Wann muss eine Datenschutzfolgenabschätzung durchgeführt werden?
Seit dem 25. Mai 2018 ist die zweijährige Übergangsfrist zur EU-Datenschutz-Grundverordnung (EU-DSGVO) ausgelaufen. Die DSGVO dient dem erweiterten Schutz personenbezogener Daten in der Europäischen Union und trägt zu einem einheitlichen Datenschutzniveau bei. Hierfür werden personenbezogene Daten zunächst in Kategorien mit unterschiedlichen Schutzstatus unterteilt. Für besonders sensible personenbezogenen Daten – dazu gehören beispielsweise Gesundheitsdaten, biometrische Daten und Daten, die auf die ethnische Herkunft (Artikel 9, Absatz 1 EU-DSGVO) schließen lassen oder eine eindeutige Identifizierung zulassen sowie über bestehende Vorstrafen (Artikel 10, Absatz 1 EU-DSGVO) einer Person informieren – muss eine Datenschutzfolgen-Abschätzung (DSFA) durchgeführt werden, wenn diese Daten ein hohes Risiko für die Rechte dieser Personen bedeuten kann. Die DSFA muss als kontinuierlicher Prozess behandelt werden, welche spätestens nach drei Jahren erneut zu durchlaufen ist.
Die rechtlichen Grundlagen der DSFA sind im Artikel 35 EU-DSGVO festgelegt. Nach Artikel 35 Absatz 1 ist sie immer dann durchzuführen, wenn sie durch die Verwendung neuer Technologien sowie auf Basis von Art, Umfang, Umstände und Zweck der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person zur Folge hat. Nach Erwägungsgrund 75 werden die Rechte und Freiheiten Betroffener eingeschränkt, wenn diese beispielsweise Opfer von Diskriminierung, Identitätsdiebstahl, Rufschädigung, finanziellen Verlusten, Kontrollverlust über die eigenen Daten werden oder eine Profilbildung einschließlich Standorts erfolgt ist.
Im Kern handelt es sich um eine optimierte und strukturierte sowie im Vorfeld der Datennutzung durchzuführende Risikoanalyse für denjenigen, dem die personenbezogenen Daten zuzuordnen sind. In der DSFA werden die Risiken für die Rechte und Freiheiten natürlicher Personen bei einer Verarbeitung ihrer personenbezogenen Daten festgelegt. Zusätzlich erhalten Unternehmen, die mit sensiblen personenbezogenen Daten umgehen Auflagen, nach Artikel 35 Absatz 5 EU-DSGVO Dokumentationen zu führen, bei denen eine Datenschutz-Folgenabschätzungen durchzuführen ist.
Leitlinien, die von der Artikel-29-Gruppe vorgeschlagen wurden
Die Artikel-29-Gruppe setzt sich aus den Aufsichtsbehörden des Datenschutzes aus jeweiligen EU-Mitgliedsstaaten sowie der Europäischen Union selbst zusammen. Sie haben Szenarien entwickelt, in denen die Datenverarbeitung mit einem hohen Risiko für die jeweilige Person behaftet ist. Beispielhaft hierfür sind nachfolgende Verarbeitungstätigkeiten.
| SCORING/PROFILING
Dieser Faktor tritt ein, wenn beispielsweise eine Organisation das Nutzerverhalten im Internet untersucht oder über das Internet Nutzerprofile auf Basis der Handlungsweise der Personen erstellt.
|
RECHTLICHE KONSEQUENZEN FÜR BETROFFENE DURCH AUTOMATISCHE ENTSCHEIDUNGEN
Dies tritt ein, wenn die automatische Verarbeitung von Daten einen Vertragsabschluss nicht zustande kommen lässt. |
| SYSTEMATISCHE ÜBERWACHUNG
Dazu sind Verarbeitungsvorgänge zur Beobachtung, Überwachung und Kontrolle über Social Media-Plattformen und andere Netzwerke zu zählen.
|
SENSIBLE DATEN NACH ARTIKEL 9, ABSATZ 1
Hierunter fallen beispielsweise Gesundheitsdaten eines Patienten, die durch ein Krankenhaus verarbeitet werden. |
| DATEN, DIE IN MASSEN VERARBEITET WERDEN
Werden schützenswerte, personenbezogene Daten in einem großen Umfang verarbeitet, werden viele Personen potenziell gefährdet.
|
DATEN ZUSAMMENFÜHREN / KOMBINIEREN
Werden personenbezogene Daten aus unterschiedlichen Quellen gewonnen, können durch Zusammenführen dieser Quellen pseudonyme oder anonyme Daten rekonstruiert werden und Personen zugeordnet werden. |
| DATEN SCHUTZBEDÜRFTIGER PERSONEN
Zu diesen Personengruppen gehören beispielsweise Kinder und psychisch kranke Personen. |
EINSATZ NEUER TECHNOLOGIEN
Neue technologische Verfahren wie die biometrische Verarbeitung von Daten durch automatische Gesichtserkennung, können beispielhaft genannt werden. |
Sorgt die Datenverarbeitung dafür, dass die betroffene Person ein Recht zum Datenschutz nicht ausüben können, wird eine DSFA empfohlen. Wenn zwei der obengenannten Faktoren eintreten (könnten), ist eine DSFA grundsätzlich verpflichtend. Bei Unsicherheit oder Zweifeln sollten sich die mit dem Datenschutz betrauten Personen des Unternehmens die jeweilige Aufsichtsbehörde des Landes kontaktieren.
„Black List“ und „White List“ der Aufsichtsbehörden
Die staatlichen Aufsichtsbehörden haben Listen an Verarbeitungstätigkeiten definiert, aus denen hervorgeht, ob eine DSFA durchgeführt werden muss oder nicht. Dabei stehen die Fälle, für die keine DSFA erstellt werden muss auf der White List, auch Positivliste genannt. Muss eine DSFA jedoch verpflichtend durchgeführt werden, stehen die Fälle auf der Black List, auch Negativliste genannt. Jedes Bundesland entscheidet selbst, welche Verarbeitungstätigkeiten welcher Liste zugeordnet werden. Daher existieren bundesländerspezifische Unterschiede.
Da bei einer „White List“ keine DSFA zu erstellen oder zu führen ist, werden hier nur die Bereiche der „Black List“ beispielhaft aufgeführt. Die Liste ist nicht abschließend und kann jederzeit durch die Aufsichtsbehörden aktualisiert werden.
| NETZWERKE/PORTALE
· Soziale Netzwerke · Dating- und Kontaktportale · Bewertungsportale
|
| TRACKING/ANALYSEN
· Big-Data-Analysen von Kundendaten · Offline-Tracking von Kundenbewegungen · Verkehrsstromanalysen · Erfassung des Kaufverhaltens von Personen durch Profilbildung
|
| ÜBERPRÜFUNG/ÜBERWACHUNG
· Überwachung der Messdaten · RFID-/NFC-Anwendungen durch Apps oder Karten · Überprüfung der Kreditwürdigkeit (Scoring) durch Auskunfteien, Banken oder Versicherung
|
| SONSTIGES
· Anwendung der Telemedizin einschließlich der Anlage einer virtuellen Patientenakte · Automatisiertes Erstellen von Profilen von Mitarbeitern und Kunden · Zahlartensteuerung von vielen verschiedenen Personen in großen Mengen
|
Die passende Dokumentation hierfür muss den Datenschutzbehörden jeder Zeit ausgehändigt werden können.
Wie wird eine DSFA praktisch umgesetzt?
Die DSFA ähnelt einem lückenlosen Bericht, in dem die folgenden Punkte zu Dokumentationszwecken nachvollziehbar formuliert werden müssen. Das Unternehmen, das eine DSFA anzufertigen hat, muss folgenden Schritte beschreiben:
- Systematische Beschreibung aller Vorgänge der Datenverarbeitung. Wesentlich hierfür ist der Zweck der Verarbeitung.
- Es muss geklärt werden, ob alle personenbezogenen Daten, die verarbeitet werden sollen, notwendig und verhältnismäßig sind, um den Zweck zu erfüllen.
- Mögliche Risiken der Datenverarbeitung müssen für die Rechte und Freiheiten betroffener Personen vom Unternehmen analysiert und bewertet werden.
- Abschließend ist zu dokumentieren, welche Maßnahmen getroffen wurden, um die Risiken für die betroffenen Personen zu reduzieren.
Bestehende Restrisiken müssen benannt werden. Lässt sich erkennen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht ausreichen, muss die Aufsichtsbehörde für Datenschutz kontaktiert werden.
Wenn die DSFA nicht oder nicht korrekt erstellt wurde und die Aufsichtsbehörde nicht konsultiert wurde, muss das Unternehmen mit maximalen Strafzahlungen in Höhe von bis zu zehn Millionen Euro oder 4% des Vorjahresumsatzes rechnen.