Muss-Listen zur Datenschutz-Folgenabschätzung
Überarbeitete Version 1.1 nach Vorlage beim Europäischen Datenschutzausschuss
Unter Geltung der Datenschutz-Grundverordnung (DSGVO) gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.
Die Durchführung der Datenschutz-Folgenabschätzung dient dazu, in einem systematischen Vorgehen geplante Verarbeitungsvorgänge zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und zur Bewältigung dieser Risiken vorab Abhilfemaßnahmen festzulegen.
Grundlage für die vorliegende Liste
Nach Art. 35 Abs. 4 DSGVO erstellt die Aufsichtsbehörde eine Liste von Verarbeitungsvorgängen, für die aufgrund eines voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung durchzuführen ist (so genannte Muss-Liste oder Blacklist).
Die Einträge beruhen auf der Anwendung der entsprechenden Leitlinie der Art.-29-Gruppe (mehr dazu siehe unten). Der Leitlinie sind folgende maßgebliche Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen zu entnehmen (S. 10 ff.):
- Vertrauliche oder höchst persönliche Daten (“Sensitive data or data of a highly personal nature”)
- Daten zu schutzbedürftigen Betroffenen (“Data concerning vulnerable data subjects”)
- Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
- Systematische Überwachung (“Systematic monitoring”)
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
- Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
- Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
- Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)
Sind zwei dieser Kriterien erfüllt, ist in den meisten Fällen eine Datenschutz-Folgenabschätzung durchzuführen. Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist aber auch möglich, dass ein hohes Risiko gegeben ist, wenn nur ein Kriterium erfüllt ist.
Umgang mit der vorliegenden Liste
Ist ein Verarbeitungsvorgang in der Liste aufgeführt, so ist für diesen Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung zu erstellen. Die Liste ist aber nicht abschließend. Wenn ein Verarbeitungsvorgang nicht auf der Liste aufgeführt ist, kann daraus nicht geschlossen werden, dass für diesen Verarbeitungsvorgang keine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist dann zu prüfen, ob einer der Fälle aus Art. 35 Abs. 3 DSGVO oder ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt.
Für Verantwortliche, die prüfen, ob für einen Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich damit folgende Prüfungsreihenfolge:
- Prüfung, ob der Verarbeitungsvorgang auf der vorliegenden Liste genannt ist.
- Wenn der Verarbeitungsvorgang auf der Liste nicht genannt ist, ist zu prüfen, ob für den Verarbeitungsvorgang nach Art. 35 Abs. 3 DSGVO eine DSFA durchzuführen ist.
- Handelt es sich bei dem Verarbeitungsvorgang auch nicht um einen Fall des Art. 35 Abs. 3 DSGVO, dann ist zu prüfen, ob dennoch ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt. Ist dies nicht der Fall, muss keine Datenschutz-Folgenabschätzung durchgeführt werden.
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn eine der dort genannten Bedingungen vorliegt. Mit der vorliegenden Liste wird keine Aussage darüber getroffen, ob für einen Verarbeitungsvorgang eine Rechtsgrundlage vorliegt oder nicht. Ein Eintrag auf der Liste bedeutet daher weder, dass eine Verarbeitung verboten ist, noch dass ein Verarbeitungsvorgang allein auf der Grundlage einer Datenschutz-Folgenabschätzung durchgeführt werden kann.
Die Liste macht es an mehreren Stellen zur Voraussetzung einer hochriskanten Verarbeitung, dass es sich um eine „umfangreiche Verarbeitung“ handelt. Die DSGVO definiert den Begriff nicht, sondern gibt nur in Erwägungsgrund 91 einige Anhaltspunkte. Es ist derzeit nicht möglich, hier konkrete Zahlen festzulegen. Die Art.-29-Gruppe hat jedoch in der oben genannten Leitlinie und in ihrer Leitlinie in Bezug auf Datenschutzbeauftragte Stellung dazu genommen, welche Aspekte bei der Bestimmung einer „umfangreichen Verarbeitung“ zu berücksichtigen sind und nennt Beispiele, die den Verantwortlichen bei der Prüfung helfen.
In der ersten Spalte erfolgt zur einfachen Bezugnahme eine Nummerierung. In der zweiten Spalte findet sich die maßgebliche Beschreibung des Verarbeitungsvorgangs. Fällt ein Verarbeitungsvorgang unter diese Beschreibung, dann ist für ihn eine Datenschutz-Folgenabschätzung durchzuführen. Lässt sich ein Verarbeitungsvorgang nicht unter die zweite Spalte subsumieren, ist nach dem oben dargestellten Schema weiter zu prüfen. Die dritte und die vierte Spalte enthalten lediglich zur Veranschaulichung typische Einsatzfelder und Beispiele für Verarbeitungsvorgänge. Die Spalten 3 und 4 enthalten somit Beispiele, bei denen unter Anwendung der Kriterien der Spalte 2 typischerweise die Durchführung einer DSFA erforderlich sein wird In der Liste für den öffentlichen Bereich konnte auf die dritte und vierte Spalte verzichtet werden.
Führt ein Verantwortlicher hochriskante Verarbeitungsvorgänge aus, ohne vorab eine Datenschutz-Folgenabschätzung durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DSGVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DSGVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DSGVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DSGVO offen.
Hilfestellungen für die Durchführung einer DSFA
Die Konferenz der Datenschutzbehörden des Bundes und der Länder hat im Rahmen ihrer Kurzpapiere zur Umsetzung der DSGVO auch die Kurzpapiere Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Risikobegriff veröffentlicht. Die beiden Kurzpapiere sind neben weiteren hier abrufbar. Auch die Art.-29-Gruppe, ein unabhängiges europäisches Beratungsgremium für den Schutz personenbezogener Daten und die Privatsphäre, hat eine Leitlinie zur Datenschutz-Folgenabschätzung und dem Risikobegriff erstellt. Sie kann hier abgerufen werden.
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich.
Die Liste für den öffentlichen Bereich ist verbindlich aber nicht abschließend.