1/x Ich habe die "Leitlinien für #Transparenz" (Working Paper 260 rev.01) des @EU_EDPB durchgearbeitet und weiß nicht, ob ich lachen oder weinen soll.

Thread zu den Transparenzanforderungen der #DSGVO👇

@EU_EDPB 2/x Die #Transparenzpflichten der #DSGVO sind ja für sich genommen schon ziemlich überbordend.

Ich zähle mindestens 24 #Informationspflichten #Unterrichtungspflichten #Mitteilungspflichten und #Benachrichtigungspflichten (Terminologie ist nicht einheitlich):

@EU_EDPB 3/x Im #BDSG zähle ich nochmal zusätzliche 8 Informationspflichten:

@EU_EDPB 4/x Dem @EU_EDPB reichen diese #Informationspflichten wohl nicht.

In Verbindung mit dem Grundsatz von Treu und Glauben (Art. 5 I a #DSGVO) & der #Rechenschaftspflicht (Art. 5 II und 24 I DSGVO) legt er die Informationspflichten extrem weit aus und erfindet neue Pflichten hinzu.

@EU_EDPB 5/x Bei Unsicherheiten bezüglich des Grads der “Verständlichkeit” von Informationen soll der Verantwortliche Tests und Dialoge zur Prüfung der Verständlichkeit (etwa mit Nutzergremien, Industriegruppen, Verbraucherverbänden und Regulierungsbehörden) durchführen. (Rn. 9)

@EU_EDPB 6/x Zusätzlich zu 13/14 #DSGVO soll der Verantwortliche abschätzen, ob sich durch die Art der Verarbeitung besondere Risiken für natürliche Personen ergeben, und dem Betroffenen eine Übersicht der Verarbeitungsarten mit den weitreichendsten Auswirkungen bereitstellen. (Rn. 10)

@EU_EDPB 7/x Bei Verwendung “unbestimmter Formulierungen” soll der Verantwortliche in der Lage sein aufzuzeigen, warum dieser Sprachgebrauch nicht vermieden werden konnte. (Rn. 13)

@EU_EDPB 8/x Verlangt der Betroffene die mündliche Erteilung von Informationen, soll der Verantwortliche dieses Verlangen, das Verfahren der Identitätsüberprüfung und die Tatsache der Informationserteilung dokumentieren. (Rn. 21)

@EU_EDPB 9/x Bei der Festlegung der geeignetsten Art und Weise für die Bereitstellung von Informationen soll der Verantwortliche dokumentierte Anwendertests durchführen. (Rn. 25)

@EU_EDPB 10/x Im Hinblick auf den Zeitpunkt der nach Art. 14 #DSGVO zu erteilenden Informationen (vgl. Art. 14 III) soll der Verantwortliche die Gründe und eine Rechtfertigung für die Wahl des konkreten Zeitpunkts darlegen. (Rn. 28)

@EU_EDPB 11/x Der Verantwortliche soll prüfen (und dann wohl auch dokumentieren), ob und in welchen Abständen er die Betroffenen ausdrücklich an die Datenschutzerklärungen und den Ort, wo diese zu finden sind, erinnert. (Rn. 32)

@EU_EDPB 12/x Der Verantwortliche soll eine (wohl dokumentierte) Analyse über die Priorisierung der den Betroffenen zur Verfügung zu stellenden Informationen und über die angemessene Detail- und Verfahrenstiefe der Informationsübermittlung vornehmen. (Rn. 34)

@EU_EDPB 13/x Der Verantwortliche soll eine Veröffentlichung der Datenschutzfolgenabschätzung zum Zweck der Vertrauensbildung in Betracht ziehen, obgleich diese nicht verpflichtend sei. (Rn. 42)

@EU_EDPB 14/x Der Verantwortliche soll dem Betroffenen bei Weiterverarbeitung der Daten zu einem anderen Zweck (vgl 6 IV #DSGVO) eine Vereinbarkeitsanalyse – also eine Erläuterung, inwiefern Verarbeitung für andere Zwecke mit ursprüngl Zweck vereinbar ist – zur Verfügung stellen. (Rn. 47)

@EU_EDPB 15/x Um Ausnahme des 13 IV #DSGVO in Anspruch nehmen zu können, soll der Verantwortliche nachweisen und dokumentieren, über welche Infos der Betroffene bereits verfüge, wie und wann er diese erhalten habe, und dass diese Infos noch aktuell sind. (Rn. 56)

@EU_EDPB 16/x Um Ausnahme des 14 V b #DSGVO in Anspruch nehmen zu können, soll der Verantwortliche eine Abwägung zwischen dem ihm entstehenden Aufwand (bei Informationserteilung) & den Auswirkungen für den Betroffenen (bei Ausbleiben der Information) vornehmen und dokumentieren. (Rn. 64)

@EU_EDPB 17/x @EU_EDPB sieht neben konkret normierten Informationspflichten eine übergreifende Transparenzverpflichtung (Rn. 1). Das Transparenzkonzept der #DSGVO sei "user-centric rather than legalistic" (Rn. 3). [Soll wohl heißen, dass es nicht so sehr auf d Wortlaut ankommen soll.]

@EU_EDPB 18/x Fast schon lustig sind die Empfehlungen des @EU_EDPB für die "klare" & "einfache" Sprache iSd Art. 12 I #DSGVO (Rn. 12 f):
- Vermeidung komplexer Satzstrukturen
- Konkrete & belastbare Informationen
- Vermeidung von Modalverben & -wörtern
- Absätze & Sätze wohl strukturiert

@EU_EDPB 19/x
- Hierarchische Beziehungen m Aufzählungszeichen & Einzügen
- Aktive anstelle der passiven Form
- Vermeidung übermäßiger Substantivierung
- Nicht unverhältnismäßig viele rechtliche, technische, fachbezogene Formulierungen
- Wortwahl, Tonalität, Sprachstiel zielgruppengerecht

@EU_EDPB 20/x @EU_EDPB meint, der Verantwortliche müsse wissen, welche Sprache für die Betroffenen "seiner" Datenverarbeitung verständlich sei ("Verständnishorizont des Zielpublikums”). Daran müsse er die Sprache der Informationen ausrichten (Rn. 9).

@EU_EDPB 21/x Im WP 260 rev.01 des @eu_edpb kulminieren viele der Probleme der #DSGVO:

❌Hypertrophie der Pflichten
❌Information overkill beim Betroffenen
❌Dokumentationsversessenheit
❌Ignoranz gegenüber Aufwand und Kosten
❌Präskriptivität enumerativ aufgezählter Pflichten

@EU_EDPB 22/x

❌Gleichzeitig vom Wortlaut losgelöste extensive Auslegung der Pflichten
❌One size fits all-Ansatz: nie wird unterschieden, ob es sich beim Datenverarbeiter um GAFA, Behörden oder Blogger, Fotografen, Vereine handelt

➡️Am Ende wird #Transparenz zum Selbstzweck

Ende