Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


5.3.2021

Google ab 2022 ohne personalisierte Werbung – Datenschutz durch Technikgestaltung?

Google wird ab nächstem Jahr das Tracking anpassen. Eine Nachverfolgung über mehrere Websites zu Werbezwecken soll nicht mehr stattfinden. Diese Meldung vom 3.3.2021 auf www.tagesschau.de lässt aufhorchen. Sie passt aber zu der seit einiger Zeit zu beobachtenden Strategie von Google, das Thema Datenschutz stärker zu berücksichtigen. Schon 2020 hatte Google darüber informiert, keine Cookies von Drittanbietern mehr zuzulassen.

Diese Entwicklung ist nicht nur für die Nutzer erfreulich, sondern auch datenschutzrechtlich interessant.

Hintergrund

Das Vorgehen von Google lässt sich datenschutzrechtlich unter anderem als „Datenschutz durch Technikgestaltung“ (Privacy by Design) einordnen, was in Art. 25 Datenschutz-Grundverordnung geregelt ist. Dort heißt es in Absatz 1:


"Unter Berücksichtigung des Stands der Technik ... trifft der Verantwortliche ... geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen ..."


Artikel 25 DSGVO normiert die Pflicht des Verantwortlichen, sowohl bei der Planung und Konzeption als auch bei der Durchführung einer Verarbeitung risikobasiert geeignete technische und organisatorische Maßnahmen zu treffen, um die Datenschutzgrundsätze gem. Art. 5 Abs. 1 DSGVO wirksam umzusetzen und den Anforderungen der DSGVO zu genügen. Diese Verpflichtung wird konkretisiert durch Art. 25 Abs. 2 DSGVO in Bezug auf mögliche Einstellungen, die datenschutzfreundlich zu gestalten sind, um insbesondere den Grundsatz der Datenminimierung zu erfüllen. Die nach Art. 25 Abs. 1 und 2 DSGVO zu treffenden Maßnahmen sind zugleich Mittel und Gegenstand der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO, um die Einhaltung der DSGVO-Vorgaben nachweisen zu können (vgl. ErwG 78 Satz 2). Art. 25 DSGVO konkretisiert die zentrale Regelung der Zuweisung datenschutzrechtlicher Pflichten gem. Art. 24 DSGVO.

Ein Verstoß gegen die Vorgaben von Art. 25 Abs. 1 und 2 DSGVO ist bußgeldbewehrt, was in Art. 83 Abs. 4 lit. a DSGVO geregelt ist. Weiterhin können die nach Art. 25 DSGVO ergriffenen Maßnahmen gem. Art. 83 Abs. 2 Satz 2 lit. d DSGVO als Bemessungskriterien die Entscheidung über die Verhängung einer Geldbuße und deren Betrag beeinflussen. Insoweit könnte ein zusätzlicher Anreiz bestehen, diese Pflichten nachhaltig zu erfüllen.

Der Gesetzgeber greift mit der Regelung in Art. 25 DSGVO die Konzepte “Privacy by Design” und “Privacy by Default” auf. Diesen Konzepten liegt der Gedanke zugrunde, das Risiko einer Verletzung der Privatsphäre durch frühzeitige, proaktive Gestaltung der datenverarbeitenden Prozesse und Systeme zu verringern. Datenschutzrechtliche Grundsätze und Vorgaben sollen bereits vor der Verarbeitung im Stadium der Konzeption und Entwicklung der Mittel der Verarbeitung berücksichtigt werden.

Sollten Sie Fragen zu Datenschutz durch Technikgestaltung und Voreinstellung oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht