Betroffene Personen können im Zusammenhang mit ihren Daten zahlreiche Rechte geltend machen, die im entsprechenden Abschnitt ausführlich beschrieben sind (siehe Abschnitt Rechte in den Leitlinien). Im Allgemeinen sollten die Entwickler ihr Bestes tun, um das Gerät oder Werkzeug so zu gestalten, dass die Rechte der Nutzer respektiert werden und die Nutzer sie auch ausüben können. Dies kann z. B. durch die Einführung einer einfachen Möglichkeit des Datenzugriffs oder durch die Entwicklung technischer Maßnahmen zur Unterstützung des Rechts auf Übertragbarkeit geschehen. Einschränkungen der Rechte und Pflichten, die im Vorschlag für eine e-Datenschutz-Verordnung und/oder in der DSGVO vorgesehen sind, sind jedoch möglich, wenn sie in einer demokratischen Gesellschaft für bestimmte Ziele notwendig, geeignet und verhältnismäßig sind.[1]Im Allgemeinen sollten Geräte, die Standort- und Begegnungsdaten verwenden, ihren Nutzern den Zugang zu ihren Daten in einem von Menschen lesbaren Format ermöglichen und die Berichtigung und Löschung von Daten gestatten, ohne dass übermäßig viele personenbezogene Daten erhoben werden.
Einige konkrete Tipps zur Erleichterung der Umsetzung von Rechten |
||
Rechte |
Problem |
Tipp |
Recht auf Auskunft | Die Daten werden oft in sehr unterschiedlicher Form gespeichert, was den Zugriff erschwert, insbesondere für eine unkundige betroffene Person. | Stellen Sie eine Funktion zur Verfügung, mit der alle Daten zu einer betroffenen Person angezeigt werden können. Wenn es viele Daten gibt, können sie auf mehrere Bildschirme aufgeteilt werden. Wenn die Daten zu umfangreich sind, bieten Sie der betroffenen Person die Möglichkeit, eine Datei mit allen ihren Daten herunterzuladen.
In Bezug auf Standort- oder Begegnungsdaten können die Verantwortlichen den betroffenen Personen den Zugang zu den Informationen in brauchbaren Formaten ermöglichen, z. B. in Form von Kartenvisualisierungen, falls solche Formate bereits verwendet werden. |
Recht auf Berichtigung | Es kann vorkommen, dass die von dem Gerät erfassten Daten nicht korrekt sind. Die betroffenen Personen müssen die Möglichkeit haben, diese Daten zu berichtigen. | Erlauben Sie die direkte Änderung der Daten im Benutzerkonto (falls zutreffend und/oder möglich). Weisen Sie darauf hin, warum dies unter bestimmten Umständen nicht ratsam ist. |
Recht auf Löschung | Betroffene Personen haben das Recht, die Löschung sie betreffender personenbezogener Daten zu verlangen. Dieses Recht kann jedoch unter bestimmten Umständen eingeschränkt sein. Außerdem sollten sich die Nutzer über die technischen Auswirkungen einer allgemeinen Löschung der Daten im Klaren sein. Daher müssen die Verantwortlichen den betroffenen Personen die Möglichkeit geben, nur die Daten zu löschen, für die das Recht gilt, und ihnen zudem einige Informationen zur Verfügung stellen, bevor sie die Löschung vornehmen. | Bieten Sie eine Funktion zur Löschung aller Daten einer Person an, auf die das Recht auf Löschung anwendbar ist (und nur dieser Daten). Darüber hinaus sollte eine automatische Benachrichtigung der Auftragsverarbeiter vorgesehen werden, damit auch diese Daten gelöscht werden. Ermöglichen Sie die Löschung solcher Daten in Sicherungskopien oder stellen Sie eine alternative Lösung bereit, bei der gelöschte Daten über die betreffende Person nicht wiederhergestellt werden. Implementieren Sie eine Funktion, die den Nutzer stets auf die Folgen einer Löschung hinweist. |
Recht Einschränkung der Verarbeitung | Oft liegt es im Interesse der betroffenen Personen, dass Daten einer bestimmten Art nicht verarbeitet werden. Das Tool sollte an ihre Präferenzen angepasst werden, wenn die Bedingungen von Artikel 18 DSGVO zutreffen. | Stellen Sie eine Funktion bereit, die es der betroffenen Person ermöglicht, der Verarbeitung bestimmter personenbezogener Daten zu widersprechen. Macht die betroffene Person von ihrem Widerspruchsrecht Gebrauch, muss das Tool die bereits erhobenen Daten löschen und darf in der Folge keine weiteren derartigen Daten erheben. |
Recht auf Datenübertragbarkeit | Die Nutzer sollten personenbezogene Daten, die sie dem Verantwortlichen zur Verfügung gestellt haben, ohne besondere technische Kenntnisse vom Gerät abrufen können. Sie haben auch das Recht, ihre Daten an einen anderen Verantwortlichen (d. h. den Anbieter eines anderen Dienstes) zu übermitteln. Hinweis: Dies gilt nicht für Daten, die durch andere Mittel wie externe Quellen oder durch Analyse- oder Inferenzprozesse gesammelt wurden. | Stellen Sie eine Funktion zur Verfügung, mit der die betroffene Person ihre Daten in einem maschinenlesbaren Standardformat (CSV, XML, JSON usw.) herunterladen kann. |
Es ist zu erwähnen, dass die e-Datenschutz-Verordnung zusätzliche Rechte wie die Vertraulichkeit der Kommunikation, die Rufnummernanzeige oder Rechte, die sich speziell auf andere Standortdaten als Verkehrsdaten beziehen, enthält (siehe Kapitel III des Vorschlags). Die Verantwortlichen sollten sicherstellen, dass das Tool keine Verletzung dieser Rechte ermöglicht, indem sie Maßnahmen einführen, die die Verwendung von Geodaten einschränken, wenn dies für den Dienst nicht unerlässlich ist. Zum Beispiel: „Ungeachtetdessen, ob der Endnutzer den Zugang zu den GNSS-Fähigkeiten (Global Navigation Satellite Systems) des Endgeräts oder zu anderen Arten von endgerätebasierten Standortdaten durch die Einstellungen des Endgeräts verhindert hat, dürfen diese Einstellungen bei einem Anruf bei Notdiensten den Zugang zu GNSS-Standortdaten nicht verhindern, um den Standort des Anrufers, der den Endnutzer anruft, zu bestimmen und an Notdienste oder Organisationen, die sich mit Notrufkommunikation befassen, einschließlich Notrufabfragestellen für die öffentliche Sicherheit, zum Zwecke der Beantwortung eines solchen Anrufs weiterzugeben“ (e-Datenschutz-Verordnung, Artikel 13.3).[2]
Checkliste[3]:
Die Nutzer müssen ihre Rechte mittels der App ausüben können. Wenn das Tool so konzipiert ist, dass es mit Begegnungsdaten arbeitet, kann es nicht verwendet werden, um anhand der Interaktion der Nutzer undoder anderer Mittel Rückschlüsse auf den Standort der Nutzer zu ziehen. Wenn das Tool so konzipiert ist, dass es mit Standortdaten arbeitet, kann es nicht verwendet werden, um Rückschlüsse auf die Interaktion der Nutzer mit anderen Personen zu ziehen. Wenn die Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche die Vereinbarkeitsprüfung durchgeführt. Wenn der Verantwortliche die Daten für einen anderen als den ursprünglich angegebenen Zweck verwenden möchte, ist das Tool so konzipiert, dass es die Nutzer um Einwilligung bittet. |
Quellenangaben
1Siehe Artikel 15 e-Datenschutz-Verordnung und Artikel 23 DSGVO. ↑
1https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
1Diese Checkliste wurde auf der Grundlage der EDSA erstellt, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020 ↑