Teil eins der zweiteiligen Reihe „Datenschutzfolgenabschätzung“. Der zweite Teil zum Thema „Mussliste“ folgt in Kürze.
In Teil eins erläutern wir Ihnen den typischen Ablauf der Datenschutzfolgenabschätzung (kurz: DSFA) nach Art. 35 DS-GVO (Teil I). In Teil zwei gehen wir dann auf die sogenannten „Musslisten“/“Blacklists“ im Sinne des Art. 35 Abs. 4 DS-GVO ein, die Verarbeitungsvorgänge aufführen, für die in jedem Fall eine DSFA durchgeführt werden muss. Hierbei beschränken wir uns auf die Liste für „nicht-öffentliche Stellen“, welche gemeinsam mit der Liste für „öffentliche Stellen“ erst kürzlich durch die Landesbeauftragte für den Datenschutz und die Informationsfreiheit NRW (LDI NRW) Helga Block veröffentlicht wurde.
Wieso ist die Prüfung von Verarbeitungsvorgängen und die Durchführung von DSFA so wichtig? Ganz einfach: Daten sind das neue Öl – richtig verarbeitet werden sie zu Diamanten. Analysen von riesigen Datenmengen und möglichst wirksame Datenverarbeitungen im Rahmen von angebotenen Services, um den Ertrag zu steigern und die Ausgangsposition am Markt zu stärken, sind für Unternehmen heute nicht mehr wegzudenken. Bei der Verarbeitung stehen den kollektiven und individuellen ökonomischen wie auch sozialen Chancen beträchtliche Risiken für die Rechte und Freiheiten der hinter den personenbezogene Daten stehenden betroffenen Personen entgegen. Um diesem Spannungsfeld gerecht zu werden, stellt Art. 35 Datenschutzgrundverordnung (DS-GVO) besondere Anforderungen an Verarbeitungsprozesse, die personenbezogene Daten zum Gegenstand haben.
I. Die DSFA im Kontext der Datenschutzgrundverordnung (DS-GVO)
Die DSFA ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Als Analyseinstrument soll sie Schutz vor bestimmten Risiken gewährleisten und den Verantwortlichen zur Implementierung einer fortlaufenden Kontrollpraxis betreffend die Verarbeitung personenbezogener Daten verpflichten. Rechtsgrundlage hierfür bildet im Wesentlichen Art. 35 DS-GVO, ergänzt durch § 67 Bundesdatenschutzgesetz (BDSG).
Bezugspunkt der risikobasierten Analyse ist der jeweilige Verarbeitungsvorgang personenbezogener Daten. Hierbei gilt grundsätzlich: je risikoreicher und schadensgeneigter eine Verarbeitung personenbezogener Daten ist, desto höhere Anforderungen stellt die DS-GVO an ihre Durchführung. Auf diese Weise entfernt sich der Gesetzgeber deutlich vom Schwarz-Weiß-Muster des Verbotsprinzips der durch die DS-GVO abgelösten Datenschutzrichtlinie (RL 95/46/EG; aufgehoben zum 25. Mai 2018).
In der Praxis beginnt der Gesamtprozess der DSFA indem der „Verantwortliche“ (vgl. Art. 4 Nr. 7 DS-GVO) zunächst ein Durchführungsteam zusammenstellen. Hierbei sollte stets darauf geachtet werden, dass die Teamzusammensetzung in Bezug auf Unabhängigkeit und Verantwortlichkeit ausgeglichen ist.
II. Ablauf der DSFA
Der Gesamtprozess der DSFA erstreckt sich ausgehend von der Frage nach der Notwendigkeit der Durchführung einer solchen (sog. Schwellenwertanalyse (1.)), über die Ausführung der (formalen) DSFA (2.), bis hin zur Berichtsphase (3.), in der die zusammengestellten Informationen geordnet dargestellt bzw. dokumentiert werden. Je nach Ausgang der Prüfung ist gegebenenfalls gem. Art. 36 DS-GVO die Aufsichtsbehörde zu konsultieren. Um den Bericht möglichst genau anfertigen und die eigenen Prüfungsbemühungen auch gegenüber Dritten nachweisen zu können, ist eine gewissenhafte Dokumentation aller Phasen der DSFA unabdingbar.
Um die Schwellenwertanalyse (auch Vorprüfung genannt) seriös durchführen zu können, wird regelmäßig ein Vorgriff auf einzelne Aspekte der formalen DSFA stattfinden (sog. Problem der Zirkularität). Die Verantwortung für die DSFA liegt dabei nicht wie früher bei dem Datenschutzbeauftragten, sondern nach Art. 35 Abs. 1 DS-GVO bei dem Verantwortlichen selber.
1. Schwellenwertanalyse
a. Gegenstand und Überlegungen
Gegenstand der DSFA und damit auch der Schwellenwertanalyse ist der (rechtmäßige) Verarbeitungsvorgang, welcher nach Art. 4 Nr. 2 DS-GVO als „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ definiert wird.
Die Schwellenwertanalyse ist grundsätzlich für alle Verarbeitungsvorgänge (für ähnliche auch gemeinsam, vgl. Art. 35 Abs. 1 DS-GVO) durchzuführen und dient der Feststellung, ob die Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Nur in einem solchen Fall schließt sich die formale DSFA an.
Ungeachtet des Ausgangs einer hypothetischen Schwellenwertanalyse ist die DSFA in folgenden Fällen immer durchzuführen: Zum einen, wenn der Verarbeitungsvorgang die Tatbestandsmerkmale des Art. 35 Abs. 3 lit. a)- c) DS-GVO erfüllt und zum anderen, wenn der Verarbeitungsvorgang von der sogenannten „Mussliste“ (vgl. hierzu auch Teil zwei des Beitrags) nach Art. 35 Abs. 4 S. 1 DS-GVO erfasst wird.
b. Begrifflichkeit des „hohen Risikos“
Zentral ist der Begriff des „hohen Risikos“, der allerdings in der DS-GVO nicht näher definiert wird. Eine Annäherung an den Begriff lässt sich aus dem Zusammenspiel der Erwägungsgründe (ErwGr) 75 und 94 S. 2 DS-GVO herleiten: Das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden führt. Hierbei beinhaltet der Begriff zwei Dimensionen: Zum einen die Schwere des möglichen Schadens und zum anderen die Wahrscheinlichkeit des Schadenseintritts. Davon erfasst sind alle materiellen, immateriellen und physischen Schäden (ErwGr. 75 DS-GVO), die aus eigen- oder fremdverursachtem Wirken resultieren.
Die Risikobeurteilung erfolgt anhand von drei Schritten:
- Risikoidentifikation (Anhand der Schutzziele: Welche Schäden können durch welche Ursachen und Umstände in welchem Umfang eintreten?)
- Risikoabschätzung (Eintrittswahrscheinlichkeit und Schwere der möglichen Schäden)
- Risikoklassifizierung (z.B. Zuordnungen zu Risikoabstufungen anhand einer Risikomatrix (normales, hohes, sehr hohes Risiko)).
Ein hohes Risiko liegt regelmäßig vor, wenn mindestens zwei sogenannte konkrete Auslösekriterien, die im Working Paper 248 der Art. 29 Datenschutzgruppe (Download: European Commission (in Englisch)) aufgeführt werden, vorliegen. In dem Working Paper stellt die Art. 29 Gruppe folgende konkreten Auslösekriterien vor:
- Scoring und Evaluierung, inklusive Profilbildung und Vorhersagen
- Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
- Systematische Beobachtung (zum Beispiel von Arbeitsplätzen)
- Sensible Daten
- Datenverarbeitung in großem Umfang
- Datensätze, die abgeglichen oder kombiniert werden
- Daten von besonders schutzbedürftigen Personen (Beispiel: Arbeitnehmer, Kinder)
- Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
- Betroffene Personen können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (Beispiel: Eine Bank verlangt die Durchleuchtung von Daten eines potenziellen Kreditkunden vor einer Entscheidung über einen Vertragsabschluss).
c. Rechtsfolge und Ausnahmen
Wie oben dargelegt, ist die DSFA nur durchzuführen, wen ein vorraussichtlich hohes Risiko vorliegt. In zwei Fällen ist unabhängig von der Risikoabstufung keine formale DSFA durchzuführen:
- Aufführung des Verarbeitungsvorgangs in den „Whitelists“ im Sinne des Art. 35 Abs. 5 S. 1 DS-GVO (Jedoch KEIN Umkehrschluss möglich)
- Existieren einer vorweggenommene Folgeabschätzungen im Sinne des Art. 35 Abs. 10 DS-GVO für den konkreten Verarbeitungsvorgang
2. Formale Datenschutzfolgenabschätzung
Die anschließende (formale) Datenschutzfolgeabschätzung erfolgt anhand der chronologisch abfolgenden Bestandteilen Beschreibung, Bewertung und Eindämmung der Risiken. Die inhaltlichen Mindestanforderungen ergeben sich aus Art. 35 Abs. 7 DS-GVO, wobei jedoch eine freie Wahl bezüglich des Modells besteht. Auch bezüglich der Form gibt es keine Vorgaben, jedoch empfiehlt sich im Hinblick auf die Dokumentations- und Nachweispflicht des Art. 5 Abs. 2 DS-GVO die Textform oder ein (gleichwertiges) elektronisches Format.
Phase 1: Beschreibung
Die Beschreibung umfasst das systematische Auflisten und detaillierte Erfassen der geplanten Verarbeitungsvorgänge und dient der Darlegung des Zwecks der Verarbeitung vor dem Hintergrund der entsprechenden Rechtsgrundlagen.
Zusammenfassend müssen hier alle datenschutzrelevanten Sachverhaltsmerkmale, etwa inklusive der eingesetzten Techniken, so konkret beschrieben werden, dass die Grundlage für eine fundierte Bewertung geschaffen wird. Hiervon umfasst sind auch die mit der Verarbeitung verfolgten berechtigten Interessen des Verantwortlichen, der Umfang und die Umstände der Verarbeitung und die verschiedenen qualitativ klassifizierten Datenkategorien.
Phase 2: Bewertung
Auf Grundlage der in Phase 1 zusammengestellten Informationsbasis erfolgt die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (normative Bewertung (lit. b)) und Risikobewertung (lit. c)). Im Mittelpunkt dieser Bewertung stehen die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden für die betroffene Person.
Gegenstand sind hier die Betroffenenrechte und -interessen, welche sich für Art. 35 DS-GVO maßgeblich nach den allgemeinen Grundsätzen des Art. 5 DS-GVO richten. Unabdingbar ist dabei die Kategorisierung der Schwere und Eintrittswahrscheinlichkeit, damit die Erfassung eines Gesamtbildes ermöglicht wird.
Am Ende dieser Kette steht die finale Bewertung der entsprechenden Risiken bzw. der sich aus diesen ergebenden Gefahrenlage.
Phase 3: Eindämmung
In der Eindämmungs- oder auch Bewältigungsphase sollen die analysierten Risiken durch geeignete technische und organisatorische Maßnahmen minimiert werden, sodass den Risiken kompensierende Schutzmaßnahmen entgegenstehen. Hierbei können je nach einzudämmendem Risiko und den dahinter stehenden Schutzprinizipien verschiedene Maßnahmen gewählt werden.
Die Notwendigkeit eines entsprechenden Maßnahmenplans ergibt sich dabei aus Art. 35 Abs. 7 DS-GVO. Kann das Risiko durch die Maßnahmen ausreichend minimiert werden, so ist die konkrete Verarbeitung datenschutzkonform und damit zulässig.
Phase 4: Zu ergreifende Maßnahmen
Bleibt ein nach dem Bewertungsmodell als „hoch“ einzustufendes Restrisiko, so besteht nach Art. 36 DS-GVO die Pflicht, die Aufsichtsbehörde zu konsultieren. Mit der Konsultation sind die nach Art. 36 Abs. 3 DS-GVO erforderlichen Informationen zur Verfügung zu stellen. Verneint die Aufsichtsbehörde aufgrund der Informationen die Datenschutzkonformität des Verarbeitungsvorgangs, so muss sie grundsätzlich innerhalb von acht Wochen geeignete Maßnahmen zur Behebung der von ihr festgestellten Mängel vorschlagen.
Bejaht die Aufsichtsbehörde die Konformität, so kann die Verarbeitung ohne weitere Schutzmaßnahmen durchgeführt werden. Allerdings stellt die Mitteilung der Aufsichtsbehörde keine Genehmigung dar, sodass diese nicht zwingende Voraussetzung für die Verarbeitung ist, wobei sich jedoch bei negativem Ausgang der Prüfung durch die Aufsichtsbehörde für die Durchführung der Verarbeitung in der Zwischenzeit eine Sanktion für den Verantwortlichen ergeben kann.
3. Berichtsphase
Nach Abschluss der DSFA ist ein Bericht zu verfassen, welcher zumindest die Pflichtangaben nach Art. 35 Abs. 7 DS-GVO enthalten muss. Im Falle der zwangsweisen Konsultation der Aufsichtsbehörde erweitern sich die erforderlichen Mindestangaben um die in den Art. 36 Abs. 3 DS-GVO aufgeführten Informationen.
Haben Sie Fragen zu Verarbeitungsvorgängen, zur Schwellenwertanalyse oder der formalen Datenschutzfolgeabschätzung oder brauchen Sie Unterstützung bei der gesamten Datenschutz-Compliance: Unser Team um Gründer Sascha Kremer freut sich über Ihre Anliegen.
Teil II der Serie zum Inhalt und der Rolle der erwähnten Mussliste und eines Fazits zur DSFA-Regelung finden Sie in Kürze hier.
3 Kommentare