Verständnis und Management von Datenschutz-Folgenabschätzungen

Im Rahmen der DSGVO müssen Unternehmen nicht nur die hohen Datenschutzstandards einhalten, sondern auch die Bemühungen um die Einhaltung der Vorschriften und die interne Umsetzung der gesetzlichen Anforderungen dokumentieren.

Im Falle von Beschwerden von EU-Kunden oder behördlichen Untersuchungen durch EU-Datenschutzbehörden ist eine umfassende Dokumentation der Schlüssel zur Minderung von Haftungsrisiken. Zu den Dokumentationsanforderungen der Datenschutz-Grundverordnung gehören unter anderem:

Der für die Datenverarbeitung Verantwortliche sollte in der Lage sein, die Einhaltung der Grundsätze der EU-Datenschutzgesetze nachzuweisen.
Je nach Komplexität und datenschutzsensibler Natur der Datenverarbeitung sollte der für die Datenverarbeitung Verantwortliche technische und organisatorische Maßnahmen ergreifen, die es ihm ermöglichen, die Einhaltung der DSGVO insgesamt nachzuweisen.
Beruht die Verarbeitung auf einer Einwilligung (und nicht beispielsweise auf berechtigten Interessen), sollte der für die Verarbeitung Verantwortliche in der Lage sein, den Nachweis zu erbringen, dass die betroffene Person eine gültige Einwilligung erteilt hat.
Der Datenverarbeiter (d. h. ein Anbieter, der personenbezogene Daten im Auftrag seiner B2B-Kunden verarbeitet) sollte in der Lage sein, die Einhaltung seiner Verpflichtungen aus den Datenverarbeitungsverträgen nachzuweisen.
Im Hinblick auf bestimmte Geschäftsvorgänge, die die Verarbeitung personenbezogener Daten beinhalten, müssen die für die Datenverarbeitung Verantwortlichen "Datenschutz-Folgenabschätzungen" durchführen, die die Einhaltung der DSGVO durch die jeweilige Geschäftstätigkeit dokumentieren.

Mit diesem Artikel möchten wir Ihnen einen Überblick darüber geben, was Sie über die letztgenannten "Datenschutz-Folgenabschätzungen" (DPIA) gemäß Artikel 35 DSGVO wissen müssen.

Was ist eine Datenschutz-Folgenabschätzung?

Die Durchführung einer Datenschutz-Folgenabschätzung ist ein Prozess zur Bewertung der Risiken für natürliche Personen, die sich aus Geschäftstätigkeiten ergeben, die die Verarbeitung ihrer personenbezogenen Daten beinhalten (Risikoermittlung), zur Festlegung von Maßnahmen zur Minderung dieser Risiken (Risikomanagement) und zur Überwachung der Umsetzung dieser Maßnahmen und damit zur Gewährleistung der fortlaufenden Einhaltung der DSGVO (Überwachung und Überprüfung). In einer ersten Phase ist die Datenschutzfolgenabschätzung rein intern. Eine Genehmigung der Datenschutzfolgenabschätzung durch die Behörden ist nur erforderlich, wenn sie hohe Risiken aufzeigt, die nicht durch technische und organisatorische Maßnahmen gemindert werden können.

Das DPIA-Verfahren wird meist auf neue Software, Produkte und Mitarbeiterüberwachungsprogramme angewendet. Es kann auch für datengesteuerte Geschäftsmodelle wie Sharing-Economy-Produkte (umfangreiche Verarbeitung von Standort- und Abrechnungsdaten), Gesundheits- und Fitness-Apps oder Ad-Tech-Unternehmen gelten. Es kann auch ein Unternehmen betreffen, das z. B. ein neues System zur Verhinderung von Datenverlusten einführt, das die Aufzeichnung und Analyse des gesamten Online-Verhaltens am Arbeitsplatz erfordert.

Für welche Geschäftstätigkeiten ist eine Datenschutzfolgenabschätzung erforderlich?

Eine Datenschutzfolgenabschätzung ist erforderlich, wenn eine Art der Verarbeitung "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt" (Artikel 35 DSGVO). Die zu berücksichtigenden Risiken können sowohl aus externen Quellen (z. B. Betrug, Identitätsdiebstahl oder Erpressung aufgrund der unbefugten Offenlegung sensibler personenbezogener Daten) als auch aus internen Quellen (z. B. Diskriminierung aufgrund algorithmischer Entscheidungen) resultieren.

Hinsichtlich der unterschiedlichen Rollen von "für die Datenverarbeitung Verantwortlichen" und "Datenverarbeitern" im Rahmen der Datenschutz-Grundverordnung ist zu beachten, dass die DPIA-Anforderung nur für die für die Datenverarbeitung Verantwortlichen gilt. So muss beispielsweise ein Softwareanbieter, der seinen Geschäftskunden Software zur Erkennung von Bedrohungen anbietet, möglicherweise keine Datenschutzfolgenabschätzung durchführen. Es kann jedoch sinnvoll sein, eine produktbezogene Datenschutzfolgenabschätzung als Grundlage für die Anpassung an seine Kunden zu erstellen. Auf dem datenschutzsensiblen EU-Markt kann es ein wertvolles Verkaufsargument sein, darauf vorbereitet zu sein, den Kunden mit einer Datenschutzfolgenabschätzung zu helfen.

Leitfaden der EU-Behörden

Nach den Leitlinien des Europäischen Datenschutzausschusses (EDPB) sollten 9 Kriterien berücksichtigt werden, um zu bestimmen, ob ein interner Geschäftsprozess, eine Softwarelösung oder ein datengesteuertes Produkt einer Datenschutzfolgenabschätzung unterliegt:

• Bewertung oder Scoring, einschließlich Profiling und Vorhersage, insbesondere von Aspekten, die die Arbeitsleistung, die wirtschaftliche Situation, die Gesundheit, die persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Standort oder die Bewegungen der betroffenen Person betreffen - z. B. Verhaltensprofiling für Zwecke des Marketings oder der Leistungsüberwachung von Mitarbeitern.
• Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung - z. B. rein algorithmische Entscheidung darüber, ob ein Vertrag mit einem Verbraucher geschlossen wird.
• Systematische Überwachung: Verarbeitung zur Beobachtung, Überwachung oder Kontrolle der betroffenen Personen - z. B. ein umfassendes CCTV-System für Geschäfte.
• Sensible Daten oder Daten höchstpersönlicher Natur - z. B. elektronische Patientenakten in einem Krankenhaus.
• Daten, die in großem Umfang verarbeitet werden - z. B. umfangreiche Web-Crawler zum Sammeln personenbezogener Informationen von Social-Media-Plattformen.
• Abgleich oder Kombination von Datensätzen, z. B. aus zwei oder mehreren Datenverarbeitungsvorgängen, die zu unterschiedlichen Zwecken und/oder von unterschiedlichen für die Verarbeitung Verantwortlichen in einer Weise durchgeführt werden, die die angemessenen Erwartungen der betroffenen Person übersteigt - z. B. Direktmarketing auf der Grundlage individueller Profilerstellung mit Daten aus verschiedenen Quellen.
• Daten über schutzbedürftige Personen - z. B. Online-Plattformen speziell für Kinder, gezielte Werbung für Personen in schwacher wirtschaftlicher Lage.
• Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen, wie die kombinierte Nutzung von Fingerabdruck- und Gesichtserkennung für eine verbesserte physische Zugangskontrolle usw.
• Wenn die Verarbeitung an sich "die betroffenen Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag in Anspruch zu nehmen" - z. B. bei der Kreditwürdigkeitsprüfung von potenziellen Kunden.

Schwarze Listen der nationalen Behörden

Da der Wortlaut der Datenschutz-Grundverordnung recht weit gefasst ist, wenn es darum geht, die Geschäftstätigkeiten zu definieren, die einer Datenschutz-Folgenabschätzung unterliegen, haben die Aufsichtsbehörden schwarze Listen mit der Art der Verarbeitungsvorgänge veröffentlicht, für die eine Datenschutz-Folgenabschätzung erforderlich ist. Da es sich bei den Behörden um nationale Einrichtungen der EU-Mitgliedstaaten handelt, können die Anforderungen innerhalb der EU unterschiedlich sein.

Sie finden die nationalen Blacklists in der folgenden Linkliste (alle Links führen zu offiziellen Servern). Die Dokumente sind, wenn nicht anders angegeben, in englischer Sprache verfügbar. Die für die Datenverarbeitung Verantwortlichen sollten die schwarzen Listen aller Mitgliedstaaten, in denen sie tätig sind, überprüfen.