Teil zwei der zweiteiligen Reihe „Datenschutzfolgenabschätzung nach DS-GVO“. Teil I („Ablauf“) können Sie hier abrufen.
Nachdem wir Ihnen im ersten Teil den Ablauf der Datenschutzfolgenabschätzung (DSFA) erläutert haben, werfen wir nun einen Blick auf die „Mussliste“ nach Art. 35 Abs. 4 Datenschutzgrundverordnung (DS-GVO) und deren Einfluss auf die DSFA. Zur Erinnerung: Diese Mussliste führt Verarbeitungsvorgänge auf, für die unabhängig vom Ergebnis der Schwellenwertanalyse eine (formale) DSFA durchzuführen ist.
I. Die „Mussliste“ nach Art. 35 Abs. 4 DS-GVO der LDI NRW
Um die Vorprüfung („Schwellenwertanalyse“) zu vereinfachen und Gefahrenlagen durch besondere Verarbeitungsvorgänge effektiv einzudämmen, sind die jeweiligen Aufsichtsbehörden nach Art. 35 Abs. 4 S. 1 DS-GVO verpflichtet, eine sogenannte „blacklist“ bzw. „Mussliste“ zu veröffentlichen. Diese Liste führt Kategorien von Verarbeitungsvorgängen auf, für die unabhängig vom Ergebnis der Vorprüfung eine DSFA durchzuführen ist. Daneben eröffnet Art. 35 Abs. 5 DS-GVO den Aufsichtsbehörden auch die Option („kann“!), eine sog. „whiteliste“ bzw. „Negativliste“ zu veröffentlichen. Diese führt Verarbeitungsvorgänge auf, für die eine DSFA und damit auch die Schwellenwertanalyse unterbleiben kann. Von der Möglichkeit hat die Landesbeauftragte für Datenschutz und Informationsfreiheit, Helga Block, bisher keinen Gebrauch gemacht.
1. Mussliste für nicht-öffentliche Stellen und Kohärenzverfahren
Die „Mussliste“ aus NRW trennt dabei zwischen öffentlichen und nicht-öffentliche Stellen. Beide Listen sind dabei nicht abschließend, die nicht-öffentliche außerdem nicht verbindlich. Beide befinden sich zur Zeit im Kohärenzverfahren nach Art. 63 DS-GVO. Dieses findet nach Art. 35 Abs. 6 DS-GVO für aufgelistete Verarbeitungstätigkeiten statt, die
- das Angebot von Waren oder Dienstleistungen für betroffene Personen in mehreren Staaten betreffen,
- der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten dienen
- oder den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten
Im Kohärenzverfahren stimmen sich die Aufsichtsbehörden der Mitgliedsstaaten ab und legen das Ergebnis dem Europäischen Datenschutzausschuss vor, sodass das Datenschutzrecht in der EU für grenzüberschreitende Sachverhalte einheitlich geregelt ist.
Inhaltlich sind die Verarbeitungsvorgänge nach typischen Einsatzfeldern in Kategorien schematisch zusammengefasst. Im Vorlauf zu den Listen werden die Kriterien zur Einordnung von Verarbeitungsvorgängen aufgelistet, welche auf die Leitlinie aus dem Working Paper 248 der Art. 29 Gruppe verweisen.
Letztlich können die Listen, gerade im Hinblick auf die schematische und kategorienbasierte Darstellung, keine grundsätzliche Antwort auf alle einzelnen Gefahrenlagen geben, sondern stellen lediglich eine Orientierungshilfe dar.
2. Beispiele
Die Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist, hat das LDI NRW in einer übersichtlichen tabellarischen Form aufgeführt. Dabei werden die Verarbeitungstätigkeiten abstrakt beschrieben, typische Einsatzfelder und sodann auch Beispiele aufgeführt. Um ein Gefühl für die – aus Sicht des LDI NRW – kritischen Verfahren zu bekommen, einige Beispiele aus der Liste:
- Betrieb eines Insolvenzverzeichnisses
- Fraud- und Data-Loss-Prevention-Systeme
- Scoring durch Auskunfteien, Banken und Versicherungen sowie Inkassodienstleistungen
- Big Data-Analysen und Auswertung mittels Algorithmen
3. Einfluss der „Mussliste“ auf die DSFA
Insgesamt befreit die „Mussliste“ nur punktuell von den umfangreichen Prüfpflichten. Im Fokus steht damit weiterhin die Einzelfallprüfung des Verarbeitungsvorgangs, die in Anbetracht der drohenden Sanktionsmittel der Aufsichtsbehörde sehr gewissenhaft durchgeführt und auch dokumentiert werden muss. Diese ermöglichen den Aufsichtsbehörden neben der Abhilfebefugnis nach Art. 58 Abs. 2 DS-GVO auch die Verhängung von Bußgeldern nach Art. 83 DS-GVO, welche im Einzelfall ihre Obergrenze bei 10 Mio.€ bzw. 2% des globalen Jahresumsatzes finden.
Und dennoch findet der zu erbringende Aufwand seine ökonomische Notwendigkeit. Erfreulich ist dabei, dass die mit der DS-GVO bezweckte europäische Harmonisierung des Datenschutzrechts (mit Ausnahme der Öffnungsklauseln der DS-GVO) durch die Liste der Datenschutzkonferenz ein Stück näher gekommen ist. Letztlich ist Hoffnung in das Kohärenzverfahren nach Art. 63 DS-GVO zu legen, durch welches weitere Unstimmigkeiten angegangen werden dürften.
Die entsprechend vorzunehmende Bewertung erfordert dabei sowohl technischen als auch datenschutzrechtlichen Sachverstand. Denn nur bei richtigem Erfassen der technischen Prozesse kann eine adäquat rechtskonforme Ausgestaltung stattfinden und die Verarbeitung möglichst verarbeiterfreundlich realisiert werden.
II. Liste der Datenschutzkonferenz
Im Nachlauf zu der Mussliste der LDI NRW veröffentlichte die Konferenz der unabhängigen Behörden der Länder und des Bundes (kurz Datenschutzkonferenz (DSK)) am 10.07.2018 eine gemeinsame Mussliste. Diese deckt sich weitestgehend mit der Mussliste für das Land NRW.
Eine Abweichung findet sich allerdings in Nr. 17 der Auflistung der LDI NRW, die zusätzlich eine „umfangreiche Datenerhebung bei Beschäftigten mit dem Ziel oder zumindest der Möglichkeit der Verhaltens- und Leistungskontrolle im Arbeitsverhältnis“ erfasst.
III. Fazit
Die DSFA stellt innerhalb der Datenschutz-Compliance einen wichtigen Baustein dar. Denn neben dem Erfüllen von Anforderungen der Aufsichtsbehörde, bietet der Prozess die Möglichkeit, alle eigenen Vorgänge präzise zu erfassen und gewonnene Informationen für die Optimierung einzusetzen.
Jedoch sind die Anforderungen an eine gewissenhafte und rechtssichere DSFA aufgrund der Fülle an gesetzgeberischen Vorgaben und teilweisen Sachkomplexität immens. Sie erfordern deshalb neben datenschutzrechtlichem vor allem auch technischen Sachverstand. Denn nur bei richtigem Erfassen der technischen Prozesse kann eine adäquat rechtskonforme Ausgestaltung stattfinden und die Verarbeitung möglichst verarbeiterfreundlich realisiert werden.
Haben Sie Fragen zu Verarbeitungsvorgängen, zur Schwellenwertanalyse oder der formalen Datenschutzfolgenabschätzung oder brauchen Sie Unterstützung bei der gesamten Datenschutz-Compliance: Unser Team um Gründer Sascha Kremer freut sich über Ihre Anliegen.
Dies ist der zweite Teil der Serie „Datenschutzfolgenabschätzung nach DS-GVO“. Hier finden Sie den ersten Teil („Ablauf“ der DSFA).
2 Kommentare