Die Datenschutzfolgeabschätzung Hilfestellung aufbearbeitet für Verantwortliche durch die machcon Deutschland GmbH

Eine Stellungnahme des Europäischen Datenschutzbeauftragten

Am 16.07.2019 hat sich der Europäische Datenschutzbeauftragte (EDPS) den Kriterien zur Erforderlichkeit einer Datenschutz-Folgenabschätzung geäußert. Die gesamte Äußerung finden Sie unter: https://edps.europa.eu/sites/edp/files/publication/19-07-16_edps_dpia_list_en.pdf
Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 DSGVO insbesondere dann erforderlich sobald:
“[…]eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat][…].“

Im Kern hat der Europäische Datenschutzbeauftragte sich in seiner Stellungnahme auf Art. 39 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG bezogen, dies ist im Wesentlichen gleich wie Art. 35 DSGVO.

Die Liste der Kriterien zur Erforderlichkeit einer Datenschutz-Folgenabschätzung ist bewusst nicht abschließend. Sie zeigt lediglich Kriterien auf, bei denen die Rechte der Betroffenen einem Hohen Risiko unterliegen.
Wenn mehrere, also mehr als ein Kriterium, der Kriterien erfüllt wird, sollte eine Datenschutz-Folgenabschätzung auf jeden Fall durchgeführt werden. Sollte der Verantwortliche dagegen entscheiden so muss er diese Entscheidung dokumentieren und begründen. Dies liegt daran das bereits eine der dargestellten Voraussetzungen ein hohes Risiko darstellt. Dies bedeutet nach Auffassung des Europäischen Datenschutzbeauftragten kann eine Datenschutz-Folgenabschätzung bei auch nur einem erfüllten Kriterium erforderlich sein.

Orientierungskriterien, für eine Datenschutz-Folgenabschätzung

Es wurden hierbei neun Kriterien vorgestellt, welche nach der Auffassung des Europäischen Datenschutzbeauftragten für die Erforderlichkeit einer Datenschutz-Folgenabschätzung sprechen:

1. Systematische und umfangreiche Auswertung personenbezogener Daten. Zu nennen sind hier Scoring, Profiling und Prognoseentscheidungen.
Beispiel: Eine Bank überprüft die Transaktionen ihrer Kunden, um betrügerische Handlungen aufzudecken.

2. Eine automatische Entscheidungsfindung welche rechtliche Auswirkungen für Betroffene hat.
Beispiel: Eine automatische Einstufung von Mitarbeitern. Beispiel: Wenn Sie unter den schlechtesten 10% Ihres Teams sind im Rahmen von bearbeiteten Fällen befinden und dann automatisch ein „unbefriedigend“ bezüglich ihrer Bewertung erhalten

3. Systematische Überwachung von Betroffenen vor allem im öffentlich zugänglichen Raum. (Videoüberwachung, andere Überwachungsmaßnahmen)
Beispiel: Eine intelligente Videoüberwachung im öffentlichen Raum und das Tracken von Personen anhand von Standortdaten.
Gegenbeispiel: Die Überwachung einer privaten Garage ohne eine Überwachung des öffentlichen Raums.

4. Überwachung von besonderen personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO.
Beispiel: medizinische Untersuchungen oder eine Überprüfung des Vorstrafenregisters vor der Einstellung von Mitarbeitern

5. Verfahren mit einer großen Reichweite. Dabei wird die Anzahl der Betroffenen und/oder der Menge an personenbezogenen Daten, die zu den Betroffenen verarbeitet werden, sowie das geografische Einzugsgebiet berücksichtigt.
Beispiel: Eine Europäische Datenbank zur Überwachung von Krankheiten

6. Kombination von Datensätzen, welche für unterschiedliche Zwecke erhoben wurde.
Beispiel: Abgleich der Zugangsdaten zu einem Unternehmen mit den selbst eingetragenen Arbeitszeiten der Mitarbeiter, zur Aufklärung des Verdachts einer betrügerischen Erklärung im Rahmen einer Untersuchung.

7. Daten zu verletzlichen Betroffenen: Situationen, in denen eine Ungleichheit zwischen dem Betroffenen und dem Verantwortlichen besteht.
Beispiel: Daten von Kindern oder von Asylbewerbern.

8. Einsatz innovativer Technik, welche eine neue Form der Datenerhebung und -verarbeitung möglich macht. Dies gilt auch, wenn die sozialen und persönlichen Auswirkungen des Einsatzes neuer Technologien noch nicht bekannt sind.
Beispiele: Social Media Screening oder Connected Cars bei Bewerbern.
Gegenspiel: Eine biometrische Zugangskontrolle über Fingerabdrücke (Keine innovative Technologie)

9. Hinderung der Betroffenen daran, der Nutzung einer Dienstleistung oder eines Vertrages oder der auszuüben ihre Rechte.
Beispiele: Ausschlussdatenbanken oder Bonitätsprüfung.

Fazit

Die Liste des Europäischen Datenschutzbeauftragten ist schon in ähnlicher Form durch die Leitlinie in WP 248 der Art. 29-Datenschutzgruppe bekannt gewesen. Aber durch die genannten Beispiele lässt sich nun das abstrakte wesentlich präzisier in der Praxis anwenden.
Trotz hilfreicher Kriterien und Beispiele empfiehlt es sich für jedes Unternehmen, im Rahmen einer Datenschutz-Folgenabschätzung den eigenen Datenschutzbeauftragten um Rat zu bitten, sofern ein solcher benannt ist. Denn genau so sieht es auch Art. 35 Abs. 2 DSGVO vor.

Gerne stehen wir von der machCon GmbH Ihnen bei Datenschutz Thematiken zur Verfügung.