Die Landesdatenschutzbeauftragten haben – fast schon unbemerkt auch vom interessierten Fachpublikum – begonnen, sog. „schwarze Listen“ zur Datenschutz-Folgenabschätzung (Art. 35 Abs. 4 DSGVO) zu veröffentlichen. Kommen Sie mit auf eine spannende Reise in die neue Datenschutz-Grundverordnung und 16 unterschiedliche Auslegungen bzw. Listen (dem Föderalismus sei Dank).
Wie, was und warum Datenschutz-Folgenabschätzung?

Was ist überhaupt eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung soll laut Art. 35 DSGVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen. Sie ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken (Risikomanagement). Ihr Ziel besteht darin, Verstöße gegen die DSGVO zu vermeiden; es handelt sich also um ein präventives Werkzeug.
Völlig neu ist eine solche Folgenabschätzung jedoch nicht. Sie ersetzt die bisherige Vorabkontrolle nach § 4d Abs. 5 BDSG alter Fassung. Allerdings sind die beiden Regelungen nicht in allen Teilen deckungsgleich.
Gemein ist ihnen, dass es schon nach dem alten Bundesdatenschutzgesetz erforderlich war, in bestimmten Fällen eine sog. Vorabkontrolle durchzuführen, nämlich dann, wenn sich aus der automatisierten Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergaben.
Unterschiede ergeben sich aus den Formulierungen der Vorschriften. Die neue Regelung (Art. 35 DSGVO) setzt ein „hohes Risiko“ voraus, während das alte BDSG an „besondere Risiken“ anknüpfte. Wann genau ein „hohes Risiko“ für die Verarbeitung spezifischer Arten personenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Bewertung einer Person vorliegt, sollen die Anwendungsfälle in Absatz 3 des Art. 35 DSGVO sowie die Erwägungsgründe 89 bis 91 festlegen.

Wann genau ist überhaupt eine Datenschutz-Folgenabschätzung vorzunehmen?

In Art. 35 Abs. 1 DSGVO heißt es dazu:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)…“

Diese offene und auslegungsbedürftige Formulierung fächert den Anwendungsbereich wesentlich breiter auf, als es im Vergleich zum BDSG und der damaligen Vorabkontrolle noch der Fall war. Aufgrund dessen räumt er den Aufsichtsbehörden diesbezüglich einen Ermessensspielraum ein.
Die Landesdatenschutzbeauftragten müssen nun im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Listen werden (u.a.) als „schwarze Listen“ bezeichnet.
Um es einmal plastischer zu machen: Die Verarbeitung von umfangreichen Daten über strafrechtliche Verurteilungen und Straftaten erfüllt anerkanntermaßen die Anforderungen an ein „hohes Risiko“ und erfordert folglich eine zuvor durchzuführende Datenschutz-Folgenabschätzung.
Daneben enthält Art. 35 Abs. 5 DSGVO eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zusammenzustellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzungen durchgeführt werden müssen. Diese Listen werden (u.a.) als „weiße Listen“ tituliert.

Was muss bei der Durchführung einer Datenschutz-Folgenabschätzung beachtet werden?

In Art. 35 Abs. 7 DSGVO werden die Mindestanforderungen für den Inhalt einer Datenschutz-Folgenabschätzung definiert. Enthalten sein müssen demnach:

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Zweck der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen. (Art. 6 DSGVO)
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
• Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Im Ergebnis ist eine mehrstufige Prüfung nötig; eine sog. Schwellenwertanalyse. Kommen Sie nach der Durchführung der Datenschutz-Folgenabschätzung für einen bestimmten Verarbeitungsvorgang zu dem Ergebnis, dass tatsächlich ein „hohes Risiko“ besteht, müssen Sie sich fragen: „Lässt sich dieses eindämmen?“ – Bei verbleibend hohem Risiko ist eine Konsultation der Aufsichtsbehörde vor Aufnahme der Datenverarbeitung (Art. 36 Abs. 1 DSGVO) vorzunehmen. Abschließend ist das Ergebnis zwingend zu dokumentieren. (Art. 5 Abs. 2 DSGVO)

Fazit

Die Position eines internen oder externen Datenschutzbeauftragten (der stets in Datenschutz-Folgenabschätzungen eingebunden sein muss; Art. 35 Abs. 2 DSGVO) ist und bleibt höchst anspruchsvoll. Dies gilt nicht nur bezogen auf die vielen neuen und teils weit gefassten Vorschriften, sondern ebenfalls auf die unterschiedlichen Einschätzungen der verschiedenen Bundesländer. Damit Sie nicht den Überblick verlieren, habe ich Ihnen eine anschauliche Tabelle erstellt. Mit dieser haben Sie einen Vergleich der Listen, die bereits veröffentlicht wurden. Es ist wirklich ein tolles Werk entstanden, anhand dessen Sie direkt die Unterschiede der einzelnen Auffassungen der Landesdatenschutzbehörden erkennen können.

Viel Spaß damit.

Sind neue Listen zwischenzeitlich ergänzt worden?
Lass Sie es mich wissen und kommentieren Sie diesen Beitrag!
Besten Dank.

__

Titelbild (CCO Public Domain)

__