gesetzgeber und Gesellschaft bei der Suche nach geeigneten Regulierungsschwellen und -instrumenten anleiten, könne aber auch Entwicklern und Betreibern bei der Selbsteinschätzung ihrer Produkte und Systeme Orientierung bieten und schließlich in Aus-, Fort- und Weiterbildung für die Sensibilisierung und Schulung unterschiedlicher Akteure eingesetzt werden.[165]

2. Scoring

Scoring fällt unter den Oberbegriff des Profiling. Als Scoring wird die Berechnung einer Wahrscheinlichkeitsprognosefür zukünftiges Verhalten mithilfe der Verarbeitung personenbezogener Daten der betroffenen Person verstanden.[166] Wenn der mittels Scoring ermittelte Wahrscheinlichkeitswert ohne weiteres menschliches Zutun dazu benutzt wird, eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses herbeizuführen, unterfällt das Scoring dem Anwendungsbereich des Art. 22, wo das „Profiling“ ausdrücklich als ein Unterfall der dort genannten automatisierten Verarbeitung genannt wird.[167] Beruht die Einzelfallentscheidung dagegen ausschließlich auf einer menschlichen Entscheidung, die lediglich maschinell umgesetzt wird, findet Art. 22keine Anwendung.

Nach Art. 70 Abs. 1 lit. f kann der EDSA Leitlinien, Empfehlungen und bewährten Verfahren zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gem. Art. 22 Abs. 2 bereitstellen.

Im deutschen Datenschutzrecht hat der Gesetzgeber mit § 31 BDSGn.F. die bisherigen Voraussetzungen des Scorings aus § 28a Abs. 1 und § 28b BDSG a.F. übernommen.[168]

3. Pflichten beim Profiling

Der Verantwortliche muss den Betroffenen dann über ein Profiling informieren, wenn es zu einer automatisierten Entscheidungsfindung führt, Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g. Auf Antrag muss der Verantwortliche dem Betroffenen Auskunft über ein Profiling geben, aber ebenfalls nur bei einer damit in Zusammenhang stehenden automatisierten Entscheidungsfindung, Art. 15 Abs. 1 lit. h. Nach Art. 35 Abs. 3 lit. a kann eine Datenschutz-Folgenabschätzung[169] bei automatisierten Einzelentscheidungen, die auf Profiling gründen, erforderlich sein.

VI. Art. 4 Nr. 5: Pseudonymisierung

1. Allgemeines

Der Begriff der „Pseudonymisierung“ wird in Art. 4 Nr. 5definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzliche Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Im BDSG a.F. war sowohl die Pseudonymisieung als auch die Anonymisierung bislang in § 3 Abs. 6, 6a BDSG a.F.verankert. Der Wortlaut des § 3 Abs. 6a BDSG a.F. nahm im Rahmen der Pseudonymisierung insbesondere die Ersetzung personenbezogener Angaben und anderer Identifikationsmerkmale durch Kennziffern in den Blick und war damit enger als Art. 4 Nr. 5gefasst. § 3 Abs. 6 BDSG a.F. mit seiner Definition der Anonymisierung entspricht demgegenüber in weiten Teilen Art. 4 Nr. 5.[170]

Die DSRL enthielt keine Definition der Pseudonymisierung, sondern in ErwG 26 lediglich die Klarstellung, dass die Schutzprinzipien der DSRL „keine Anwendung auf Daten finde[n], die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist“.[171]

Der Pseudonymisierung kommt in der Praxis eine zentrale Bedeutung zu, weil sie eine technische Schutzmaßnahme darstellt, die eine betroffene Person vor einer unmittelbaren Identifikation schützt, aber gleichzeitig den Personenbezug von Daten lockert, um sie so für die wirtschaftliche Verwertung nutzbar zu machen.[172] Hierbei ist zu beachten, dass die Pseudonymisierung aus sich heraus nicht die Rechtmäßigkeit einer Datenverarbeitung begründen kann.[173] Sie ist vielmehr ein Baustein, um eine Datenverarbeitung im Einklang mit der DS-GVO und einen hinreichenden (technischen) Schutz personenbezogener Daten zu gewährleisten.[174]

Art. 4 Nr. 1[175], 6 Abs. 4[176], 25[177], 32[178], 40[179], 83 Abs. 2 lit. d[180] sowie Art. 89 Abs. 1[181] nehmen auf die Pseudonymisierung Bezug. Ausweislich ErwG 28 dient die Pseudonymisierung nach der Wertung der DS-GVO als technisches Verfahren der Risikominimierungund soll die Verantwortlichen und Auftragsverarbeiter bei der Einhaltung der Datenschutzpflichten unterstützen.[182] Folgerichtig unterstreicht auch Art. 32 Abs. 1 lit. a[183], dass die Pseudonymisierung eine technische Sicherungsmaßnahme(und keine Anonymisierung) darstellt.[184] Denn im Rahmen einer Pseudonymisierung kann die betroffene Person unter Hinzuziehung von gesondert aufbewahrten oder ggf. öffentlich zugänglichen Informationen wieder identifiziert werden, während dies im Falle einer Anonymisierung nicht oder nur mit unverhältnismäßigem Aufwand[185] möglich ist.[186]