Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Zur Unterstützung veröffentlichen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist. Die von der Datenschutzkonferenz (DSK) veröffentlichte gemeinsame Version der deutschen Aufsichtsbehörden liegt mittlerweile in der Version 1.1 vor.
Verarbeitungen, für die eine DSFA erfolgen muss
Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.1 vom 17. Oktober 2018) wurde im Vergleich zur ersten Version vom Juli 2018 teilweise erweitert (Punkte 1 und 2) und ansonsten präzisiert bzw. eingeschränkt. So kam bei einigen Punkten der Liste hinzu, dass die Verarbeitung geeignet sein muss, Betroffene rechtlich oder sonst erheblich zu betreffen. Achtung: Diese Formulierung legt nahe, dass es auf die tatsächliche Absicht des Verarbeitenden nicht ankommen soll. Die abstrakte Eignung an sich reicht aus. Im Ergebnis wurde der Anwendungsbereich der Liste eingeschränkt.
Folgende Verarbeitungstätigkeiten unterliegen der Pflicht einer vorherigen Datenschutz-Folgenabschätzung:
- Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung von Personen, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
- besonders schutzwürdige Personen betrifft
- der systematischen Überwachung dient
- unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
- der Bewertung oder Einstufung (Scoring) dient
- bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
- im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
- Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
- Verarbeitung von genetischen Daten, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
- besonders schutzwürdige Personen betrifft
- der systematischen Überwachung dient
- unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
- der Bewertung oder Einstufung (Scoring) dient
- bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
- im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
- Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
- Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
- Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
- Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, soweit dies entweder in großem Umfang vorgenommen wird oder für Zwecke erfolgt, für die auch nicht direkt bei der betroffenen Person erhobene Daten verarbeitet werden, oder unter Anwendung von Algorithmen erfolgt, welche für die betroffenen Personen nicht nachvollziehbar sind, und die Zusammenführung eine Grundlage dafür bieten kann, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen haben oder diese Personen ähnlich erheblich beeinträchtigen können
- Optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, die in großem Umfang zentral zusammengeführt werden
- Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen, soweit diese von Dritten dazu genutzt werden können, Rechtswirkung gegenüber der bewerteten Person zu entfalten oder diese in ähnlich erheblicher Weise zu beeinträchtigen
- Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung der Arbeitstätigkeit eingesetzt werden können, so dass sich Rechtsfolgen für den Betroffenen ergeben oder ihn in anderer erheblicher Weise beeinträchtigen
- Erstellung umfassender Profile über Interessen, das Netz ihrer persönlichen Beziehungen sowie die Persönlichkeit von Menschen
- Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung dieser Daten, sofern dies in großem Umfang erfolgt oder für Zwecke, für die nicht alle Daten bei der betroffenen Person direkt erhoben wurden, oder wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung erfolgt um bislang unbekannte Zusammenhänge zwischen den Daten zu bislang nicht festgelegten Zwecken zu entdecken (Datamining)
- Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
- Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts oder von Funksignalen, die von solchen Geräten versendet werden, zur Ermittlung von Aufenthaltsorten oder Bewegungen von Personen über einen substanziellen Zeitraum
- Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung von Persönlichkeiten
- Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
- Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte, soweit dies in Bezug auf die Zahl der betroffenen Personen als auch den Angaben je Person nicht nur in Einzelfällen erfolgt
- Die auch nicht umfangreiche Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen
Wie sollte mit der DSFA-Liste umgegangen werden?
In der DSFA-Negativliste der DSK sind einzelne Beispiele mit Erläuterungen enthalten. Sie ist nicht abschließend!
Völlige Klarheit bringt diese Blacklist leider nicht, da ein gewisser Interpretationsspielraum besteht. Insbesondere der in der Liste häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis bislang nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.
Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.
Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden kann. Zur Erinnerung: Lässt sich die Verarbeitung nicht auf eine Rechtsgrundlage stützen, erübrigt sich die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen allein deshalb für grundsätzlich zulässig zu halten, weil sie in dieser Liste enthalten sind!
Dieser aktualisierte Artikel wurde zuerst am 30. Juli 2018 veröffentlicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!