linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Aufsichtsbehörden: Erste Black- und Whitelists für Datenschutz-Folgenabschätzungen

Noch immer ist unklar, für welche Datenverarbeitungsvorgänge eine Datenschutz-Folgenabschätzung gemäß Art. 35 der ab dem 25. Mai geltenden Datenschutz-Grundverordnung (DSGVO) vorgenommen werden muss. Zur Klarstellung dieser Fragen hat der europäische Gesetzgeber die Aufsichtsbehörden in Art. 35 DSGVO zur Erstellung von sog. „Blacklists“ ermächtigt. Diese Listen sollen die Verarbeitungstätigkeiten aufführen, für die eine Datenschutz-Folgenabschätzung obligatorisch ist. 

Guidelines der Artikel-29-Datenschutzgruppe
Bereits im Oktober 2017 äußerte sich die europäische Artikel-29-Datenschutzgruppe zu dieser Thematik und gab erste Leitlinien zur Durchführung einer Datenschutz-Folgenabschätzung bekannt. In dem endgültigen Entwurf veröffentlichte die Arbeitsgruppe u.a. neun Kriterien, die ein hohes Risiko für eine betroffene Person darstellen. Nach Ansicht der Arbeitsgruppe sei bspw. für Verarbeitungen von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), Daten in Verbindung mit Straftaten (Art. 10 DSGVO) oder im Falle eines systematischen Monitorings und Profilings stets eine Datenschutz-Folgenabschätzung durchzuführen.

Black- und Whitelists der Aufsichtsbehörden
Vor kurzem haben nun sowohl die polnische, als auch die belgische Datenschutzbehörde eigene Vorschläge einer Blacklist veröffentlicht. Diese Listen sind noch nicht endgültig und stehen zur Zeit zur Diskussion. Trotzdem dienen sie als erste Anhaltspunkte für die kommenden Vorgaben der Aufsichtsbehörden.

Blacklist der polnischen Aufsichtsbehörde
Laut Auffassung der polnischen Aufsichtsbehörde sollte u.a. für folgende Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung obligatorisch durchzuführen sein:

• Verhaltensanalysen (dazu zählt u.a. das Profiling) zu Zwecken, die potenziell negative Auswirkungen für die betroffene Person haben können (z.B. bei Banken, Versicherungen etc.)
• Automatisierte Entscheidungsfindungen mit rechtlichen, finanziellen o.ä. materiellen Folgen
• Systematische Überwachung von öffentlich zugänglichen Plätzen (dies beinhaltet nicht die Videoüberwachung zum Zweck der Aufdeckung von Straftaten)
• Verarbeitung von besonderen Kategorien personenbezogener Daten und Daten im Hinblick auf Verurteilungen oder Gesetzesverstöße (Achtung: Unter diese Kategorie kann laut Aufsichtsbehörde auch der Einsatz von elektronischen Zutrittskontroll- oder Zeiterfassungssystemen fallen, falls dazu besondere Kategorien personenbezogener Daten, wie z.B. biometrische Daten verarbeitet werden!)
• Jegliche Art umfangreicher Datenverarbeitungen und solcher Verarbeitungen, bei denen die betroffenen Personen daran gehindert werden, ihre Rechte geltend zu machen
• Vergleiche, Beurteilungen und Schlussfolgerungen auf Grund einer Zusammenführung von Daten von verschiedenen Quellen
• Datenweiterleitung an Drittländer

Blacklist der belgischen Aufsichtsbehörde
Ähnlich wie die polnische Behörde hat auch die belgische Aufsichtsbehörde die Kategorien von Verarbeitungstätigkeiten aufgelistet, für die eine Datenschutz-Folgenabschätzung obligatorisch ist.
Dazu zählen u.a.:

• Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung der Person
• Verarbeitung von personenbezogenen Daten zur Entscheidungsfindung bei einem Vertrag (z.B. Dienstleistungsvertrag)
• Verarbeitung von besonderen personenbezogene Daten, die zu einem anderen als dem ursprünglichen Zweck verarbeitet werden, es sei denn es liegt eine Einwilligung der betroffenen Person vor oder es besteht eine ausdrückliche gesetzliche Verpflichtung zur Verarbeitung der Daten
• Verarbeitung mit Hilfe eines medizinischen Implantats, bei der ein Verstoß gegen Datenschutzvorschriften zu medizinischen Konsequenzen für die betroffene Person führt
• Umfangreiche Verarbeitung von Daten schutzbedürftiger Personen, insb. Kinder, für andere Zwecke als ursprünglich vereinbart
• Umfangreiche oder automatisierte Verarbeitungen zur Analyse oder zur Vorhersage der ökonomischen Situation, Gesundheit, Vertraulichkeit o.ä.
• Umfangreiche und/oder systematische Verarbeitung von Daten aus Kommunikationsmedien (z.B. Internet, Telefonie) oder von Metadaten zur Lokalisation von natürlichen Personen
• Systematischer Austausch von personenbezogenen Daten zwischen verschiedenen Verantwortlichen

Whitelist der belgischen Aufsichtsbehörde
Neben der Blacklist hat die belgische Aufsichtsbehörde in einer sog. „Whitelist“ auch die Verarbeitungstätigkeiten genannt, für die eine Datenschutz-Folgenabschätzung explizit nicht erforderlich ist.
Dazu zählen u.a.:

• Verarbeitungen, die zur Erfüllung einer gesetzlichen Verpflichtung erforderlich sind
• Verarbeitungen, die allein Daten betreffen, die zur Administration von Gehältern und Löhnen erforderlich sind, sofern die Daten nur für diesen Zweck verarbeitet werden und allein autorisiertes Personal Zugriff auf diese Daten hat
• Verarbeitungen, die allein Daten betreffen, die zur Administration von Personal erforderlich sind, sofern diese Daten nicht den Kategorien der Art. 9, 10 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten und von Daten über strafrechtliche Verurteilungen und Straftaten) zuzuordnen sind und nur solange, wie die Daten zur Erfüllung des konkreten Zwecks benötigt werden
• Verarbeitungen zum Führen einer Besucherliste (zur Zutrittskontrolle), sofern lediglich bestimmte Daten (wie z.B. Name, geschäftliche Adresse, Arbeitgeber und Funktion des Besuchers, Zeitpunkt des Besuchs etc.) erfasst werden und diese Daten allein zum Zweck der Zutrittkontrolle genutzt werden und nicht länger gespeichert werden als zu diesem Zweck erforderlich.

Abschließende Bemerkungen

Keine der oben genannten Listen ist abschließend. Folglich sollte momentan auch für solche Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung durchgeführt werden, bei denen eine klare Einordnung in Prozesse der Blacklists nicht möglich ist und für die eine Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten von natürlichen Personen führt (Art. 35 Abs. 1 DSGVO). (ll)

Quellen:
Upload auf der Webseite des Datenschutzbeauftragten Hamburgs, 16.04.2018 (abrufbar in englischer Sprache): Ausführungen der europäischen Artikel-29-Datenschutzgruppe

Übersetzung durch die Firma Koblyanska Lewoszewski, 16.04.2018 (abrufbar in englischer Sprache): Ausführungen der polnischen Aufsichtsbehörde

BayLDA: Muster und Erklärungen für kleine Unternehmen und VereineEuGH-Entscheidung zur Verantwortlichkeit von Betreibern einer Facebook-Fanp...