Datenschutzrecht: Microsoft Office 365 und DSFA (Datenschutz-Folgenabschätzung) nach DSGVO

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Der Artikel behandelt zunächst die allgemeine Datenschutzfolgenabschätzung (DSFA) anschließend unsere Kommentierung am Anwendungsbeispiel die Datenschutzfolgenabschätzung zu Microsoft Office 365.

Datenschutzfolgenabschätzung allgemein (DSFA)

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Nach Abs. 1 S. 1 haben Verantwortliche für Verarbeitungsvorgänge bei denen voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen bestehen, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten vorzunehmen. Als Beispiel einer solchen Verarbeitung wird der Einsatz neuer Technologien genannt. Problematisch ist hierbei, dass in der DS-GVO keine Definition für den Begriff der „neuen Technologie“ gegeben ist. Für die Bewertung eines Risikos ist entscheidend, welche Informationen aus den Daten über eine Person gewonnen werden können, unabhängig von der Art oder der Menge an Daten. Der Erwägungsgrund 75 liefert für die Risikobewertung unabhängig von der Eintrittswahrscheinlichkeit und der Schwere hilfreiche Parameter. Entscheidender Teil einer DSFA ist es demnach, eine Liste zu erstellen, in der für die geplante Datenverarbeitung jedes potenzielle Risiko aufgeführt und mit entsprechenden Risikominimierungsmaßnahmen versehen wird.

Der Verantwortliche holt bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten ein (Abs. 2). Ein Zurate ziehen geht über die bloße Beteiligung hinaus und beinhaltet eine aktive Teilnahme. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist dort Pflicht, wo die unternehmerische Kerntätigkeit entweder die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DS-GVO) die umfangreiche Verarbeitung besonderer Datenkategorien gem. Art. 9 DS-GVO oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten gem. Art. 10 DS-GVO beinhaltet.

In Abs. 3 werden abstrakte Beispielsfälle genannt, in denen eine Datenschutz-Folgenabschätzung insbesondere erforderlich, die Auflistung ist also gerade nicht abschließend. Bespiele hierfür sind das Profiling, Scoring oder das Tracking. Zu betrachten ist an dieser Stelle demnach nicht das Bewertungsverfahren als solches, sondern die Datenverarbeitung, die auf der Grundlage der Bewertung (z.B. eines Profilings) zu einer automatisierten Entscheidung führt.

Abs. 4 - 6 regeln verpflichtende Positiv- und freiwillige Negativlisten. Der Verarbeitende kann dazu verpflichtet sein, den Standpunkt betroffener Personen einzuholen (Abs. 9) oder die Einhaltung der Datenschutz-Folgenabschätzung bei der Verarbeitung zu kontrollieren, insbesondere bei einer Risikoänderung (Abs. 11).

In Abs. 7 ist geregelt, was eine Datenschutz-Folgenabschätzung jedenfalls zu enthalten hat Mindestprüfelemente: systematische Beschreibung der geplante Verarbeitungsvorgänge, Zwecke der Verarbeitung, verfolgte berechtigte Interessen des Verantwortlichen; Bewertung der Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; Bewertung der Risiken für Rechte und Freiheiten betroffener Personen (Abs. 1); zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Neben den materiellen Vorgaben des Art. 35 Abs. 7 DS-GVO sind bei der Einschätzung der datenschutzrechtlichen Auswirkungen auch genehmigte Verhaltensregeln in Abs. 8 zu berücksichtigen. Die Verhaltensregeln werden gem. Art. 40 Abs. 5 und 6 DS-GVO von Interessensverbänden erarbeitet und von der zuständigen Aufsichtsbehörde (Art. 55 DS-GVO) genehmigt und in einem Verzeichnis veröffentlicht.

Eine weitere Verpflichtung für den Verantwortlichen i.R.e. DSFA ist die Einholung des Standpunkts der betroffenen Personen gem. Abs. 9. Der Standpunkt der betroffenen Person ist gem. Art. 22 Abs. 3 DS-GVO für bestimmte Fälle automatisierter Entscheidungen (einschließlich Profiling) relevant und wird auch im Erwägungsgrund 71 explizit erwähnt. Da Verarbeitungsvorgänge unter Bezugnahme auf die Bewertung persönlicher Aspekte (Profiling) in jedem Fall einer DSFA zu unterziehen sind, ist in diesem Fall die Einholung des Standpunkts der betroffenen Person ein Prüfungselement.

Die DSGVO macht keine weiteren Vorgaben zur Dokumentation. Dadurch besteht zum einen zwar eine gewisse Freiheit, zum anderen entsteht aber auch Unsicherheit. Teilweise wird sich direkt an Art. 35 DSGVO orientiert, andere beziehen sich stark auf das Working Paper 248 der Artikel-29-Gruppe.

Anmerkung zur Stellungnahme des EU-Datenschutzbeauftragten zur DSFA

Der Europäische Datenschutzbeauftragte äußerte sich am 16.07.2019 in einer Stellungnahme indirekt zu der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Bezug nahm er dabei zwar eigentlich auf Art. 39 (Absatz 4 und 5) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und Rates vom 23. Oktober 2018. Dieser steht nach unserer Auffassung im Wesentlichen dem Inhalt des Art. 35 DSGVO gleich. Aus der Stellungnahme ging keine abschließende Fallliste hervor, die genau klärt, wann Die Vornahme einer Datenschutz-Folgenabschätzung erforderlich ist. Stattdessen wurden Kriterien aufgezeigt, bei denen ein hohes Risiko für Betroffene besteht. Diese sind im Anhang 1 der Stellungnahme aufgelistet. Wenn mindestens zwei der Kriterien erfüllt sind, sollte der Verantwortliche in der Regel eine Datenschutz-Folgenabschätzung durchführen:

„Where two or more of the criteria in the template in Annex 1 are applicable, the controller shall in general carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 2)

Im Falle einer Gegenentscheidung sollte dies dokumentiert und begründet werden. Denn nach der Auffassung des Europäischen Datenschutzbeauftragten kann bereits ein einziger Treffer eine Datenschutz-Folgenabschätzung erforderlich machen:

„If a controller decides not to carry out a DPIA, although more than one criterion in the template in Annex 1 is applicable, the controller shall document and justify that decision. If planned processing operations only trigger one criterion in the template in Annex 1, the controller may still decide to carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 3 und 4 der Stellungnahme).

Die neun Kriterien überschneiden sich mit denen aus dem Working Paper 248 der Artikel-29-Gruppe. Die aufgeführten (Gegen-) Beispiele helfen die abstrakt bleibenden gesetzlichen Vorgaben des Art. 35 I DSGVO zu veranschaulichen. Hilfreich könnte noch die ergänzende Liste aus Anhang 2 sein.

Bundesdatenschutzbeauftragter zur Datenschutzfolgenabschätzung / DSFA

Der Bundesbeauftragter für den Datenschutz und die Informationsfreiheit verweist in seinem 27. Tätigkeitsbericht für Kriterien zur Datenschutz-Folgenabschätzung über einen Infokasten explizit auf das Working Paper 248 der Artikel-29-Gruppe:

 „Das Dokument „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248) nennt die folgenden neun Kriterien dafür, dass eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen mit sich bringt:

  • Bewerten oder Einstufen (Scoring)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Systematische Überwachung
  • Vertrauliche oder höchst persönliche Daten
  • Datenverarbeitung in großem Umfang
  • Abgleichen oder Zusammenführen von Datensätzen
  • Daten zu schutzbedürftigen Betroffenen
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Die Verarbeitung an sich hindert Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags.“

(BfDI, Tätigkeitsbericht 2017-2018, S. 107)

Treffen zwei dieser Kriterien auf einen Verarbeitungsvorgang zu, sollte der Verantwortliche grundsätzlich eine Datenschutz-Folgenabschätzung vornehmen. Verbindlich sind jedoch die jeweiligen „Muss-Listen“. Gibt es hier einen Treffer, ist der Verantwortliche immer verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen.

Auf der Internetseite des Bundesdatenschutzbeauftragter wird auch auf das WP 248 als Leitlinien zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ verlinkt. Ein eigenes Prüfungsschema zum genauen Vorgehen wurde allerdings veröffentlicht. Nach unserer Ansicht ist davon auszugehen, dass eine Orientierung an WP 248 gewünscht ist. Zudem wird auf das Kurzpapier Nr. 5 der der unabhängigen Datenschutzbehörden des Bundes und der Länder verlinkt.

Datenschutzfolgenabschätzung / DSFA und Muss-Kisten bzw. Positivlisten 

Artikel 35 IV DSGVO verpflichtet die Datenschutzaufsichtsbehörden zur Veröffentlichung einer Liste von Verarbeitungsvorgängen, für die immer eine Datenschutz-Folgenabschätzung erforderlich ist, weil voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht. Dann ist nach Art. 35 I DS-GVO eine Datenschutz-Folgenabschätzung von den Verantwortlichen durchzuführen.

BfDI (Bund): Positivliste für öffentliche Stellen des Bundes

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK): gemeinsame Positivliste für nicht-öffentlichen Bereich

LfDI Baden-Württemberg: Positivliste für nicht-öffentlichen Bereich  

LfDI Bremen: Positivliste für nicht-öffentlichen Bereich

LfD Niedersachsen: Positivliste für öffentlichen Bereich  

LfD Bayern: Positivliste für öffentlichen Bereich  

LDI Nordrhein-Westfalen: Positivliste für öffentlichen Bereich  

LfDI Mecklenburg-Vorpommern: Positivliste für öffentlichen Bereich

LfDI Rheinland-Pfalz: Positivliste für öffentlichen Bereich

LfDA Brandenburg: Positivliste für öffentlichen Bereich und Positivliste für öffentlichen sowie nicht-öffentlichen Bereich

TLfDI (Thüringen): Positivliste für öffentlichen sowie nicht-öffentlicher Bereich

LfDI Hamburg: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

LfDI Berlin: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich

ULD Schleswig-Holstein: Positivliste

LfDI Hessen: Positivliste

LfD Sachsen: Positivliste und Begleittext

Der LfD Saarland und LfD Sachsen-Anhalt haben keine eigenen Listen veröffentlicht, es wird aber (wie sonst auch) auf die DSK-Liste verlinkt.

Bisher gibt es in Deutschland noch keine Negativlisten nach § 35 V DSGVO. In Österreich dagegen gibt es beispielsweise eine Liste von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung durchzuführen ist (Link: ListeFragen und Antworten - Datenschutzbehörde (dsb.gv.at)). Der Europäische Datenschutzausschuss soll eine zukünftig für alle EU-Mitgliedstaaten einheitliche und verbindliche Liste erstellen.

Unser Fazit zur Datenschutzfolgenabschätzung DSFA

Es ist festzustellen, dass aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ein rechtskonformer Einsatz durchaus möglich ist. Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Es sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.

 

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen