Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Der Artikel behandelt zunächst die allgemeine Datenschutzfolgenabschätzung (DSFA) anschließend unsere Kommentierung am Anwendungsbeispiel die Datenschutzfolgenabschätzung zu Microsoft Office 365.
Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Nach Abs. 1 S. 1 haben Verantwortliche für Verarbeitungsvorgänge bei denen voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen bestehen, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten vorzunehmen. Als Beispiel einer solchen Verarbeitung wird der Einsatz neuer Technologien genannt. Problematisch ist hierbei, dass in der DS-GVO keine Definition für den Begriff der „neuen Technologie“ gegeben ist. Für die Bewertung eines Risikos ist entscheidend, welche Informationen aus den Daten über eine Person gewonnen werden können, unabhängig von der Art oder der Menge an Daten. Der Erwägungsgrund 75 liefert für die Risikobewertung unabhängig von der Eintrittswahrscheinlichkeit und der Schwere hilfreiche Parameter. Entscheidender Teil einer DSFA ist es demnach, eine Liste zu erstellen, in der für die geplante Datenverarbeitung jedes potenzielle Risiko aufgeführt und mit entsprechenden Risikominimierungsmaßnahmen versehen wird.
Der Verantwortliche holt bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten ein (Abs. 2). Ein Zurate ziehen geht über die bloße Beteiligung hinaus und beinhaltet eine aktive Teilnahme. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist dort Pflicht, wo die unternehmerische Kerntätigkeit entweder die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. b DS-GVO) die umfangreiche Verarbeitung besonderer Datenkategorien gem. Art. 9 DS-GVO oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten gem. Art. 10 DS-GVO beinhaltet.
In Abs. 3 werden abstrakte Beispielsfälle genannt, in denen eine Datenschutz-Folgenabschätzung insbesondere erforderlich, die Auflistung ist also gerade nicht abschließend. Bespiele hierfür sind das Profiling, Scoring oder das Tracking. Zu betrachten ist an dieser Stelle demnach nicht das Bewertungsverfahren als solches, sondern die Datenverarbeitung, die auf der Grundlage der Bewertung (z.B. eines Profilings) zu einer automatisierten Entscheidung führt.
Abs. 4 - 6 regeln verpflichtende Positiv- und freiwillige Negativlisten. Der Verarbeitende kann dazu verpflichtet sein, den Standpunkt betroffener Personen einzuholen (Abs. 9) oder die Einhaltung der Datenschutz-Folgenabschätzung bei der Verarbeitung zu kontrollieren, insbesondere bei einer Risikoänderung (Abs. 11).
In Abs. 7 ist geregelt, was eine Datenschutz-Folgenabschätzung jedenfalls zu enthalten hat Mindestprüfelemente: systematische Beschreibung der geplante Verarbeitungsvorgänge, Zwecke der Verarbeitung, verfolgte berechtigte Interessen des Verantwortlichen; Bewertung der Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; Bewertung der Risiken für Rechte und Freiheiten betroffener Personen (Abs. 1); zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.
Neben den materiellen Vorgaben des Art. 35 Abs. 7 DS-GVO sind bei der Einschätzung der datenschutzrechtlichen Auswirkungen auch genehmigte Verhaltensregeln in Abs. 8 zu berücksichtigen. Die Verhaltensregeln werden gem. Art. 40 Abs. 5 und 6 DS-GVO von Interessensverbänden erarbeitet und von der zuständigen Aufsichtsbehörde (Art. 55 DS-GVO) genehmigt und in einem Verzeichnis veröffentlicht.
Eine weitere Verpflichtung für den Verantwortlichen i.R.e. DSFA ist die Einholung des Standpunkts der betroffenen Personen gem. Abs. 9. Der Standpunkt der betroffenen Person ist gem. Art. 22 Abs. 3 DS-GVO für bestimmte Fälle automatisierter Entscheidungen (einschließlich Profiling) relevant und wird auch im Erwägungsgrund 71 explizit erwähnt. Da Verarbeitungsvorgänge unter Bezugnahme auf die Bewertung persönlicher Aspekte (Profiling) in jedem Fall einer DSFA zu unterziehen sind, ist in diesem Fall die Einholung des Standpunkts der betroffenen Person ein Prüfungselement.
Die DSGVO macht keine weiteren Vorgaben zur Dokumentation. Dadurch besteht zum einen zwar eine gewisse Freiheit, zum anderen entsteht aber auch Unsicherheit. Teilweise wird sich direkt an Art. 35 DSGVO orientiert, andere beziehen sich stark auf das Working Paper 248 der Artikel-29-Gruppe.
Der Europäische Datenschutzbeauftragte äußerte sich am 16.07.2019 in einer Stellungnahme indirekt zu der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Bezug nahm er dabei zwar eigentlich auf Art. 39 (Absatz 4 und 5) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und Rates vom 23. Oktober 2018. Dieser steht nach unserer Auffassung im Wesentlichen dem Inhalt des Art. 35 DSGVO gleich. Aus der Stellungnahme ging keine abschließende Fallliste hervor, die genau klärt, wann Die Vornahme einer Datenschutz-Folgenabschätzung erforderlich ist. Stattdessen wurden Kriterien aufgezeigt, bei denen ein hohes Risiko für Betroffene besteht. Diese sind im Anhang 1 der Stellungnahme aufgelistet. Wenn mindestens zwei der Kriterien erfüllt sind, sollte der Verantwortliche in der Regel eine Datenschutz-Folgenabschätzung durchführen:
„Where two or more of the criteria in the template in Annex 1 are applicable, the controller shall in general carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 2)
Im Falle einer Gegenentscheidung sollte dies dokumentiert und begründet werden. Denn nach der Auffassung des Europäischen Datenschutzbeauftragten kann bereits ein einziger Treffer eine Datenschutz-Folgenabschätzung erforderlich machen:
„If a controller decides not to carry out a DPIA, although more than one criterion in the template in Annex 1 is applicable, the controller shall document and justify that decision. If planned processing operations only trigger one criterion in the template in Annex 1, the controller may still decide to carry out a DPIA.“
(Europäischer Datenschutzbeauftragte, Stellungnahme vom 16.07.2019, Art. 3 Nr. 3 und 4 der Stellungnahme).
Die neun Kriterien überschneiden sich mit denen aus dem Working Paper 248 der Artikel-29-Gruppe. Die aufgeführten (Gegen-) Beispiele helfen die abstrakt bleibenden gesetzlichen Vorgaben des Art. 35 I DSGVO zu veranschaulichen. Hilfreich könnte noch die ergänzende Liste aus Anhang 2 sein.
Der Bundesbeauftragter für den Datenschutz und die Informationsfreiheit verweist in seinem 27. Tätigkeitsbericht für Kriterien zur Datenschutz-Folgenabschätzung über einen Infokasten explizit auf das Working Paper 248 der Artikel-29-Gruppe:
„Das Dokument „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248) nennt die folgenden neun Kriterien dafür, dass eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Betroffenen mit sich bringt:
(BfDI, Tätigkeitsbericht 2017-2018, S. 107)
Treffen zwei dieser Kriterien auf einen Verarbeitungsvorgang zu, sollte der Verantwortliche grundsätzlich eine Datenschutz-Folgenabschätzung vornehmen. Verbindlich sind jedoch die jeweiligen „Muss-Listen“. Gibt es hier einen Treffer, ist der Verantwortliche immer verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen.
Auf der Internetseite des Bundesdatenschutzbeauftragter wird auch auf das WP 248 als Leitlinien zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ verlinkt. Ein eigenes Prüfungsschema zum genauen Vorgehen wurde allerdings veröffentlicht. Nach unserer Ansicht ist davon auszugehen, dass eine Orientierung an WP 248 gewünscht ist. Zudem wird auf das Kurzpapier Nr. 5 der der unabhängigen Datenschutzbehörden des Bundes und der Länder verlinkt.
Artikel 35 IV DSGVO verpflichtet die Datenschutzaufsichtsbehörden zur Veröffentlichung einer Liste von Verarbeitungsvorgängen, für die immer eine Datenschutz-Folgenabschätzung erforderlich ist, weil voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht. Dann ist nach Art. 35 I DS-GVO eine Datenschutz-Folgenabschätzung von den Verantwortlichen durchzuführen.
BfDI (Bund): Positivliste für öffentliche Stellen des Bundes
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK): gemeinsame Positivliste für nicht-öffentlichen Bereich
LfDI Baden-Württemberg: Positivliste für nicht-öffentlichen Bereich
LfDI Bremen: Positivliste für nicht-öffentlichen Bereich
LfD Niedersachsen: Positivliste für öffentlichen Bereich
LfD Bayern: Positivliste für öffentlichen Bereich
LDI Nordrhein-Westfalen: Positivliste für öffentlichen Bereich
LfDI Mecklenburg-Vorpommern: Positivliste für öffentlichen Bereich
LfDI Rheinland-Pfalz: Positivliste für öffentlichen Bereich
LfDA Brandenburg: Positivliste für öffentlichen Bereich und Positivliste für öffentlichen sowie nicht-öffentlichen Bereich
TLfDI (Thüringen): Positivliste für öffentlichen sowie nicht-öffentlicher Bereich
LfDI Hamburg: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich
LfDI Berlin: Positivliste für öffentlichen Bereich und Positivliste für nicht-öffentlichen Bereich
ULD Schleswig-Holstein: Positivliste
LfDI Hessen: Positivliste
LfD Sachsen: Positivliste und Begleittext
Der LfD Saarland und LfD Sachsen-Anhalt haben keine eigenen Listen veröffentlicht, es wird aber (wie sonst auch) auf die DSK-Liste verlinkt.
Bisher gibt es in Deutschland noch keine Negativlisten nach § 35 V DSGVO. In Österreich dagegen gibt es beispielsweise eine Liste von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung durchzuführen ist (Link: Liste, Fragen und Antworten - Datenschutzbehörde (dsb.gv.at)). Der Europäische Datenschutzausschuss soll eine zukünftig für alle EU-Mitgliedstaaten einheitliche und verbindliche Liste erstellen.
Es ist festzustellen, dass aufgrund vieler Möglichkeiten, das Datenschutzniveau zu steigern, ein rechtskonformer Einsatz durchaus möglich ist. Eine DSFA mit konkreten Abhilfemaßnahmen dürfte allerdings in vielen Fällen dafür Voraussetzung sein. Mit dieser sollten sich Unternehmen frühzeitig beschäftigen, um keine Rechtsverletzungen und damit verbundene Bußgelder zu riskieren. Es sollte mit einem gewissen Aufwand gerechnet werden, jedoch können mit der DSFA neben datenschutzrechtlichen auch organisatorische und andere Probleme erfasst, neu bewertet und behoben werden.
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main