Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich rechtskonform für die Datenschutzgrundverordnung im Mai 2018 aufzustellen. Teil 10 hat die Voraussetzungen der Datenschutz-Folgenabschätzung zum zentralen Thema.
ENTHALTENE ASPEKTE
Die Datenschutz-Folgenabschätzung (DSFA) soll gem. Art. 35 DS-GVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen. Sie ersetzt die bisherige Vorabkontrolle nach § 4d Abs. 5 BDSG a.F., wobei beide Instrumente nicht in allen Teilen vollständig deckungsgleich sind. Enthalten sind nach Art. 35 Abs. 7 DS-GVO zumindest folgende Aspekte:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen (lit. a);
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (lit. b);
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 (lit. c) und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird (lit d). Die vorliegende Praxishilfe widmet sich zunächst der vorgelagerten Frage, unter welchen Voraussetzungen und zu welchem Zeitpunkt eine DSFA durchzuführen ist.
TATBESTAND
Schon nach dem BDSG war es erforderlich, in bestimmten Fällen eine Vorabkontrolle durchzuführen, nämlich dann, wenn sich aus der automatisierten Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergeben (§ 4d Abs. 5 BDSG a.F.). Als Beispiele nennt das BDSG die Verarbeitung besonderer Arten personenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Bewer- tung einer Person. Ähnlich formuliert es Art. 35 DS- GVO, ohne jedoch ausdrücklich zu definieren, wann eine Verarbeitung ein hohes Risiko für den Betroffenen zur Folge hat. Allerdings werden in Abs. 3 Anwendungsfälle aufgeführt, die im Wesentlichen den bisherigen Beispielen des BDSG entsprechen. Ergänzt werden diese Anwendungsfälle durch die Erwägungsgründe 89 bis 91, die zusätzlich auf den Umfang der Verarbeitung und den Einsatz neuer Technologien abstellen. Die Praxishilfe liefert hierzu Anwendungsfälle und Beispiele.
PRÜFUNGSSCHEMA
Beim Verantwortlichen muss jederzeit klar sein, wie mit neuen oder geänderten Verfahren umzugehen ist. Insbesondere ist bei neuen oder geänderten Verfahren sicherzustellen, dass jemandem die Entscheidung obliegt, ob eine DSFA durchzuführen ist. Nach der Vorstellung des Verordnungsgebers trifft diese Entscheidung der Verantwortliche, während der DSB hierbei berät (vgl. Art. 35 Abs. 2 & Art. 39 Abs. 1 lit c DS-GVO). Auslösendes Ereignis für die Prüfung ist das Bekanntwerden oder die Bekanntgabe einer Neuerung, z.B. im Rahmen eines Projektantrages oder im Austausch zwischen Fachbereich und DSB
Erster Schritt: Rechtmäßigkeit
- Findet sich ein Erlaubnistatbestand für die geplante Verarbeitung? Wenn nein: Prüfung beendet.
Zweiter Schritt: Pflicht zur DSFA
- Ist die Verarbeitung gewhitelistet gem. Art. 35 Abs. 5 DS-GVO? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Liegt bereits eine vorweggenommene Folgenabschätzung im Sinne des Art. 35 Abs. 10 DS-GVO vor und hat der Mitgliedsstaat keine darüber hinausgehende DSFA angeordnet? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Liegt bereits eine DSFA für einen ähnlichen Verarbeitungsvorgang mit ähnlich hohem Risiko im Sinne von Art. 35 Abs. 1 Satz 2 DS- GVO vor? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Ist die Verarbeitung geblacklistet gem. Art. 35 Abs. 4 DS-GVO? –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei
- Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?
- Ist eine der Fallgruppen des Art. 35 Abs. 3 litt. a bis c DS-GVO erfüllt? –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei.
- Ist ein sonstiges hohes Risiko im Sinne des Art. 35 Abs. 1 DS-GVO erkennbar? (Mögliche Anknüpfungspunkte: eigene Checkliste des DSB, eigene Checkliste des Fachbereichs, Checkliste nach WP 248 der Artikel-29-Gruppe.) –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei
Dritter Schritt: Durchführung der DSFA
Die DSFA besteht zumindest aus den in Art. 35 Abs. 7 litt a bis d DS-GVO niedergelegten Punkten. Derzeit sind mehrere Modelle in der Diskussion, wie bei einer DSFA am besten vorzugehen sei. Entsprechende Links finden sich in der Praxishilfe.
EINZELFALL VS. STANDARDVERFAHREN
NACHTRÄGLICHE DSFA
Die Praxishilfe liefert aber auch Infos zu nachträglichen DSFA aufgrund von Risikoänderung, nachgeschobenen Blacklists usw. Aber insbesondere eben auch für Altverfahren. Die Artikel-29-Datenschutzgruppe geht im kürzlich überarbeiteten WP 248 davon aus, dass die DSFA auch für bestehende Verarbeitungen durchzuführen ist, soweit ein hohes Risiko für die Betroffenen besteht. Hiervon könne lediglich abgewichen werden, wenn eine Vorabkontrolle nach altem Recht durchgeführt worden sei und sich die die Umstände seitdem nicht verändert hätten. Die Auffassung der Artikel-29-Gruppe findet allerdings keine Stütze im Gesetz!
Nach dem Wortlaut des Art. 35 Abs. 1 DS-GVO soll die DSFA präventiv wirken. ErwGr 171 S. 1 DS-GVO sieht vor, dass laufende Verarbeitungsvorgänge materiellrechtlich mit der DS-GVO in Einklang gebracht werden, die DSFA hat jedoch eine reine Ordnungsfunktion.
Die Artikel-29-Gruppe berücksichtigt insb. nicht, dass nach § 4d Abs. 5 Satz 2, Hs. 2 BDSG a.F. befugtermaßen von einer Vorabkontrolle abgesehen werden durfte, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorlag oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich war.
Es wäre höchst widersprüchlich, wenn Verarbeitungsvorgänge, die nach altem Recht ordnungsgemäß implementiert wurden, seit Jahren beanstandungsfrei laufen und nach neuem Recht materiell vollkommen rechtmäßig sind, mangels nachträglicher DSFA plötzlich ein erhebliches Haftungsrisiko bedeuten würden. Verarbeitungen, die nach altem Datenschutzrecht aufgenommen worden sind und gleichbleibend fortgeführt werden, können daher nicht dem Art. 35 Abs. 1 DS-GVO unterliegen.
TÄTIGKEIT DES DATENSCHUTZBEAUFTRAGTEN BEI DER DSFA
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer DSFA unterliegen, haben sie gem. § 38 Abs. 1 Satz 2 BDSG-neu unabhängig von der Anzahl ihrer Beschäftigten einen DSB zu benennen. Welche Rolle hat nun der DSB bei der Durchführung einer DSFA?
Art 35 Abs. 2 DS-GVO ist recht eindeutig: „Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten […] ein.“ Art. 39 DS-GVO, der die Aufgaben des DSB beschreibt, wiederholt: „Dem DSB obliegen zumindest folgende Aufgaben: … c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung“. Damit scheint die Rollenverteilung klar. Der Verantwortliche führt die DSFA durch und der DSB berät und überwacht.
Dass es in der Praxis so nicht funktionieren kann, weiß zumindest jeder, der sich in der Vergangenheit mit dem Vorgängerprozess, der Vorabkontrolle, beschäftigt hat. Hier muss es ein Miteinander des für den Verarbeitungsvorgang Verantwortlichen und dem DSB geben, wobei allerdings die daten- schutzrechtliche Verantwortung zur ordnungsgemäßen Durchführung der DSFA gem. Art. 35 Abs. 1 DS-GVO bei der verantwortlichen Stelle liegt. Der Verantwortliche hat zunächst die Pflicht, den geplanten Verarbeitungsvorgang systematisch zu beschreiben. Für die Bewertungsphase, das heißt für die Einschätzung der Risiken, sollte er sich mit dem DSB beraten, bzw. ihn so früh wie möglich einbeziehen. Beide Funktionen sollten gemeinsam überlegen, welche Maßnahmen geeignet sind, die ermittelten Risiken einzudämmen.
Den Verantwortlichen mit diesen Aufgaben al- leine zu lassen, hieße ihn zu überfordern. Andererseits wäre es aber auch abwegig, die Durchführung einer DSFA insgesamt auf den DSB zu delegieren. Abgesehen davon, dass der DSB zwingend auf Informationen zu dem geplanten Verarbeitungsvorgang angewiesen wäre, bedeutete eine Aufgabendelegierung einen Interessenkonflikt. Denn ein DSB kann seine gesetzliche Überwachungspflicht nicht interessenfrei wahrnehmen bei einer DSFA, die er selbst und alleine durchgeführt hat. Zudem würde eine Delegierung der Durchführung der DSFA auf den DSB der gesetzlich in Art. 35 Abs. 1 DS-GVO festgelegten Rollenverteilung widersprechen, die insoweit dem Verantwortlichen als Aufgabe auf- erlegt ist. Mit Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO die jeweilige natürliche oder juristische Person gemeint, die über die Zwecke und Mitte der Verarbeitung von personenbezogenen Daten entscheidet. Das kann nicht der DSB sein, dessen Aufgaben in Art. 39 DS-GVO klar umrissen sind. Hier sind also Verantwortlicher und DSB aufgerufen, in einer abgestimmten und kooperativen Vorgehens- weise den Prozess der DSFA zu beginnen und iterativ durchzuführen. Dabei sind gegebenenfalls und idealerweise auch die Meinungen der betroffenen Personen oder ihrer Vertreter, z. B. Gremien der Mitbestimmung, einzuholen.