Update Datenschutz Nr. 23
Entwurf von Guidelines der Article 29 Working Party zur Datenschutzfolgenabschätzung nach Art. 35 DS-GVO
Die Article 29 Working Party – ein Zusammenschluss aller europäischen Datenschutzaufsichtsbehörden - hat den Entwurf einer Guideline über die Durchführung einer Datenschutzfolgenabschätzung („DSFA“) veröffentlicht. Das 21 Seiten starke und fußnotenlastige Dokument behandelt zahlreiche für die Praxis sehr wichtige Fragen der DSFA. Das Dokument kann damit sogleich als die bislang umfangreichste Kommentierung von Art. 35 DS-GVO verstanden werden. Obwohl die Guidelines der auf Basis der Richtlinie 95/46/EG eingerichteten Article 29 Working Party in Zukunft für die nationalen Datenschutzaufsichtsbehörden nicht zwingend verbindlich sein werden, so wird doch erwartet, dass sich die Datenschutzaufsichtsbehörden in der Praxis daran orientieren.
DSFA als zentrales Compliance Dokument für risikoreiche Datenverarbeitungen
Die Article 29 Working Party (im Folgenden „WP29“) betont, dass die Verpflichtung zur Durchführung einer DSFA kein Selbstzweck ist sondern der allgemeinen Datenschutz- Compliance und damit der Erfüllung sämtlicher Anforderungen der Datenschutzgrundverordnung dient. Da Art. 35 DS-GVO für sämtliche Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine umfassende Risikobewertung fordert, müsse im Rahmen der DSFA letztlich eine Gesamtcompliance jedes geprüften Prozesses dokumentiert werden. So sieht es jedenfalls die WP 29, was auf einen Blick in der als Anlage 2 der Guidelines mitgelieferten Checkliste zur Durchführung einer DSFA deutlich wird. Demnach muss im Rahmen der DSFA eine vollständige und umfassende Beschreibung jedes gemäß Art. 35 DS-GVO zu prüfenden Datenverarbeitungsprozesses vorliegen, die inhaltlich weit über die in einem Verzeichnis der Verarbeitungstätigkeiten enthaltenen Mindestinformationen hinaus geht. Zudem müssen das Vorhandensein eines Erlaubnistatbestandes und die Einhaltung der Datenschutzgrundsätze nach Art. 5 DS-GVO berücksichtigt werden. Ebenso sind sämtliche Maßnahme in die Risikobewertung der DSFA einzustellen, die zur Erfüllung der betroffenen Rechte berücksichtigt werden.
Dies zeigt: Im Rahmen der DSFA muss nach Ansicht der WP 29 geprüft und dokumentiert werden, welche Maßnahmen zur Erfüllung sämtlicher anderer Vorschriften der DS-GVO vorgenommen wurden. Eine so verstandene DSFA wird – jedenfalls für sämtliche Verarbeitungsprozesse die voraussichtlich ein hohes Risiko bergen – zu einem zentralen DS-GVO-Compliance-Dokument.
Wann liegt voraussichtlich ein hohes Risiko vor?
In den Guidelines wird vorgeschlagen, bei der Prüfung der Frage, ob gemäß Art. 35 DS-GVO „voraussichtlich ein hohes Risiko besteht“ folgende 10 Kriterien zu berücksichtigen:
- Wird das Verhalten oder werden die Eigenschaften einer Person durch eine Datenverarbeitung bewertet (automatisches Scoring bzw. automatische Bewertung)?
- Führt die Datenverarbeitung zu automatischen Entscheidungen gegenüber dem Datensubjekt?
- Findet eine systematische Überwachung von Betroffenen statt?
- Werden besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 DS-GVO oder andere sensible Daten verarbeitet?
- Verfügt die Datenverarbeitung über einen großen Umfang, wobei hierbei die Anzahl der Betroffenen, die Anzahl der Einzeldaten, die Dauer der Datenverarbeitung und die geografische Ausdehnung der Datenverarbeitung berücksichtigt werden soll?
- Werden Datensätze, die aus zwei oder mehr Quellen stammen, in einer Weise abgeglichen oder kombiniert, mit der die betroffene Person nicht rechnen muss?
- Werden Daten von besonders schutzwürdigen Personen, wie etwa Kindern verarbeitet?
- Wird eine neue Technologie oder ein besonders innovatives Verfahren verwendet? (Dies soll etwa im Bereich „Internet of Things“ der Fall sein).
- Erfolgt ein Datenexport von der EU in Drittstaaten? Wenn ja, wie ist das Datenschutzniveau der Empfängerländer zu beurteilen?
- Führt die Datenverarbeitung dazu, dass Betroffene davon abgehalten werden, ihre Rechte auszuüben, einen Service in Anspruch zu nehmen oder einen Vertrag abzuschließen (als Beispiel wird eine Bonitätsanalyse im Vorfeld eines Vertragsabschlusses genannt)?
Bereits bei der ersten Durchsicht wird klar: Sämtliche angegebenen Kriterien bieten wiederum einen breiten Spielraum für Interpretationsmöglichkeiten. Weiter will sich die WP 29 nicht festlegen. Vielmehr betont die WP 29, dass es auf die Umstände jedes Einzelfalls ankomme. Zumindest präsentiert die WP 29 eine explizit als solche benannte „Daumenregel“, nach der ein hohes Risiko immer dann vorliegt, wenn 2 oder mehr der 10 Kriterien gegeben sind.
Praxisbeispiele
Hilfreicher sind die folgenden Beispiele, welche die WP 29 kurz und ohne weitere Erläuterung tabellenartig wie folgt darstellt:
Beispielsdatenverarbeitung | Mögliche relevante Kriterien | DSFA notwendig? | ||
---|---|---|---|---|
Ein Krankenhaus verarbeitet genetische Daten und Gesundheitsdaten der Patienten in einem "Hospital Information System“ |
| ja | ||
Die Nutzung eines Kamerasystems, um das Fahrverhalten auf einer Straße zu beobachten. Der Verantwortliche plant eine intelligentes Videoanalysesystem einzusetzen, das Fahrzeuge anhand von Nummernschildern identifizieren kann |
| ja | ||
Ein Unternehmen beobachtet das Verhalten der Angestellten, insbesondere wird der Angestellte an seinem Arbeitsplatz und seine Internetnutzung beobachtet |
| ja | ||
Die Sammlung von öffentlichen Social Media Profilen, um Adressverzeichnisse für die Privatwirtschaft zu erstellen |
| ja | ||
Eine Online-Zeitschrift verwendet eine Mailing-Liste, um einen allgemeinen täglichen Newsletter an die Abonnenten zu versenden |
| nicht notwendigerweise | ||
Ein Webshop zeigt Werbung für Ersatzteile für Oldtimer auf Basis von begrenzten Nutzerprofilen, welche das Kaufverhalten auf dieser Webseite berücksichtigen |
| nicht notwendigerweise |
Diese Beispiele sind die konkretesten Hinweise zur Prüfung des Tatbestandes von Art. 35 Abs. 1 DS-GVO, die derzeit verfügbar sind, wenngleich sich auch damit bei weitem nicht alle Fallkonstellationen bewerten lassen. Es bleibt damit vorerst in vielen Fällen bei dem allgemeinen Rechtsrat, zur Sicherheit eher eine DSFA durchzuführen als dies zu unterlassen.
Inhaltliche Vorgaben zur Durchführung der DSFA
Die Guidelines der WP 29 stellen ausdrücklich klar, dass Art. 35 DS-GVO nur sehr allgemeine generische Rahmenbedingungen für die Durchführung einer DSFA enthalten. Jeder Verantwortliche verfügt also, so die WP 29 ausdrücklich, über große Flexibilität, um die genaue Struktur und Form der DSFA selbst zu bestimmen.
Die WP 29 weist darauf hin, dass die DSFA als ein allgemeines Werkzeug des Risiko-Managements eines Unternehmens verstanden werden kann und dass daher sämtliche gängigen Normen und Vorgehensweisen zum Risiko-Management und zur Risikobewertung, wie etwa ISO 31000, berücksichtigt werden können (nicht müssen!).
Auch die WP 29 scheut sich also davor, ein spezifisches, detailliertes „durchdekliniertes“ Vorgehen zu empfehlen. Stattdessen wird mit Annex 1 auf sechs weitere „Frameworks“ zur Durchführung einer DSFA verwiesen, die von unterschiedlichen EU Datenschutzaufsichtsbehörden oder der WP 29 bislang erstellt wurden. Zudem wird darauf verwiesen, dass auch eine ISO Norm zur Durchführung einer DSFA in Arbeit ist (ISO/IEC 29134).
Immerhin findet sich die Aussage, dass bei der Berücksichtigung der checklistenartigen Zusammenstellung der Kriterien einer DSFA aus Anhang 2 der Guideline der Nachweis der Einhaltung der DS-GVO ermöglicht werden soll. Anhang 2 bietet in der Tat eine zusammengefasste, auf einer Seite dargestellte kompakte Checkliste, die – gemessen an anderen seitenlangen abstrakten Ausführungen – als relativ praxisnah zu bewerten sind. Dennoch müssen im Rahmen der konkreten Umsetzung eine Vielzahl von Abwägungsentscheidungen getroffen werden. Die WP 29 „verkauft“ dies als einen positiven Effekt ihrer Checkliste, die einerseits „die grundsätzlichen Anforderungen der DS-GVO enthält“ und andererseits „genug Spielraum für verschiedene Formen der Umsetzung“ bereithält.
Fazit
Die DS-GVO verpflichtet Unternehmen insgesamt zu einem sehr hohen Dokumentationsaufwand. Zumindest werden inhaltlich nun mit der Checkliste aus Anhang 2 der Guideline konkrete Vorschläge für den Inhalt und die Durchführung einer DSFA gegeben. Da es sich um einen Entwurf der Guideline handelt, dürfte es sich lohnen, hierzu die finale Fassung abzuwarten.