Aufsichtsbehörden veröffentlichen Listen zur Folgenabschätzung n. Art. 35 DSGVO

Die meisten Landesaufsichtsbehörden für Datenschutz haben eine Liste von Verarbeitungsvorgängen veröffentlicht, für die gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist.

Was ist eine Datenschutz-Folgenabschätzung?

Art. 35 Abs. 1 DSGVO verpflichtet einen Verantwortlichen grundsätzlich eine DSFA vorzunehmen, wenn eine Form der Verarbeitung, insbesondere bei „Verwendung neuer Technologien“, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Was unter „neuen Technologien“ zu verstehen ist, ist nach juristischer Ansicht nicht ganz klar.

Nach Erwägungsgrund 89 des Gesetzgebers zur DSGVO soll die Datenschutzfolgeabschätzung dazu dienen die generelle Meldepflicht an die Aufsichtsbehörde abzuschaffen: „Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Die Erforderlichkeit einer DSFA soll nach Erwägungsgrund 90 „insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen …“

Folglich ist nicht allein der Einsatz „neuer Technologien“ maßgeblich, sondern auch „andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen.“

Art. 35 Abs. 3 DSGVO gibt in diesen Zusammenhang generell vor:

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Da anhand der genannten Fälle jedoch noch immer nicht zweifelsfrei ermittelt werden kann, ob „ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen“ vorliegt, hat der Gesetzgeber in Art. 35 Abs. 4 S. 1 DSGVO vorgesehen:

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.

Dieser gesetzlichen Verpflichtung sind die Aufsichtsbehörden der Länder nun teilweise nachgekommen, und geben anhand der veröffentlichten Listen (auch sog. Blacklisten genannt) konkrete Fallkonstellationen mit Beispielen, wann eine DSFA erfolgen muss.

Zu beachten ist in diesem Zusammenhang, dass es, wie bei einer Vielzahl von datenschutzrechtlichen Regelungen, Unterschiede gibt, ob der Adressat eine Behörde oder andere öffentliche Stelle, oder eine nicht-öffentliche Stelle, also ein Privatunternehmen, ist. Aus diesem Grund bieten die jeweiligen Aufsichtsbehörden jeweils Listen von Verarbeitungsvorgängen für öffentliche und nicht-öffentliche Stellen an.

  • Die Berliner Beauftragte für Datenschutz bietet hier eine (Entwurfs-)Liste für Verarbeitungsvorgänge.
  • Die Landesbauftragte für Datenschutz Brandenburg (LDA Brandenburg) bietet hier einen Entwurf der Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO (öffentlicher und nicht öffentlicher Bereich, Stand 25. Mai 2018.
  • Das LDI NRW bietet hier eine Liste nach Art. 35 Abs. 4 DSGVO an.
  • Eine weitere Liste für nicht öffentliche Stellen des Hamburgischen Beauftragten für Datenschutz findet sich hier.

Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen werden u.a. in der Leitlinie in WP 248 der
Art. 29 Gruppe
(Zusammenschluss der nationalen Datenschutzbeauftragten der EU-Länder – ab dem 25.05.2018 abgelöst durch den Europäischer Datenschutzausschuss) aufgeführt:

  1. Bewerten oder Einstufen (Scoring)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich
    bedeutsamer Wirkung
  3. Systematische Überwachung
  4. Vertrauliche oder höchst persönliche Daten
  5. Datenverarbeitung in großem Umfang
  6. Abgleichen oder Zusammenführen von Datensätzen
  7. Daten zu schutzbedürftigen Betroffenen
  8. Innovative Nutzung oder Anwendung neuer technologischer oder
    organisatorischer Lösungen
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

In den veröffentlichten Listen werden, entsprechend der genannten Kriterien, typische Einsatzfelder mit Beispielen bennannt. So z.B.

  • der Betrieb eines umfassenden Verzeichnisses über Privatinsolvenzen durch eine große Anwaltssozietät
  • Fahrzeugdatenverarbeitung bei Car Sharing Diensten
  • Scoring durch Auskunfteien, Banken oder Versicherungen
  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen – Forderungsmanagement
  • Betrieb von großen sozialen Netzwerken oder Dating- und Kontaktportalen
  • Telefongespräch-Auswertung mittels Algorithmen

 

Geplante Ausnahmen für Datenschutz-Folgenabschätzungen

Bislang (Stand 20.06.2018) hat erst die belgische Datenschutzbehörde einen sog. Whitelist zu Folgeabschätzungen veröffentlicht, d.h. die Fälle in denen keine Datenschutz-Folgenabschätzung erforderlich ist. Wann eine Whitelist in Deutschland veröffentlicht wird, bleibt abzuwarten.

Nach Erwägungsgrund 91 S. 4 ff. sollen nach dem Willen des Gesetzgebers zumindest keine umfangreichen Datenverarbeitungsvorgänge (als eines der Erforderlichkeitskriterien) vorliegen, „wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Folglich sind zumindest für die genannten Berufe bei Ausübung durch einzelnene Berufsträger vom Gesetzgeber Ausnahmetatbestände vorgesehen, die eine Verpflichtung zur Durchführung einer DSFA entfallen lassen können.

 

Ähnliche Beiträge