§ 7 Sicherungsmechanismen zur Einhaltung der DSGVO / b) Schlussfolgerungen für die inhaltliche Bestimmung von pdD

Rz. 49

Sicherlich betreffen die Arbeiten von Jonas ein ganz spezielles Produkt und einen speziellen Anwendungsbereich. Gleichwohl wird deutlich, dass PbD mehr ist, als blanke Theorie und dass der oft zu Unrecht vorschnell als "gefährlich" abgetane Einsatz technischer Systeme dem Datenschutz nicht zwingend hinderlich sein muss, sondern Datenschutz vielmehr aktiv fördern kann. Wie das Beispiel von Jonas verdeutlicht, kann PbD als systemische automatisierte Entscheidungsunterstützung verstanden werden. Hierfür ist es erforderlich, ein personenbezogenes Datum auch innerhalb technischer Systeme als solches und nicht bloß als einfachen Datensatz zu begreifen und bestimmte, an der Vorgaben der DSGVO orientierte, Informationen als sog. Metainformationen jedem personenbezogenen Datum "anzuheften", um die automatisierte Verarbeitung unter Beachtung der Datenschutzgrundsätze zu erleichtern und sicherzustellen.^[77]

Rz. 50

Die DSGVO fordert vom Verantwortlichen, dass dieser über die Herkunft und die Empfänger eines Datums Auskunft erteilen kann. Dies kann systemisch dadurch sichergestellt werden, dass eben diese Information jedem personenbezogenen Datensatz angeheftet und dauerhaft mit diesem verbunden ist. So kann sicher beurteilt werden, wann ein Datum von wo in das System gelangt und an wen es aus dem System wann wieder herausgegeben wurde. Metainformationen zu Verarbeitungszwecken, die unter Berücksichtigung der im Rahmen einer Datenschutzfolgenabschätzung erkannten Risiken die Verarbeitung eines Datums in einem bestimmten Kontext gestatten oder verbieten, könnten eine datenschutzkonforme Verarbeitung personenbezogener Daten ebenso sicherstellen. Bestimmte Daten (bspw. Kontoinformationen) beim Datenaufruf könnten durch einen Call-Center-Agent, der lediglich Reklamationen zu einem bestimmten Produkt entgegen nimmt oder im Out-Bound für ein neues Produkt Werbung betreibt, bei Aufruf des Kundenprofils von vornherein ausgeblendet und damit für eine Verarbeitung durch den Agent gesperrt werden. Dies wäre sicherlich wesentlich effektiver, als derartige Informationen anzuzeigen und sich lediglich darauf zu beschränken, über eine Dienstanweisung die Verwendung dieser Daten zu untersagen.

Rz. 51

Verantwortliche, wie auch die Hersteller der von ihnen für die automatisierte Verarbeitung eingesetzten Softwaresysteme sind mit Inkrafttreten der DSGVO gehalten, sich mit den bestehenden Möglichkeiten, die die Technik zur Lösung derartiger Probleme bereitstellt, zu befassen und diese – soweit möglich und zumutbar – zum Einsatz zu bringen.^[78] Insoweit wird sich zukünftig auch die Softwareentwicklung an den datenschutzrechtlichen Vorgaben zu orientieren und diese umzusetzen haben.^[79]

[77] So auch Martini, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 25 Rn 30, der davon spricht, dass die Daten bei ihrer Erhebung mit einem elektronischen Etikett zu versehen sind, die Daten dauerhaft einem bestimmten Verarbeitungszweck zuordnen.

[78] Siehe Erwägungsgrund Nr. 78 S. 4 DSGVO.

[79] Erwägungsgrund Nr. 78 DSGVO spricht insoweit auch davon, dass die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen "auch bei öffentlichen Ausschreibungen Rechnung getragen werden" soll.