Die Artikel-29-Datenschutzgruppe hat einen ersten Entwurf mit Leitlinien zu Datenverarbeitungen herausgegeben, für die Datenschutz-Folgenabschätzungen notwendig sind.
Datenschutz-Folgenabschätzung: Was ist das?
In Art. 35 Abs. 1 DSGVO ist die Pflicht für den Verantwortlichen verankert, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der Verarbeitungsvorgänge für den Schutz personenbezogener Daten vorzunehmen und zu dokumentieren. Diese Pflicht besteht insbesondere dann, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Mit den Grundsätzen der Folgeabschätzung nach der Datenschutz-Grundverordnung (DSGVO) und der daraus resultierenden Pflichten für Unternehmen hat sich bereits unser Artikel „Datenschutz-Folgenabschätzung: Was ist das überhaupt?“ beschäftigt.
Pflicht zur Vorgabe von Leitlinien
Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.
Dieser Verpflichtung ist nun die Artikel-29-Datenschutzgruppe nachgekommen, indem sie einen ersten Entwurf dazu veröffentlicht hat.
Die Artikel-29-Datenschutzgruppe ist ein aufgrund des Artikels 29 der Europäischen Datenschutzrichtlinie 95/46/EG gegründetes Beratungsgremium, dem die Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten, sowie ein Vertreter der Europäischen Kommission angehören.
Zehn Kriterien für die Risikobewertung
In dem nun vorliegenden ersten Entwurf legt das Gremium anhand von Ausführungen und Schemata dar, wann ihrer Ansicht nach zwangsläufig eine Folgenabschätzung durchgeführt werden muss. Dazu nennt die Gruppe zehn Kriterien, die für einen hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sprechen:
- Scoring/Profiling
- Automatische-Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen
- Systematische Überwachung
- Sensible Daten (besondere personenbezogene Daten aus Art. 9 DSGVO)
- Daten die in großem Umfang verarbeitet werden (Kriterium: Anzahl der Betroffenen, Menge der Daten etc.)
- Zusammenführen/ kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden
- Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener
- Einsatz neuer Technologien oder biometrischer Verfahren
- Datentransfer in Länder außerhalb der EU/EWR
- Die Datenverarbeitung hindert Betroffene an der Rechtsausübung
Wann muss eine Folgenabschätzung erfolgen?
Je mehr dieser Kriterien erfüllt sind, desto höher schätzt die Artikel-29-Datenschutzgruppe das Risiko für die Betroffenen ein und halt eine Folgenabschätzung für erforderlich.
Folgende Faustregel ist zu beachten:
„ As a rule of thumb, a processing operation meeting less than two criteria may not require a DPIA due to the lower level of risk, and processing operations which meet at least two of these criteria will require a DPIA.”
Das heißt sind weniger als zwei der oben genannten Kriterien erfüllt, muss nicht unbedingt eine Folgenabschätzung erfolgen.
Dagegen ist eine Folgenabschätzung unter anderem dann nicht notwendig, wenn kein hohes Risiko für die Betroffenen besteht, oder eine Rechtsgrundlage für die Verarbeitung besteht und diese eine Folgenabschätzung als Voraussetzung ausdrücklich nicht nennt. Außerdem werden im Entwurf auch Beispiele aus der Praxis genannt für die eine Folgenabschätzung durchgeführt werden muss. So sollen die Folgen und Risiken der Datenverarbeitung für Betroffene etwa im Rahmen von Mitarbeiterüberwachungsmaßnahmen, oder bei Informationsgewinnung von Social Media-Profilen abgewogen werden.
Die Artikel-29-Datenschutzgruppe stellt auch klar, dass in Zweifelsfällen, wenn eine Abgrenzung schwierig ist, immer eine Folgeabschätzung durchgeführt werden soll. Weiterhin soll eine Abschätzung spätestens nach 3 Jahren wiederholt werden.
Weitere Kriterien möglich
Bis zum 23. Mai 2017 hat die Artikel-29-Datenschutzgruppe ihre Vorschläge zur Diskussion gestellt. So besteht die Möglichkeit, dass weitere Kriterien für die Risikoabschätzung in die Leitlinie mit aufgenommen werden.