Der Europäische Datenschutzbeauftragte (EDPS) hat sich am 16.07.2019 zu den Kriterien für die Erforderlichkeit einer Datenschutz-Folgenabschätzung geäußert.

Zur Erinnerung: Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 DSGVO für den Verantwortlichen insbesondere dann erforderlich, wenn

„[…]eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat][…].“

Eine ähnliche Regelung findet sich in Art. 39 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG, auf die der EDPS in seiner Stellungnahme Bezug genommen hat. Es sei allerdings angemerkt, dass Art. 39 der Verordnung 2018/1725 im Wesentlichen dem Inhalt des Art. 35 DSGVO gleicht, wobei es gem. Art. 1 Abs. 1 der Verordnung 2018/1725 um Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union sowie zum freien Verkehr personenbezogener Daten untereinander oder mit sonstigen Empfängern, die in der Union niedergelassen sind, geht.

Der Europäische Datenschutzbeauftragte wollte in seiner Stellungnahme vom 16.07.2019 auf Grundlage von Art. 39 der Verordnung 2018/1725 nicht eine abschließende Liste der Fälle darstellen, in denen einen Datenschutz-Folgenabschätzung erforderlich ist, sondern Kriterien aufzeigen, bei denen ein hohes Risiko für die Betroffenen vorliegt. Diese Kriterien sind in Anhang 1 der Stellungnahme zu finden. Wenn gem. Art. 3 Nr. 2 der Stellungnahme zwei oder mehr der in Anhang 1 genannten Voraussetzungen Anwendung finden, sollte der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. Wenn sich der Verantwortliche gegen eine Datenschutz-Folgenabschätzung entscheidet, obwohl mehr als eine der in Anhang 1 genannten Voraussetzungen erfüllt sind, sollte diese Entscheidung gem. Art. 3 Nr. 3 der Stellungnahme vom Verantwortlichen dokumentiert und begründet werden. Denn auch wenn nur eine der nachfolgend dargestellten Voraussetzungen erfüllt wird, kann nach Auffassung des Europäischen Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung erforderlich sein.

Kriterien, die für die Erforderlichkeit einer Datenschutz-Folgenabschätzung sprechen

Nun aber zu den insgesamt neun Kriterien, die nach Auffassung des Europäischen Datenschutzbeauftragten für die Durchführung einer Datenschutz-Folgenabschätzung sprechen:

1. Systematische und umfangreiche Auswertung personenbezogener Daten, einschließlich Scoring, Profiling und Prognoseentscheidungen.

Als Beispiel hierfür wird eine Bank genannt, die Transaktionen ihrer Kunden überprüft, um betrügerische Handlungen aufzudecken.

2. Eine automatische Entscheidungsfindung, die rechtliche Auswirkungen für Betroffene hat.

Als Beispiel nennt der Europäische Datenschutzbeauftragte eine automatische Einstufung von Mitarbeitern („Wenn Sie sich bei den unteren zehn Prozent Ihres Teams bzgl. der bearbeiteten Fälle befinden, erhalten Sie automatisch ein „unbefriedigend“ bzgl. Ihrer Bewertung.).

3. Systematische Überwachung von Betroffenen, vor allem im öffentlich zugänglichen Raum. Dies schließt die Videoüberwachung, aber auch andere Überwachungsmaßnahmen mit ein.

Beispiele des Europäischen Datenschutzbeauftragten sind eine intelligente Videoüberwachung im öffentlichen Raum und das Tracken von Personen anhand von Standortdaten. Gegenbeispiel wäre die Überwachung einer privaten Garage ohne eine Überwachung des öffentlichen Raums.

4. Überwachung von besonderen personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO.

Beispiele sind medizinische Untersuchungen und eine Überprüfung des Vorstrafenregisters vor der Einstellung von Mitarbeitern, Anwendung einer biometrischen Identifizierung, etc.

5. Verfahren mit einer großen Reichweite, abhängig von der Zahl der Betroffenen und/oder der Menge an personenbezogenen Daten, die zu den Betroffenen verarbeitet werden. Für die Annahme einer großen Reichweite wird auch das geografische Einzugsgebiet berücksichtigt.

Als Beispiel wird eine Europäische Datenbank zur Überwachung von Krankheiten genannt.

6. Kombination von Datensätzen, die zu unterschiedlichen Zwecken angelegt wurden und/oder die von verschiedenen Verantwortlichen in einer Weise angelegt wurden, die die vernünftigen Erwartungen der Betroffenen übersteigen würde.

Beispiel: Abgleich der Zugangsdaten zu einem Unternehmen mit den selbst eingetragenen Arbeitszeiten der Mitarbeiter, zur Aufklärung des Verdachts einer betrügerischen Erklärung im Rahmen einer Untersuchung.

7. Daten zu verletzlichen Betroffenen: Situationen, in denen eine Ungleichheit zwischen dem Betroffenen und dem Verantwortlichen besteht.

Als Beispiele werden Daten von Kindern oder von Asylbewerbern genannt. Gegenbeispiel, bei dem keine Datenschutz-Folgenabschätzung erforderlich ist, wären die Mitglieder von Expertengruppen bzgl. ihrer Reisekostenabrechnungen.

8. Einsatz innovativer Technik, die eine neue Form der Datenerhebung und -verarbeitung beinhaltet. Dies gilt auch, wenn die persönlichen und sozialen Auswirkungen des Einsatzes neuer Technologien nicht bekannt sind.

Beispiele des Europäischen Datenschutzbeauftragten hierzu sind Connected Cars und ein Social Media Screening bei Bewerbern. Als Gegenspiel wird eine biometrische Zugangskontrolle über Fingerabdrücke genannt, die demnach keine innovative Technologie darstellt.

9. Hinderung der Betroffenen daran, ihre Rechte auszuüben oder der Nutzung einer Dienstleistung oder eines Vertrages.

Als Beispiele werden Ausschlussdatenbanken oder eine Bonitätsprüfung genannt.

Fazit

Die Liste des Europäischen Datenschutzbeauftragten enthält überwiegend schon bekannte Punkte – allerdings sind die hier genannten Beispiele und Gegenbeispiele hilfreich, damit sich die abstrakte, gesetzliche Vorgabe des Art. 35 Abs. 1 DSGVO mit Leben füllen lässt.

Bei den Kriterien, die für die Durchführung einer Datenschutz-Folgenabschätzung sprechen, fällt auf, dass die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU nicht mehr genannt wird. Ebenso stellen mehrere Verantwortliche, die personenbezogene Daten verarbeiten, keine Voraussetzung für die Durchführung einer Datenschutz-Folgenabschätzung dar.

Es bleibt jedoch dabei, dass das Erfordernis einer Datenschutz-Folgenabschätzung im Einzelfall betrachtet werden muss. Als Verantwortlicher empfiehlt es sich, hierfür – wie dies auch Art. 35 Abs. 2 DSGVO postuliert – den Rat des eigenen Datenschutzbeauftragten einzuholen, sofern ein solcher benannt wurde.

Redaktioneller Hinweis zur Überarbeitung dieses Artikels:

Wir bedanken uns bei der aufmerksamen Twitter Community! Ursprünglich berichteten wir in diesem Beitrag, dass es sich um eine Stellungnahme des European Data Protection Boards (Europäischer Datenschutzausschuss) handle, was nicht zutreffend ist. Tatsächlich kommt diese Stellungnahme vom Europäischen Datenschutzbeauftragten. Dies macht in der Praxis einen wichtigen Unterschied, da es sich bei Stellungnahmen des European Data Protection Boards um eine zwischen den Aufsichtsbehörden abgestimmte Auffassung handelt. Die im bisherigen Beitrag dargestellte “einheitliche europäische Liste” gibt es somit leider noch nicht.