Gemäß Art. 35 Abs. 4 DSGVO haben die Aufsichtsbehörden eine Liste von Verarbeitungstätigkeiten zu veröffentlichen, für die stets eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Die verschiedenen Landesbehörden sind dieser Aufgabe größtenteils schon im Jahr 2018 nachgekommen und auch die DSK hat dazu bereits eine Liste veröffentlicht. Unsere Übersicht dazu finden Sie hier.

Auch die Bremische Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI Bremen) hatte bereits 2018 eine solche Liste herausgegeben, im Gegensatz zu den meisten Bundesländern allerdings ausschließlich für den nicht-öffentlichen Bereich. Nach drei Jahren wurden nun auch die Bremer Behörden und andere öffentliche Einrichtung mit einer Liste versorgt, die sie bei der Prüfung, ob eine DSFA notwendig ist, unterstützen soll. Diese Liste ist zwar bindend, jedoch nicht abschließend. Das bedeutet, dass zumindest für jede Verarbeitungstätigkeit, die in der Liste genannt wird, zwingend eine DSFA durchgeführt werden muss. Hieraus den Umkehrschluss zu ziehen, dass für nicht in der Liste genannten Verarbeitungstätigkeiten keine DSFA erfolgen muss, wäre jedoch verfehlt. Vielmehr muss für solche Verarbeitungstätigkeiten anhand einer sog. Schwellenwertanalyse geprüft werden, ob eine DSFA geboten ist oder nicht.

Die Liste der Bremer Aufsichtsbehörde enthält neben maßgeblichen Definitionen von Verarbeitungstätigkeiten, bei denen eine DSFA zwingend erforderlich ist typische Einsatzfelder solcher Verarbeitungstätigkeiten sowie konkrete Beispiele. Inhaltlich ist die Liste an vielen Stellen nicht überraschend und deckt sich mit den bereits vorhandenen Listen aus anderen Bundesländern und der DSK. Dennoch gibt es auch einige Besonderheiten. Auf zwei davon möchte ich nachfolgend näher eingehen.

Verbot von US-Clouddiensten

Die Definition der Verarbeitungstätigkeit, die in Nr. 6 der Liste zu finden ist, liest sich relativ kompliziert. Dort heißt es :

„Verarbeitung von Daten gemäß Artikel 9 Absatz 1 und 10 DSGVO und von anderen Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten zu übermitteln oder offenzulegen, ohne dass eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedsaat besteht, da die auferlegte Pflicht zur Offenlegung gemäß Artikel 48 DSGVO nicht anerkannt werden darf.“

Die beispielhafte Erläuterung schafft hier schon etwas mehr Klarheit: „Verarbeitung von Sozial- oder Gesundheitsdaten in der Cloud eines Drittlandes ohne Gewährleistung von Artikel 48 DSGVO.“

Gemeint ist also der Einsatz von Auftragnehmern, die sensible Daten verarbeiten und möglicherweise durch ein drittstaatliches Gericht oder eine Behörde zur Offenlegung von Daten gezwungen werden können. Dieser Punkt zielt damit ganz klar auf den Einsatz von Dienstleistern mit Verbindungen in die USA ab (natürlich auch auf andere Drittstaaten, aber die häufigste Konstellation in der Praxis ist die Datenübermittlung in die USA). Eben diese mögliche Verpflichtung zur Offenlegung durch US-Behörden oder Gerichte führte im letzten Jahr dazu, dass der Europäische Gerichtshof (EuGH) im sog. Schrems II-Urteil das EU-US-Privacy Shield für ungültig erklärte, mit der Folge, dass anderweitige geeignete Garantien getroffen werden müssen, wenn personenbezogene Daten in die USA übermittelt werden sollen (wir berichteten hier).

In der Praxis problematisch ist, dass große US-Clouddienste wie beispielsweise AWS häufig europäische Tochterfirmen haben, die Vertragspartner der europäischen Kunden sind und deren Server auch in Europa betrieben werden. Auf den ersten Blick erfolgt somit keine Datenübermittlung außerhalb der EU. Die US-amerikanische Gesetzgebung ist hier jedoch so weitgehend, dass auch Tochterunternehmen amerikanischer Firmen zur Datenübermittlung gezwungen werden können.

Wenn öffentliche Stellen in Bremen solche Dienste für die Verarbeitung von besonders sensiblen Daten nutzen, sind sie also fortan verpflichtet, eine DSFA durchzuführen. Ergibt die DSFA, dass trotz oder mangels technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), weil unbefugte Zugriffe von US-behörden nicht ausgeschlossen werden können, wird die Verarbeitung unterbunden werden müssen. Alternativ hierzu kann die Verantwortliche Stelle nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren.

DSFA bei Schulverwaltungssoftware

Viel weniger kompliziert ist der 8. Punkt der Liste: „Umfangreiche Verarbeitung von Daten über Kinder“, mit der dazugehörigen Erläuterung, dass dies insbesondere die umfangreiche Verarbeitung von Schüler- oder Kitadaten betrifft.

Dieser Punkt überrascht ein wenig, da dies nicht nur die Verarbeitung von sensiblen Daten, wie etwa Gesundheitsdaten von Kindern betrifft, sondern sämtliche umfangreiche Verarbeitungen von Kinderdaten. Unmittelbar aus Art. 35 DSGVO ergibt sich diese besondere Schutzbedürftigkeit bei Daten von Kindern nicht. Allerdings macht die DSGVO an verschiedenen Stellen deutlich, dass Kinder besonders schützenswert sind (z.B. in ErwG 38 und 75, Art. 8 DSGVO). Auch die Aufsichtsbehörden von Rheinland-Pfalz, Hamburg und Sachsen-Anhalt haben die umfangreiche Datenverarbeitung von Kinderdaten in ihre Blacklists für den öffentlichen Bereich aufgenommen. Die Verwunderung über diesen Punkt kann also bei genauer Betrachtung nicht länger anhalten.

Für Schulen bedeutet dies, dass sie nun genau überlegen müssen, bei welchen Verarbeitungstätigkeiten sie Schülerdaten umfangreich verarbeiten. Die Blacklist gibt hier als Beispiel die Schulverwaltungssoftware an, bei der recht offensichtlich eine umfangreiche Verarbeitung stattfindet. Gerade im Zuge der Coronakrise setzen Schulen außerdem zunehmend auf digitale Angebote, bei denen nun ganz genau geprüft werden muss, ob eine DSFA notwendig ist.

Fazit

Die LfDI Bremen hat drei Jahre nach den meisten anderen Aufsichtsbehörden eine Blacklist für den öffentlichen Bereich nachgelegt. Durch die zeitliche Distanz konnten vereinzelt auch aktuellere Themen behandelt werden. Zudem macht die LfDI Bremen noch einmal deutlich, dass auch drei Jahre nach Einführung der DSGVO die DSFA immer noch ein wichtiges datenschutzrechtliches Instrument darstellt, das nicht zu vernachlässigen ist. Die Durchführung der DSFA ist kein Punkt auf der Datenschutz-Liste, der abgehakt und dann vergessen werden sollte. Verantwortliche sollten stattdessen noch einmal genau prüfen, ob für ihre Verarbeitungstätigkeiten eine DSFA notwendig ist oder eine bereits bestehende angepasst werden muss.