Kostenlosen Ratgeber zur Verteidigung gegen 
Abmahnung als 28 Seiten PDF-Dokument

Datenschutzrecht: Microsoft Office 365 und DSFA (Datenschutz-Folgenabschätzung) nach DSGVO

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 02. Mai 2021 um 16:54
Logo AID24 Rechtsanwaltskanzlei

Der Artikel behandelt zunächst die allgemeine Datenschutzfolgenabschätzung (DSFA) anschließend unsere Kommentierung am Anwendungsbeispiel die Datenschutzfolgenabschätzung zu Microsoft Office 365.

Datenschutzfolgenabschätzung allgemein (DSFA)

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Nach Abs. 1 S. 1 haben Verantwortliche für Verarbeitungsvorgänge bei denen voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen bestehen, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten vorzunehmen. Als Beispiel einer solchen Verarbeitung wird der Einsatz neuer Technologien genannt. Problematisch ist hierbei, dass in der DS-GVO keine Definition für den Begriff der „neuen Technologie“ gegeben ist. Für die Bewertung eines Risikos ist entscheidend, welche Informationen aus den Daten über eine Person gewonnen werden können, unabhängig von der Art oder der Menge an Daten. Der Erwägungsgrund 75 liefert für die Risikobewertung unabhängig von der Eintrittswahrscheinlichkeit und der Schwere hilfreiche Parameter. Entscheidender Teil einer DSFA ist es demnach, eine Liste zu erstellen, in der für die geplante Datenverarbeitung jedes potenzielle Risiko aufgeführt und mit entsprechenden Risikominimierungsmaßnahmen versehen wird.

Der Verantwortliche holt bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten ein (Abs. 2). Ein Zurate ziehen geht über die bloße Beteiligung hinaus und beinhaltet eine aktive Teilnahme. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist dort Pflicht, wo die unternehmerische Kerntätigkeit entweder die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DS-GVO) die umfangreiche Verarbeitung besonderer Datenkategorien gem. Art. 9 DS-GVO oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten gem. Art. 10 DS-GVO beinhaltet.

In Abs. 3 werden abstrakte Beispielsfälle genannt, in denen eine Datenschutz-Folgenabschätzung insbesondere erforderlich, die Auflistung ist also gerade nicht abschließend. Bespiele hierfür sind das Profiling, Scoring oder das Tracking. Zu betrachten ist an dieser Stelle demnach nicht das Bewertungsverfahren als solches, sondern die Datenverarbeitung, die auf der Grundlage der Bewertung (z.B. eines Profilings) zu einer automatisierten Entscheidung führt.

Abs. 4 - 6 regeln verpflichtende Positiv- und freiwillige Negativlisten. Der Verarbeitende kann dazu verpflichtet sein, den Standpunkt betroffener Personen einzuholen (Abs. 9) oder die Einhaltung der Datenschutz-Folgenabschätzung bei der Verarbeitung zu kontrollieren, insbesondere bei einer Risikoänderung (Abs. 11).

In Abs. 7 ist geregelt, was eine Datenschutz-Folgenabschätzung jedenfalls zu enthalten hat Mindestprüfelemente: systematische Beschreibung der geplante Verarbeitungsvorgänge, Zwecke der Verarbeitung, verfolgte berechtigte Interessen des Verantwortlichen; Bewertung der Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; Bewertung der Risiken für Rechte und Freiheiten betroffener Personen (Abs. 1); zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Neben den materiellen Vorgaben des Art. 35 Abs. 7 DS-GVO sind bei der Einschätzung der datenschutzrechtlichen Auswirkungen auch genehmigte Verhaltensregeln in Abs. 8 zu berücksichtigen. Die Verhaltensregeln werden gem. Art. 40 Abs. 5 und 6 DS-GVO von Interessensverbänden erarbeitet und von der zuständigen Aufsichtsbehörde (Art. 55 DS-GVO) genehmigt und in einem Verzeichnis veröffentlicht.

Eine weitere Verpflichtung für den Verantwortlichen i.R.e. DSFA ist die Einholung des Standpunkts der betroffenen Personen gem. Abs. 9. Der Standpunkt der betroffenen Person ist gem. Art. 22 Abs. 3 DS-GVO für bestimmte Fälle automatisierter Entscheidungen (einschließlich Profiling) relevant und wird auch im Erwägungsgrund 71 explizit erwähnt. Da Verarbeitungsvorgänge unter Bezugnahme auf die Bewertung persönlicher Aspekte (Profiling) in jedem Fall einer DSFA zu unterziehen sind, ist in diesem Fall die Einholung des Standpunkts der betroffenen Person ein Prüfungselement.

Die DSGVO macht keine weiteren Vorgaben zur Dokumentation. Dadurch besteht zum einen zwar eine gewisse Freiheit, zum anderen entsteht aber auch Unsicherheit. Teilweise wird sich direkt an Art. 35 DSGVO orientiert, andere beziehen sich stark auf das Working Paper 248 der Artikel-29-Gruppe.

Anmerkung zur Stellungnahme des EU-Datenschutzbeauftragten zur DSFA

Der Europäische Datenschutzbeauftragte äußerte sich am 16.07.2019 in einer Stellungnahme indirekt zu der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Bezug nahm er dabei zwar eigentlich auf Art. 39 (Absatz 4 und 5) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und Rates vom 23. Oktober 2018. Dieser steht nach unserer Auffassung im Wesentlichen dem Inhalt des Art. 35 DSGVO gleich. Aus der Stellungnahme ging keine abschließende Fallliste hervor, die genau klärt, wann Die Vornahme einer Datenschutz-Folgenabschätzung erforderlich ist. Stattdessen wurden Kriterien aufgezeigt, bei denen ein hohes Risiko für Betroffene besteht. Diese sind im Anhang 1 der Stellungnahme aufgelistet. Wenn mindestens zwei der Kriterien erfüllt sind, sollte der Verantwortliche in der Regel eine Datenschutz-Folgenabschätzung durchführen:

„Where two or more of the criteria in the template in Annex 1 are applicable, the controller shall in general carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 2)

Im Falle einer Gegenentscheidung sollte dies dokumentiert und begründet werden. Denn nach der Auffassung des Europäischen Datenschutzbeauftragten kann bereits ein einziger Treffer eine Datenschutz-Folgenabschätzung erforderlich machen:

„If a controller decides not to carry out a DPIA, although more than one criterion in the template in Annex 1 is applicable, the controller shall document and justify that decision. If planned processing operations only trigger one criterion in the template in Annex 1, the controller may still decide to carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 3 und 4 der Stellungnahme).

Die neun Kriterien überschneiden sich mit denen aus dem Working Paper 248 der Artikel-29-Gruppe. Die aufgeführten (Gegen-) Beispiele helfen die abstrakt bleibenden gesetzlichen Vorgaben des Art. 35 I DSGVO zu veranschaulichen. Hilfreich könnte noch die ergänzende Liste aus Anhang 2 sein.

Bundesdatenschutzbeauftragter zur Datenschutzfolgenabschätzung / DSFA

Der Bundesbeauftragter für den Datenschutz und die Informationsfreiheit verweist in seinem 27. Tätigkeitsbericht für Kriterien zur Datenschutz-Folgenabschätzung über einen Infokasten explizit auf das Working Paper 248 der Artikel-29-Gruppe:

Das Dokument „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248) nennt die folgenden neun Kriterien dafür, dass eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen mit sich bringt:

  • Bewerten oder Einstufen (Scoring)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Systematische Überwachung
  • Vertrauliche oder höchst persönliche Daten
  • Datenverarbeitung in großem Umfang
  • Abgleichen oder Zusammenführen von Datensätzen
  • Daten zu schutzbedürftigen Betroffenen
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Die Verarbeitung an sich hindert Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags.“

(BfDI, Tätigkeitsbericht 2017-2018, S. 107)

Treffen zwei dieser Kriterien auf einen Verarbeitungsvorgang zu, sollte der Verantwortliche grundsätzlich eine Datenschutz-Folgenabschätzung vornehmen. Verbindlich sind jedoch die jeweiligen „Muss-Listen“. Gibt es hier einen Treffer, ist der Verantwortliche immer verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen.

Auf der Internetseite des Bundesdatenschutzbeauftragter wird auch auf das WP 248 als Leitlinien zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ verlinkt. Ein eigenes Prüfungsschema zum genauen Vorgehen wurde allerdings veröffentlicht. Nach unserer Ansicht ist davon auszugehen, dass eine Orientierung an WP 248 gewünscht ist. Zudem wird auf das Kurzpapier Nr. 5 der der unabhängigen Datenschutzbehörden des Bundes und der Länder verlinkt.

Datenschutzfolgenabschätzung / DSFA und Muss-Kisten bzw. Positivlisten

Artikel 35 IV DSGVO verpflichtet die Datenschutzaufsichtsbehörden zur Veröffentlichung einer Liste von Verarbeitungsvorgängen, für die immer eine Datenschutz-Folgenabschätzung erforderlich ist, weil voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht. Dann ist nach Art. 35 I DS-GVO eine Datenschutz-Folgenabschätzung von den Verantwortlichen durchzuführen.

BfDI (Bund): Positivliste für öffentliche Stellen des Bundes

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK): gemeinsame Positivliste für nicht-öffentlichen Bereich

LfDI Baden-Württemberg: Positivliste für nicht-öffentlichen Bereich

LfDI Bremen: Positivliste für nicht-öffentlichen Bereich

LfD Niedersachsen: Positivliste für öffentlichen Bereich

LfD Bayern: Positivliste für öffentlichen Bereich

LDI Nordrhein-Westfalen: Positivliste für öffentlichen Bereich

LfDI Mecklenburg-Vorpommern: Positivliste für öffentlichen Bereich

LfDI Rheinland-Pfalz: Positivliste für öffentlichen Bereich

LfDA Brandenburg: Positivliste für öffentlichen Bereich und Positivliste für öffentlichen sowie nicht-öffentlichen Bereich

TLfDI (Thüringen): Positivliste für öffentlichen sowie nicht-öffentlicher Bereich

LfDI Hamburg: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

LfDI Berlin: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

ULD Schleswig-Holstein: Positivliste

LfDI Hessen: Positivliste

LfD Sachsen: Positivliste und Begleittext

Der LfD Saarland und LfD Sachsen-Anhalt haben keine eigenen Listen veröffentlicht, es wird aber (wie sonst auch) auf die DSK-Liste verlinkt.

Bisher gibt es in Deutschland noch keine Negativlisten nach § 35 V DSGVO. In Österreich dagegen gibt es beispielsweise eine Liste von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung durchzuführen ist (Link: Liste, Fragen und Antworten - Datenschutzbehörde (dsb.gv.at)). Der Europäische Datenschutzausschuss soll eine zukünftig für alle EU-Mitgliedstaaten einheitliche und verbindliche Liste erstellen.

Unser Fazit zur Datenschutzfolgenabschätzung DSFA

Es ist festzustellen, dass aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ein rechtskonformer Einsatz durchaus möglich ist. Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Es sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.

Weitere für Sie wahrscheinlich interessante Artikel

Siemens Industry Software GmbH Abmahnung? wegen unlizenzierter Nutzung von "NX-12"

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 06. Dezember 2021 um 12:12
Inhalt des Schreibens der Siemens Industry Software GmbH wegen angeblich unlizenzierter Nutzung der Software „Siemens NX“ Es liegt ein Schreiben der Siemens Industry GmbH ("SISW") vor, hiernach soll eine Lizenzverletzung vorliegen, in welchem sich das angeschriebene Unternehmen schuldigt gemacht

Abmahnung von Raffay & Fleck wegen einer Verletzung der Marke „medicott“

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 24. Februar 2022 um 18:02
Eine Abmahnung von Raffay & Fleck: Inhalt des Abmahnschreibens Es liegt ein Abmahnschreiben der Patentanwaltskanzlei Raffay & Fleck vor, in welchem die Vertretung der Mattes & Ammann GmbH & Co.KG angezeigt wird. Dabei handelt es sich einen Hersteller textiler Meterware, der unter anderem auf

Vertragsstrafen bei einer erneuten Unterlassungserklärung

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 10. September 2021 um 12:09
Verstoß gegen die Unterlassungserklärung: Was passiert mit dem Unterlassungsanspruch? Wurden die in der Unterlassungserklärung eingeräumten Pflichten verletzt, so stellt sich die Frage, welche Auswirkungen dies auf den Unterlassungsanspruch hat, der ja gerade durch die Abgabe der strafbewehrten
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
Anwalt Urheberrecht Markenrecht AID24 Rechtsanwaltskanzlei
Logo Rechtsanwaltskammer Frankfurt am Main - Fortbildung Geprüft
Logo Qualität durch Fortbildung - Fortbildungszertifikat der Bundesanwaltskammer

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main

Kanzleibriefe

Amann Rechtsanwälte für SoundGuardian wegen angeblicher Rechtsverletzung an Tonaufnahme auf TikTok

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 08. Januar 2025 um 12:01
Der AID24 Rechtsanwaltskanzlei wurde ein Schreiben der Amann Rechtsanwälte vorgelegt, in dem diese stellvertretend für die SoundGuardian GmbH zur Nachlizenzierung für einen auf TikTok verwendeten Song auffordern. Das betroffene Unternehmen habe angeblich die geschützte Musik „3 Haselnüsse“ der

Bach Rechtsanwälte für SoundGuardian wegen angeblicher Rechtsverletzung an Tonaufnahme auf TikTok

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 06. Januar 2025 um 15:01
Der AID24 Rechtsanwaltskanzlei liegt ein Schreiben von Bach Rechtsanwälte vor, in welchem diese mitteilen, angeblich die SoundGuardian GmbH zu vertreten. Im Namen der Firma wird von der angeschriebenen Person gefordert, eine strafbewährte Unterlassungserklärung abzugeben und Schadensersatz zu zahlen

Nachlizenzierung SoundGuardian: Was tun bei teuren Schreiben oder Abmahnung?

veröffentlicht am 28. November 2024 um 11:11
Zahlungsforderung von SoundGuardian wegen der Tonaufnahme „Mein kleines Herz (Bam Bam) und weiterer Werke“ Uns liegt ein Schreiben der SoundGuardian GmbH vor, in dem diese zur Nachlizenzierung der Verwendung der Tonaufnahme „Mein kleines Herz (Bam Bam)“ der Interpreten „Darius & Finlay &