Zahlreiche deutsche Aufsichtsbehörden haben nunmehr die lang erwarteten Positivlisten („Black Lists“) vorgelegt, die es Verantwortlichen erleichtern sollen zu entscheiden, ob eine Datenschutz-Folgenabschätzung durchzuführen ist oder nicht.

Erforderlichkeit einer Datenschutz-Folgenabschätzung

Verantwortliche Unternehmen sind zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet, wenn ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine genaue Festlegung, woran sich ein hohes Risiko für die betroffenen Personen misst, ergibt sich aus dem Verordnungstext nicht. Man geht jedoch davon aus, dass hier entscheidend sein könnte, ob die Verarbeitung erhöhte Gefahren für die Rechtsgüter der betroffenen Person in sich birgt und dabei beispielsweise der Kreis der betroffenen Person, die Art der zur Datenerhebung eingesetzten Mittel oder der Kreis der zugriffsberechtigten Personen sowie die Eingriffsintensität der mit der Verarbeitung verbundenen Maßnahmen ein Hinweis auf ein solches Risiko geben.

Nach Art. 35 Abs. 3 DSGVO hält der Gesetzgeber es bei drei Regelbeispielen für erforderlich, dass eine Datenschutz-Folgenabschätzung durchgeführt wird:

  • bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO sowie
  • bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Dabei gehen die Aufsichtsbehörden aktuell davon aus, dass sich die Größe des Umfangs der Verarbeitung sowohl auf die Zahl der Betroffenen, als auch den Umfang der Angaben zu jeder bzw. jedem einzelnen Betroffenen bezieht.

Positivlisten der Aufsichtsbehörden

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet Listen vorzulegen, aus denen sich ergibt, in welchen Fällen eine Datenschutz-Folgenabschätzung durchzuführen ist. Zahlreiche deutsche Aufsichtsbehörden sind nunmehr dieser Verpflichtung nachgekommen. Die jeweilige Liste finden Sie unter dem nachfolgend aufgeführten Link:

Basis für diese Listen ist eine Ausarbeitung der Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Basis der Beiträge von Mitgliedern der Unterarbeitsgruppe Datenschutz-Folgenabschätzung des Arbeitskreises Grundsatzes der Datenschutzkonferenz. Der ursprüngliche Entwurf dieses Textes stammt vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA). Daher unterscheiden sich die verschiedenen Listen nur sehr geringfügig.
Diese Listen sind selbstverständlich nicht abschließend und werden durch den technischen Fortschritt oder durch besondere Konstellationen bedingt fortentwickelt. Dazu führt beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg aus:
Das Dokument hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen. Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Die DSK wird hierfür ein Prozess erarbeiten, wie Verarbeitungstätigkeiten für die Muss-Liste vorgeschlagen, beurteilt und aufgenommen werden. Änderung an Einträgen der Muss-Liste werden dokumentiert, sodass die Muss-Liste eine entsprechende Versionshistorie erhalten wird.
Auf den Listen erfasste Verarbeitungstätigkeiten

In diesen Positivlisten der Aufsichtsbehörden sind tabellarisch die Verarbeitungstätigkeiten, typische Einsatzfelder sowie Beispiele hierfür angegeben. daraus wird klar erkennbar, worauf sich die Aufsichtsbehörden in diesem Bereich zukünftig konzentrieren werden.

Danach werden zukünftig insbesondere soziale Netzwerke sowie Dating-, Kontakt- und Bewertungsportale um eine Datenschutz-Folgenabschätzung nicht herumkommen. Darüber hinaus wird aber auch der Bereich Fahrzeugdatenverarbeitung zum Beispiel im Bereich Car Sharing aufgeführt oder aber das Offline-Tracking von Kundenbewegungen in Warenhäusern und Einkaufszentren. Auch große Anwaltssozietäten sowie Sozialleistungsträger werden bei einer umfangreichen Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, eine Datenschutz-Folgenabschätzung vornehmen müssen. Auch das Scoring durch Auskunfteien, Banken oder Versicherungen sowie Inkassodienstleistungen sind aufgelistet. Schließlich werden auch der Einsatz von Telemedizin-Lösungen und die zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind, adressiert.

Dabei sind die Listen der verschiedenen Aufsichtsbehörden nicht vollständig einheitlich. So geht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit explizit davon aus, dass auch die zentrale Datenverarbeitung in Krankenhauskonzernen, oder durch verschiedene Forschungseinrichtungen einer Datenschutz- Folgenabschätzung unterliegt. Als Anwendungsbeispiele werden Krankenhausinformationssysteme mit Patientendaten in der Cloud oder nicht anonymisierte Forschungsdatenbanken in der Cloud erwähnt.

Empfehlung der Aufsichtsbehörden zur Einordnung von Verarbeitungstätigkeiten

Einige der Listen der Aufsichtsbehörden enthalten eine Empfehlung basierend auf den Leitlinien der Art. 29 Gruppe zur Datenschutz-Folgenabschätzung im Hinblick auf die maßgeblichen Kriterien zur Einordnung von Verarbeitungsvorgängen, die mit einem hohen Risiko verbunden sind. Diese ergeben sich wie folgt:

  1. Bewerten oder Einstufen (Scoring)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  3. Systematische Überwachung
  4. Vertrauliche oder höchstpersönliche Daten
  5. Datenverarbeitung in großem Umfang
  6. Abgleichen oder Zusammenführen von Datensätzen
  7. Daten zu schutzbedürftigen betroffenen
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrages gehindert

Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine Datenschutz-Folgenabschätzung durch den Verantwortlichen durchzuführen. Zutreffend weisen die Aufsichtsbehörden aber auch darauf hin, dass es in Einzelfällen vorkommen kann, dass nur eines der genannten Kriterien erfüllt ist und dennoch aufgrund eines hohen Risikos der Verarbeitungsvorgang einer Datenschutz-Folgenabschätzung bedarf.

Ausblick

Die Aufsichtsbehörden konnten sich leider nicht auf eine gemeinsame Liste einigen. So wird man als Unternehmen oder Berater alle Listen im Blick haben müssen, da einige Aufsichtsbehörden Datenschutz-Folgenabschätzungen in weiteren Bereichen verlangen und andere nicht. So wird in Hamburg beispielsweise eine Datenschutz-Folgenabschätzung für Datenverarbeitung von besonderen Kategorien personenbezogener Daten in einem Drittland verlangt.

Bislang noch nicht entschieden ist die umstrittene Frage, ob auch die Personalverwaltung als solches einer Datenschutz-Folgenabschätzung unterliegt, wovon nahezu alle Unternehmen betroffen wären. Von den Aufsichtsbehörden heißt es dazu, dass man sich hierzu noch nicht entschieden habe.

Schließlich wäre es wünschenswert, wenn die Aufsichtsbehörden auch sogenannte Negativlisten („White Lists“) veröffentlichen würden. Darauf wären dann Verarbeitungsvorgänge anzugeben, für die keine Datenschutz-Folgenabschätzung durchzuführen ist. Hierzu ist die Aufsichtsbehörde allerdings – anders als bei der Positivliste – nicht verpflichtet. Wir rechnen daher nicht damit, dass derartige Listen aufgestellt werden.

Christian Krösch