Datenschutz-Folgenabschätzung - Teil 1: Datenschutzrechtliche Anforderungen, Whitelist, Blacklist und Muster-Prüfschema

Den Begriff Datenschutz-Folgenabschätzung (DSFA) habe ich in der Vergangenheit in den Blogartikeln Datenschutzanforderungen bei Videoüberwachung und WhatsApp-Business datenschutzkonform einsetzen wie selbstverständlich verwendet. Dabei ist eine Datenschutz-Folgenabschätzung alles andere als selbsterklärend: Sie ist ein wirkungsvolles Werkzeug, um vor der Verarbeitung personenbezogener Daten effektive und effiziente technisch-organisatorische Maßnahmen auszuwählen, welche die Rechte und Freiheiten natürlicher, betroffener Personen schützen. Aber der Reihe nach…

Wenn Sie als Unternehmer einen neuen Datenverarbeitungsvorgang einführen wollen, z. B. eine neue Verwaltungssoftware, eine Videoüberwachung, ein Business-Intelligence oder Artificial-Intelligence-Werkzeug oder einfach nur eine Auswertungsroutine, anhand deren Sie Umsätze auf Personen beziehen, sollten Sie vorab eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Diese Abschätzung nennt man Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO).

Vergleichbar ist die Datenschutz-Folgenabschätzung mit der Vorabkontrolle, welche vor der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) analoge Überlegungen forderte. Deswegen ist es auch nicht verwunderlich, dass eine Datenschutz-Folgenabschätzung dann für bereits bestehende Verarbeitungsvorgänge entbehrlich ist, wenn durch den Datenschutzbeauftragten bereits eine Vorabkontrolle durchgeführt und dokumentiert wurde, wenn der Verarbeitungsvorgang seitdem unverändert durchgeführt wird und wenn sich das Risiko (für die Rechte und Freiheiten der natürlichen Personen) seit der letzten Vorabkontrolle nicht geändert hat. Umgekehrt müssen Unternehmer für jeden Verarbeitungsvorgang, welche diese Voraussetzungen nicht erfüllen, eine Datenschutz-Folgenabschätzung durchführen.

Falls Sie also einen neuen Verarbeitungsprozess haben, oder für einen bestehenden Verarbeitungsprozess keine Vorabkontrolle durchgeführt haben, führen Sie anhand des folgenden, mehrstufigen Muster-Schemas eine Datenschutz-Folgenabschätzung durch:

Ausschlusskriterien:

1. Hat die für Sie zuständige Aufsichtsbehörde für Datenschutz eine Whitelist, also eine Liste der Arten von Verarbeitungsvorgängen erstellt und veröffentlicht, für die keine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 5 DSGVO)? Ist der in Frage kommende Verarbeitungsvorgang in der Liste genannt? Falls ja, müssen Sie keine Datenschutz-Folgenabschätzung erstellen. Stand heute (Ende Dezember 2018) hat übrigens noch keine Aufsichtsbehörde eine solche Whitelist erstellt/veröffentlicht.
2. Existiert bereits eine Datenschutz-Folgenabschätzung für andere, ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken? Falls ja, kann eine weitere Abschätzung unterbleiben.

Pflicht zur Durchführung einer DSFA:

3. Wenn der in Frage kommende Verarbeitungsvorgang (vereinfacht und auszugsweise dargestellt) nach Art. 35 Abs. 3 DSGVO 
   1. systematisch und umfassend persönliche Aspekte verarbeitet oder
   2. besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) verarbeitet oder
   3. systematisch eine umfangreiche Überwachung öffentlich zugänglicher Bereiche durchführt (z. B. Videoüberwachung), müssen Sie eine DSFA für diesen Verarbeitungsvorgang durchführen.

4. Falls der in Frage kommende Verarbeitungsvorgang in der Blacklist (Art. 35 Abs. 4 DSGVO) der Aufsichtsbehörde (Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist) veröffentlicht wurde, müssen Sie ebenfalls eine DSFA durchführen. Derzeit sind beispielsweise folgende Verarbeitungstätigkeiten dort genannt:
   1. Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke.
   2. Früherkennung von Erbkrankheiten
   3. Betrieb eines Insolvenzverzeichnisses
   4. Träger von großen sozialen Einrichtungen
   5. Verarbeitungen großer Rechtsanwaltskanzleien / Anwaltssozietäten
   6. Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste
   7. Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren
   8. Fraud-Prevention-Systeme
   9. Betrieb von Bewertungsportalen
   10. Inkassodienstleistungen – Forderungsmanagement
   11. Geolokalisierung von Beschäftigten (Speditionen, Fahrdienste)
   12. Mit Drittdaten angereicherte Big-Data-Analyse von Kundendaten

Falls kein Ausschlusskriterium und keine Pflicht zur Durchführung einer DSFA auf den Verarbeitungsvorgang zutrifft, müssen Sie eine eigene Risikoabschätzung durchführen, bei der Sie als Verantwortliche der Frage nachgehen, ob der in Frage kommende Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Diese eigene Risikoabschätzung nennt sich auch Schwellwertanalyse.

Die Schwellwertanalyse setzt im Grunde nur die Prüfungen fort, welche für die Verarbeitungstätigkeiten aus der Blacklist bereits durchgeführt wurden. Die folgenden neun Kriterien helfen Ihnen bei der Einordnung des Risikos, das von dem in Frage kommenden Verarbeitungsvorgang ausgeht:

• Werden vertrauliche oder höchst persönliche Daten verarbeitet?
• Verarbeiten Sie Daten zu schutzbedürftigen Betroffenen (z.B. Kindern, Arbeitnehmern)
• Findet eine Datenverarbeitung in großem Umfang statt?
• Findet eine systematische Überwachung statt?
• Nutzen Sie innovative Lösungen oder wenden Sie neue technologische oder organisatorische Lösungen an?
• Führen Sie eine Bewertung oder eine Einstufung durch (Scoring)?
• Gleichen Sie Datensätze ab oder führen Sie Datensätze zusammen?
• Führen Sie eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung durch?
• Werden Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert?

Falls Sie eine oder mehrere Fragen mit Ja beantworten, sollten Sie eine Datenschutz-Folgenabschätzung für diesen Verarbeitungsvorgang durchführen. Die Schwellwertanalyse muss von Ihnen dokumentieren werden (Art. 5 Abs. 2 DSGVO).

Nach welchem Muster Sie eine Datenschutz-Folgenabschätzung durchführen sollten, erfahren Sie in meinem nächsten Blogartikel.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter,
Datenschutz und Informationssicherheit
Aachen