Die im Jahr 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) sieht unterschiedliche Kontrollmechanismen vor, die einen optimalen Schutz der personenbezogenen Daten gewährleisten sollen.
Eines der wichtigsten Instrumente ist die sogenannte Datenschutz-Folgenabschätzung, kurz DSFA. Durch die DSFA werden Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen darstellen, vorab auf ihre Folgewirkungen für deren Persönlichkeitsschutz überprüft. Die DSFA entspricht damit einer Risikobewertung zur sicheren Verarbeitung von personenbezogenen Daten in einem Unternehmen.
Wann ist eine DSFA durchzuführen?
Die entsprechenden Grundlagen finden sich in Art. 35 DSGVO.
Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen, wenn:
„[…] eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.
Kurz gesagt bedeutet dies: Nicht jeder Datenverarbeitungsvorgang löst die Pflicht zur Durchführung einer DSFA aus. Vielmehr gilt die Pflicht nur für solche Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte, Pflichte und Freiheiten natürlicher Personen zur Folge haben. Dabei ist die DSFA vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden.
Praxis-Tipp: Es besteht für bereits vorhandene Datenverarbeitungen keinen Bestandsschutz. Eine DSFA ist deshalb durchzuführen, wenn die Voraussetzungen hierfür vorliegen oder neue Risiken zu einer entsprechenden Wertung führen.
Ziel ist es, bereits frühzeitig geeignete und angemessene technische und organisatorische Maßnahmen zu treffen, um die identifizierten Risiken für die Persönlichkeitsrechte der betroffenen Personen minimieren zu können.
Gesetzliche Vorgaben
Für einige Fälle gibt der Gesetzgeber unmittelbar vor, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Die DSGVO nennt in Art. 35 Abs. 3 folgende Fälle:
- Wenn in erheblichem Umfang besondere personenbezogene Daten nach Art. 9 Abs. 1 der DSGVO verarbeitet werden oder Daten über Verurteilungen und Straftaten.
(Unter besondere personenbezogene Daten fallen etwa die rassische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung und Gesundheitsdaten.) - Bei der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche, vor allem per Videoüberwachung;
- Bei automatisierten Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring in Wirtschaftsauskunfteien, Online Kreditanträge oder Online-Einstellungsverfahren).
Die im Gesetz geregelten Fälle sind jedoch nicht abschließend. Generell gilt, dass die Notwendigkeit der Durchführung einer DSFA durch den Verantwortlichen im Einzelfall zu prüfen ist.
Für eine erste Orientierung zur Bewertung der Erforderlichkeit einer DSFA kann auf die Empfehlungen der Artikel-29-Arbeitsgruppe zur Datenschutz-Folgenabschätzung zurückgegriffen werden. Das unabhängige Beratungsgremium hat Leitlinien erstellt, welche neun Kriterien nennen, die für ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sprechen und deshalb eine DSFA durchzuführen ist.
Zu dieser Leitlinie hat sich am 16.07.2019 der Europäische Datenschutzbeauftragte geäußert. Er hat die in der Leitlinie enthaltenen Kriterien weitgehend bestätigt und mit Beispielen untermauert.
Die neun Kriterien
Für die Durchführung einer DSFA sprechen die folgenden Kriterien:
1. Systematische und umfangreiche Auswertung personenbezogener Daten, durch Scoring, Profiling und Prognoseentscheidungen
Als Beispiel nennt der EU-Datenschutzbeauftragte z. B. die Einschätzung der Kreditwürdigkeit bei einer Bank oder die Erstellung personenbezogener Verhaltensprofile anhand der Nutzung einer Website.
2. Eine automatische Entscheidungsfindung, die rechtliche Auswirkungen für Betroffene hat
Dies umfasst Verarbeitungsvorgänge, welche die Grundlage für Entscheidungen bilden, „die Rechtswirkung gegenüber natürlichen Personen entfalten“ oder diese „in ähnlich erheblicher Weise beeinträchtigen“ (vgl. Art. 35 Abs. 3a DSGVO). Die Verarbeitung führt in Folge zum Ausschluss oder zur Benachteiligung von Personen.
Beispiel des EU-Datenschutzbeauftragte: Eine automatische Einstufung von Mitarbeitern („Wenn Sie sich bei den unteren zehn Prozent Ihres Teams bzgl. der bearbeiteten Fälle befinden, erhalten Sie automatisch ein „unbefriedigend“ bzgl. Ihrer Bewertung).
3. Systematische Überwachung
Dies umfasst Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen bezwecken, insbesondere auch im öffentlich zugänglichen Raum.
Beispiele des EU-Datenschutzbeauftragten sind eine intelligente Videoüberwachung im öffentlichen Raum und das Tracken von Personen anhand von Standortdaten.
4. Überwachung von besonderen personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO
Beispiele hierfür sind ein allgemeines Krankenhaus, das die Krankenakten seiner Patienten archiviert, oder ein Privatdetektiv, der Akten zu Straftätern führt.
5. Datenverarbeitung in großem Umfang
Um zu bestimmen, um eine Datenverarbeitung „in großem Umfang“ stattfindet, ist grundsätzlich die Anzahl der Betroffenen, die Menge oder der Umfang der Daten, die Dauer der Verarbeitung sowie die geographische Ausweitung der Verarbeitung in den Blick zu nehmen. In der Stellungnahme des EU-Datenschutzbeauftragen wird jedoch klargestellt, dass eine Datenverarbeitung in „großem Umfang“ unabhängig davon, ob es sich um die Anzahl der betroffenen Personen und/oder die Menge der jeweils verarbeiteten Daten handelt, vorliegen kann –es kommt maßgeblich auf die Gesamtumstände an.
Als Beispiel wird eine Europäische Datenbank zur Überwachung von Krankheiten genannt.
6. Kombination von Datensätzen
Hierunter fallen z. B. solche Datensätze, die von mehreren Verantwortlichen zu unterschiedlichen Zwecken in einer Weise angelegt wurden, die die vernünftigen Erwartungen der Betroffenen übersteigen würde.
Beispiel: Abgleich der Zugangsdaten zu einem Unternehmen mit den selbst eingetragenen Arbeitszeiten der Mitarbeiter, zur Aufklärung des Verdachts einer betrügerischen Erklärung im Rahmen einer Untersuchung.
7. Daten zu schutzbedürftigen Betroffenen
Hierunter fallen Daten, die gefährdete bzw. schutzwürdige Personen betreffen. Die Verarbeitung dieser Art von Daten erfordert eine DSFA, weil den Betroffenen keine effektive Möglichkeit zusteht freiwillig zuzustimmen bzw. zu widersprechen oder ihre Rechte auszuüben
Als schutzbedürftige Betroffene gelten beispielsweise folgende Bevölkerungsgruppen: Kinder, Arbeitnehmer, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylbewerber, Senioren, Patienten usw.).
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
Der Einsatz solcher Technologie erfordert eine DSFA, weil sie ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Zudem sollen die persönlichen und gesellschaftlichen Folgen, die der Einsatz einer neuen Technologie haben kann, besser abschätzbar sein.
Beispiele des EU-Datenschutzbeauftragten hierzu sind Connected Cars, ein Social Media Screening bei Bewerbern und die „künstliche“ Generierung von Wissen aus Erfahrung (sog. machine learning).
9. Hinderung der Betroffenen daran, ihre Rechte auszuüben oder der Nutzung einer Dienstleistung oder eines Vertrages
Hierzu zählen Verarbeitungsvorgänge, mit deren Hilfe Betroffenen der Zugriff auf eine Dienstleistung oder der Abschluss eines Vertrags gestattet, geändert oder verwehrt werden soll.
Hierfür sei als Beispiel eine Bank genannt, die eine von Kreditauskunfteien betriebene Datenbank nach ihren Kunden durchsucht, um über die Bonität bzw. die Kreditvergaben zu entscheiden.
Die Bewertung der Kriterien
Grundsätzlich gilt: Je mehr der oben aufgezählten Kriterien erfüllt sind, desto höher schätzt der EU-Datenschutzbeauftrage das Risiko für die Betroffenen ein, so dass eine DSFA erforderlich ist.
Folgende Faustregel ist zu beachten:
„As a rule of thumb, a processing operation meeting less than two criteria may not require a DPIA due to the lower level of risk, and processing operations which meet at least two of these criteria will require a DPIA.”
Als Faustregel gilt also, dass eine Folgenabschätzung erfolgen sollte, sobald zwei dieser Kriterien kumulativ erfüllt sind. Allerdings ist immer auf den Einzelfall abzustellen. In einigen Fällen kann es vorkommen, dass ein für die Datenverarbeitung Verantwortlicher von der Notwendigkeit einer DSFA ausgehen muss, obwohl der fragliche Verarbeitungsvorgang nur eines der Kriterien erfüllt.
Entscheidet sich der Verantwortliche gegen eine DSFA, obwohl mehr als ein Kriterium erfüllt sind, sollte diese Entscheidung deshalb vom Verantwortlichen dokumentiert und begründet werden.
Fazit
Die DSFA ist ein essentieller Teil des unternehmerischen Risikomanagements: Sie ist ein wichtiges Instrument für Unternehmen, um datenschutzrechtliche Risiken vor der Einführung von neuen Datenverarbeitungsprozessen zu bewerten. Potentielle Risiken und Sicherheitslücken können frühzeitig aufgedeckt werden, ebenso wie strukturelle Probleme der Verarbeitung. Damit kann die DSFA für Unternehmen auch einen großen Mehrwert haben.
Angesichts empfindlicher Bußgelder und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen unterrichten. Die Unternehmen haben sodann für jeden Einzelfall eine sorgfältige Prüfung und Abwägung hinsichtlich der Durchführung einer DSFA durchzuführen. Mangels klarer gesetzlicher Vorgaben sollte diese Prüfung in enger Zusammenarbeit mit dem Datenschutzbeauftragten stattfinden. Bei der Prüfung, ob eine DSFA zu erfolgen hat, kann neben den gesetzlichen Vorgaben auf die Leitlinie der Artikel-29-Gruppe und die Liste des EU-Datenschutzbeauftragten zurückgegriffen werden. Letztere enthält überwiegend schon bekannte Kriterien. Die enthaltenen Beispiele und Gegenbeispiele sind jedoch geeignet, den unbestimmten und abstrakten gesetzlichen Regelungen ein Gesicht für die Praxis zu geben.
Quellen
- Leitlinien der Artikel-29-Gruppe, WP 248 Rev. 01
- https://edps.europa.eu/sites/edp/files/publication/19-07-16_edps_dpia_list_en.pdf
