Definition der Datenschutz-Folgenabschätzung: Prozesse müssen einer Risikoabschätzung unterzogen werden
Wenn Sie in Ihrem Unternehmen neue Prozesse, also neue Datenverarbeitungsvorgänge, einführen wollen, dann sind Sie dazu verpflichtet, im Vorfeld zu prüfen, ob voraussichtlich eine sog. Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Das gilt gleichsam auch für existierende Prozesse und Formen der Datenverarbeitung, die Sie noch keiner DSFA-Prüfung unterzogen haben. Dabei handelt es sich um ein bestimmtes Vorgehen nach Maßgabe von Art. 35 EU-Datenschutz-Grundverordnung (DSGVO), mit dem das Risiko einer (geplanten) Verarbeitungstätigkeit für die davon betroffenen Personen eingeschätzt werden soll. Insbesondere sollen Umstände und Folgen für die Freiheiten und Rechte der Personen in Erfahrung gebracht werden, die sich durch die Überwachung ergeben.
Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss zunächst eine Vorabprüfung erfolgen – die sog. Schwellwertanalyse. Mittels dieser Analyse wird ermittelt, ob ein hohes Risiko zu befürchten ist und daher eine Datenschutz-Folgeabschätzung durchgeführt werden muss. Im besten Fall besteht kein hohes Risiko für Sie als Unternehmer und die Datenverarbeitung kann wie geplant umgesetzt bzw. fortgeführt werden. Im „worst case“ müssen Sie eine DSFA durchführen und – je nach Ergebnis – Ihre zuständige Datenschutzaufsichtsbehörde mit ins Boot holen.
Tipp
Bußgeld bei Pflichtverletzung
Wenn Sie der Pflicht zur Durchführung einer Schwellwertanalyse bzw. einer Datenschutz-Folgenabschätzung nicht nachkommen, droht im schlimmsten Fall ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des gesamten Vorjahresumsatzes (Art. 83 Abs. 4 DSGVO).
Wer ist für die Datenschutz-Folgenabschätzung verantwortlich?
Verantwortlich für die Durchführung einer DSFA ist nicht ein evtl. benannter Datenschutzbeauftragter (DSB), sondern die Leitungsebene, also die Geschäfts-, Behörden- oder Vereinsführung (z. B. der GmbH-Geschäftsführer). Der DSB wird in Bezug auf eine Datenschutz-Folgenabschätzung lediglich beratend und unterstützend tätig. Selbstverständlich muss die Leitungsebene die DSFA nicht selbst durchführen, sie kann dies an Beschäftigte delegieren. Die Leitungsebene ist und bleibt jedoch dafür verantwortlich, dass die DSFA korrekt geprüft und ggf. durchgeführt wird. Sie kann also für etwaige Fehler haftbar gemacht werden. Genau wie für alle anderen Datenschutzmaßnahmen kann die generelle Verantwortung nicht auf Dritte übertragen werden, auch wenn ein DSB oder sogar ein ganzes Beraterteam bestehen sollte.
Datenschutz-Folgenabschätzung erfordert mehrstufige Prüfung
Schwellwertanalyse: Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Um für einen konkreten Fall zu prüfen, ob bzw. wann Sie eine Datenschutz-Folgenabschätzung durchführen müssen, empfiehlt sich ein mehrstufiges Vorgehen. Im Kern dreht sich hierbei alles um die Frage, ob ein hohes Risiko für die Betroffenen besteht bzw. zu befürchten ist. Sie sollten also die folgenden Prüfungsschritte einhalten:
- Findet sich die (geplante) Datenverarbeitung auf der sog. Positiv-Liste der Datenschutzaufsichtsbehörden?
- Liegt ein gesetzliches Regelbeispiel gemäß Art. 35 Abs. 3 DSGVO bezüglich einer Notwendigkeit einer Datenschutz-Folgenabschätzung vor?
- Besteht gemessen an den Kriterien der Art.-29-Gruppe ein sonstiges hohes Risiko?
Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann lautet das Ergebnis Ihrer Schwellwertanalyse, dass Sie voraussichtlich eine Datenschutz-Folgenabschätzung (DSFA) durchführen müssen. Daher lohnt es sich, einen näheren Blick auf die Details der drei Punkte zu werfen.
DSK-Positiv-Liste: Datenverarbeitungsvorgänge mit hohem Risiko
In den Positiv-Listen der Aufsichtsbehörden sind diverse Datenverarbeitungsvorgänge enthalten, die regelmäßig mit einem hohen Risiko verbunden sind. So hat beispielsweise die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, jeweils eine Positiv-Liste zur Datenschutz-Folgenabschätzung für den öffentlichen Bereich (also für Behörden und andere öffentliche Stellen) und für den nicht-öffentlichen Bereich (also für Unternehmen) veröffentlicht. Auf der DSK-Positiv-Liste für den nicht-öffentlichen Bereich finden sich z. B. folgende Verarbeitungsvorgänge, für die eine Datenschutz-Folgenbestimmung erforderlich ist:
- Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen (z. B. Fingerabdrucksensoren zur Zutrittskontrolle)
- umfangreiche Verarbeitung von Daten über den Aufenthalt von Betroffenen (z. B. GPS-Verfolgung von Dienstfahrzeugen)
- umfangreiche Verarbeitung von Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in sonstiger Weise erheblich beeinträchtigt werden (z. B. zentrale Aufzeichnung der Aktivitäten, wie etwa E-Mail-Verkehr am Arbeitsplatz mit dem Ziel, unerwünschtes Verhalten von Beschäftigten zu erkennen)
- Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen (z. B. Betrieb eines Online-Datingportals)
- Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Verarbeitung der so zusammengeführten Daten (z. B. Analyse von Kauf- und Bonitätsdaten)
- Einsatz von Künstlicher Intelligenz (KI) zur Verarbeitung von Daten zur Steuerung der Interaktion mit Betroffenen oder zur Bewertung persönlicher Aspekte (z. B. Kundensupport mittels künstlicher Intelligenz)
- Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen (z. B. Betrieb eines Treue- / Bonuspunkte-Programms für Kunden)
Tipp
DSK-Positiv-Liste
Die DSK-Positiv-Liste zur Datenschutz-Folgenabschätzung findet sich online u. a. auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht und kann dort kostenfrei heruntergeladen werden.
Datenschutz-Folgenabschätzung: Pflicht für Prozesse gemäß DSK-Positiv-Liste oder Art. 35 Abs. 3 DSGVO
Sofern Sie also planen, eine der auf der DSK-Liste enthaltenen Prozesse ein- bzw. fortzuführen, dann müssen Sie auf jeden Fall eine Datenschutz-Folgenabschätzung durchführen. Wenn Sie hier nicht fündig werden, bedeutet das allerdings nicht, dass Sie von der DSFA-Pflicht befreit sind. Denn dann könnte eine solche auch noch deshalb bestehen, weil Ihre (geplante) Datenverarbeitung einem gesetzlichen Regelbeispiel aus Art. 35 Abs. 3 DSGVO entspricht. Danach ist eine DSFA durchzuführen für:
- systematische und umfassende Bewertungen persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber den Betroffenen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (z. B. Detektiv-Dienstleistungen, Betrieb eines Online-Werbenetzwerkes oder KI-gestützte Analyse von Bewerbungsgesprächen),
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 9, 10 DSGVO (z. B. Durchführung medizinischer Studien durch eine Klinik bzw. einen Dienstleister) oder für
- systematische umfangreiche Überwachungen öffentlich zugänglicher Bereiche (z. B. Videoüberwachung an Bahnhöfen oder Flugplätzen).
Auch hier lassen die einzelnen Beispiel-Szenarien mit Pflicht zur Datenschutz-Folgenabschätzung schon erahnen, dass es um sehr riskante Datenverarbeitungsvorgänge geht. Alltägliche Prozesse wie Personalaktenführung, Versand von Werbung oder Datenübermittlung an den Steuerberater werden hier offenkundig nicht erfasst. Allerdings kann bereits die (geplante) Anbringung einer Überwachungskamera auf dem Parkplatz vor dem Bürogebäude dazu führen, dass Sie zumindest eine Schwellwertanalyse durchführen und dokumentieren müssen.
Datenschutz-Folgenabschätzung: Artikel-29-Datenschutzgruppe
Sofern Sie weder auf der DSK-Liste noch in Art. 35 Abs. 3 DSGVO einen Prozess finden, der auf Ihren passt, kann gleichwohl ein hohes Risiko vorliegen. Um ein solches in der Praxis besser einschätzen bzw. abwägen zu können, hat die Art.-29-Gruppe – der Vorläufer des jetzigen Europäischen Datenschutzausschusses (EDSA) – in ihrem „Working Paper 248“ neun verschiedene Kriterien aufgestellt. Wenn mindestens zwei davon vorliegen, ist ein hohes Risiko für die betreffende Datenverarbeitung anzunehmen:
- Evaluierung- bzw. Scoring-Maßnahmen
- automatisierte Entscheidung mit rechtlicher Relevanz o. ä. Wirkung für den Betroffenen (z. B. Profiling)
- systematische Beobachtung von Betroffenen
- Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9, 10 DSGVO)
- in großem Umfang verarbeitete personenbezogene Daten
- Abgleich bzw. Kombination verschiedener Datensätze
- personenbezogene Daten verletzlicher Datensubjekte (z. B. von Prominenten oder Kindern)
- Einsatz neuartiger Lösungen / Technologien
- Übermittlung von personenbezogenen Daten in unsichere Drittstaaten
- Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst bzw. Vertrag zu nutzen
Wenn Sie also beispielsweise planen, ein neuartiges KI-System zur automatisierten Auswahl von Bewerbern einzusetzen und dabei Kriterien, wie etwa das Tragen einer Brille, eine Rolle spielen, erfüllen Sie jedenfalls zwei der genannten Kriterien und wären voll in der DSFA-Pflicht.
Tipp
Working Paper 248 zum Download
Das „Working Paper 248“ der Art.-29-Gruppe kann beispielsweise auf der Website des Bayerischen Landesbeauftragen für Datenschutz kostenfrei heruntergeladen werden.
So funktioniert eine Datenschutz-Folgenabschätzung
Wenn Sie zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet sind, müssen Sie zunächst Ihren DSB – sofern vorhanden und noch nicht geschehen – hinzuziehen und die DSFA durchführen. Hierbei handelt es sich um ein mehr oder weniger umfangreiches Dokument mit bestimmten Pflichtinhalten. Nach Maßgabe von Art. 35 Abs. 7 Datenschutz-Grundverordnung (DSGVO) sind für eine Datenschutz-Folgenabschätzung folgende Angaben zu leisten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der entsprechende Nachweis dafür erbracht wird.
Tipp
PIA-Tool für die erleichterte Umsetzung
Um Ihnen die Umsetzung einer Datenschutz-Folgenabschätzung in der Praxis zu erleichtern, empfiehlt es sich, das sog. PIA-Tool der französischen Aufsichtsbehörde CNIL zu verwenden. Dieses liegt u. a. in einer deutschen Sprachfassung vor, ist kostenfrei nutzbar und führt Sie schrittweise durch eine DSFA. Zudem enthält es eine Beispiel-Datenschutz-Folgenabschätzung sowie ergänzende Informationen zum Thema.
Info
Schutz hinweisgebender Personen durch das Hinweisgeberschutzgesetz (HinSchG): Datenschutz-Folgenabschätzung
Bei Informationen, die durch ein Hinweisgebersystem von hinweisgebenden Personen zur Verfügung gestellt werden, ist Vorsicht geboten. Insbesondere beschäftigt sich das Hinweisgeberschutzgesetz (HinSchG) mit dem Schutz personenbezogener Daten der Hinweisgeber. Somit kann auch eine Datenschutz-Folgenabschätzung eines Hinweisgebersystems erforderlich werden.
Datenschutz-Folgenabschätzung: Wann ist die Aufsichtsbehörde zu informieren?
Ergibt die Schwellwertanalyse, dass ein hohes Risiko besteht, und ergibt die anschließende Datenschutz-Folgenabschätzung, dass keine Maßnahmen getroffen werden können, um ein solches zu senken, dann müssen Sie die für Sie zuständige Aufsichtsbehörde darüber informieren. Diese hat dann zu entscheiden, ob ggf. doch geeignete Maßnahmen getroffen werden können, um die (geplante) Datenverarbeitung ein- bzw. durchzuführen. Zu diesem Zweck müssen Sie der Behörde bestimmte Mindestinformationen zur Verfügung stellen (Art. 36 Abs. 3 DSGVO), wie etwa die Zwecke der Verarbeitung, die dokumentierte DSFA oder auch ggf. die Kontaktdaten des Datenschutzbeauftragten. Die Aufsichtsbehörde kann Ihnen dann die Ein- bzw. Durchführung des Verarbeitungsvorgangs gestatten, falls Sie Ihre Risikoeinschätzung nicht teilt. Oder sie kann Ihnen bestimmte Maßnahmen auferlegen, mit denen das Risiko gesenkt werden kann. Letztlich kann die Aufsichtsbehörde Ihnen aber auch gänzlich untersagen, den geprüften Prozess ein- bzw. weiter durchzuführen.
Tipp
DFSA: Weiterführende Informationen
Weiterführende Informationen rund um das Thema Datenschutz-Folgenabschätzung finden sich u. a. auf der Website der IHK München.