Das neue Datenschutzrecht, vor allem Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG), ist seit dem 25.5.2018 verbindlich. Es muss aber noch so manches Wichtige geregelt werden. So hat kürzlich die Datenschutzkonferenz eine „Muss-Liste“ zur Datenschutz-Folgenabschätzung (DSFA), die sogenannte „DSFA-Muss-Liste“, veröffentlicht.
„DSFA-Muss-Liste“: Was es ist und wofür es benötigt wird
Ähnlich wie die Vorabkontrolle nach § 4d Abs. 5 des alten BDSG zielt die DSFA darauf ab, die Risiken für das Persönlichkeitsrecht des Betroffenen und den Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) an sich zu bewerten und durch geeignete Gegenmaßnahmen zu reduzieren.
Grundsätzlich gilt: Beabsichtigt Ihr Unternehmen eine Verarbeitung personenbezogener Daten und birgt diese ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen, sprich für den Schutz ihrer personenbezogenen Daten, müssen Sie zwingend eine DSFA anhand der DSFA-Liste durchführen.
Wann die DSFA notwendig ist, ergibt sich insbesondere aus der DSGVO selbst. So können der Einsatz neuer Technologien, aber auch Art, Umfang, Umstände und Zweck einer Verarbeitung zu einem hohen Risiko führen und die Prüfpflicht auslösen (Art. 35 Abs. 1 DSGVO). Darüber hinaus findet sich in Art. 35 Abs. 3 DSGVO ein Katalog an Fällen, in denen der Gesetzgeber davon ausgeht, dass die betreffenden Verarbeitungen mit einem voraussichtlich hohen Risiko verbunden sind. Auch hier ist eine Datenschutz-Folgenabschätzung (DSFA) notwendig. Dies ist etwa bei systematischer Überwachung der Fall oder wenn umfangreich besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) verarbeitet werden sollen.
Die im Juli 2018 veröffentlichte „DSFA-Muss-Liste“ der deutschen Datenschutzkonferenz, des Abstimmungsgremiums der deutschen Datenschutzaufsichtsbehörden, geht auf eine gesetzliche Regelung in der DSGVO zurück. Nach Art. 35 Abs. 4 Satz 1 DSGVO erstellt und veröffentlicht die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge, für die gemäß Art. 35 Abs. 1 DSGVO eine DSFA durchzuführen ist.
„Muss-Liste“ zur Datenschutz-Folgenabschätzung – der Inhalt
Die von der Datenschutzkonferenz veröffentlichte Liste für die Datenschutz-Folgenabschätzung (DSFA) umfasst 16 Verfahrenskategorien. Dort steht, dass beispielsweise in diesen Fällen eine DSFA erforderlich ist.
Nummer 1 der „DSFA-Muss-Liste“
Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich bei der „umfangreichen Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt.“
So deuten Sie den Listeneintrag für Ihre Datenschutz-Folgenabschätzung (DSFA): Werden etwa viele Gesundheitsdaten verarbeitet, ist eine DSFA erforderlich. Das ergibt sich eigentlich schon aus Art. 35 Abs. 3 Buchst. b DSGVO. Allerdings wird in Nummer 1 der „DSFA-Muss-Liste“ die Prüfpflicht auch auf Daten erweitert, die etwa einem Berufsgeheimnis unterliegen, aber nicht als Gesundheitsdaten anzusehen sind. Gerade in Rechtsanwalts- oder Steuerberatungskanzleien kommen solche Daten vor. Als Beispiel sind in Nummer 1 der „DSFA-Muss-Liste“ große Anwaltskanzleien genannt. Für Datenschutzbeauftragte in großen Unternehmen ist wichtig: Gibt es eine große Rechtsabteilung oder etwa Steuerberater im Controlling oder in der Steuerabteilung, müssen deren Verarbeitungen ggf. im Rahmen einer DSFA auf den Prüfstand gestellt werden.
Nummer 6 der „DSFA-Muss-Liste“
Eine Datenschutz-Folgenabschätzung (DSFA) ist außerdem erforderlich bei der „Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden.“
So deuten Sie den Listeneintrag für Ihre Datenschutz-Folgenabschätzung (DSFA): Kommt es zu umfangreichen Verarbeitungen im Unternehmen, die auf die Kontrolle des (Arbeits-)Verhaltens der Beschäftigten abzielen oder diese möglich machen, müssen Sie eine DSFA durchführen. Nummer 6 der „DSFA-Muss-Liste“ führt als Beispiel die zentrale Aufzeichnung des Internet- und E-Mail-Verkehrs auf. Denkbar ist dies im Zusammenhang mit sogenannten Data-Loss-Prevention-Systemen, die etwa das unerlaubte Kopieren von schützenswerten Informationen (z. B. Betriebs- und Geschäftsgeheimnisse) verhindern oder aufdecken sollen. Aber auch das Lokalisieren von Beschäftigten (z. B. mittels GPS-Ortung) ist DSFA-pflichtig. Dies auch dann, wenn es eigentlich um den Schutz von Werten oder der Beschäftigten selbst geht. Unter Nummer 6 der „DSFA-Muss-Liste“ dürfte aber auch der Einsatz heimlicher Videoüberwachung fallen. Denkbar ist auch der Einsatz von Mitteln, die das Arbeitsverhalten überwachen sollen, etwa von Keyloggern, die jede Tastatureingabe oder Bildschirminhalte aufzeichnen.
DSFA-Muss-Liste“ wird voraussichtlich ergänzt
Die „DSFA-Muss-Liste“ umfasst in der Version 1.0 vom 10.7.2018 16 Verarbeitungssituationen. Es ist sehr wahrscheinlich, dass weitere Fälle hinzukommen und damit die Liste erweitert wird. Schauen Sie daher ab und an auf die Webseite der Datenschutzkonferenz (www.datenschutzkonferenz-online.de) und verwenden Sie für Ihre Beratung stets die neueste Version der „DSFA-Muss-Liste“.
Probleme der „DSFA-Muss-Liste“
Bei Datenschützern und Datenschutzjuristen heiß diskutiert ist ein wichtiges Merkmal, von dem die Entscheidung über die Erforderlichkeit einer DSFA abhängen kann. Oftmals ist nämlich erforderlich, dass es zu einer „umfangreichen“ Verarbeitung kommt. Was genau damit gemeint ist und wo die Grenze zum „nicht umfangreichen“ Verarbeiten gegeben ist, ergibt sich weder aus der DSGVO selbst noch aus Stellungnahmen der Datenschutzaufsichtsbehörden. Gerade die Erwägungsgründe, insbesondere Erwägungsgrund 91 zur DSGVO, helfen nicht wirklich weiter. Auch dort wird nur unsauber von einer „großen Zahl von Personen“ gesprochen. Bei der Videoüberwachung sieht der Erwägungsgrund 91 nur die „weiträumige Überwachung“ öffentlich zugänglicher Bereiche als DSFA-relevant an.
Praxisinfo: Auch der Blick in das Kurzpapier Nr. 5 der Datenschutzkonferenz zur DSFA (https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf) hilft Ihnen nicht wirklich weiter. Dort wird lediglich angekündigt, dass zur Durchführung der „Schwellwertanalyse“ künftig Hinweise zur Verfügung gestellt werden. Wann diese kommen, ist unklar.
Datenschutz-Folgenabschätzung (DSFA): Das Bußgeldrisiko
Nähern Sie sich dem Problem mit dem gesunden Menschenverstand. Haben Sie den Eindruck, dass eine Verarbeitung über das normale Maß hinausgeht und Sie in diesem Zusammenhang von „viel“ sprechen würden, dürften Sie nicht falschliegen, wenn Sie die Durchführung einer DSFA empfehlen. Ohnehin sollten Sie zu Folgendem raten: Weil ein schmerzhaftes Bußgeld drohen kann, wenn Sie eine erforderliche DSFA nicht durchführen, sollten Sie diese im Unternehmen im Zweifel lieber immer machen. Das ist zwar mit Arbeit verbunden. Doch der Aufwand ist im Hinblick auf das Bußgeldrisiko gering.
Datenschutz-Folgenabschätzung (DSFA) im Unternehmen
Nutzen Sie die Veröffentlichung der „DSFA-Muss-Liste“ als Aufhänger, um das Thema DSFA bei den zuständigen Stellen im Unternehmen wieder ins Gedächtnis zu rufen. Schon eine kurze E-Mail mit der „DSFA-Muss-Liste“ der Datenschutzkonferenz kann hierzu ausreichen. Wir haben für Sie eine Muster-E-Mail für Informationen zur „DSFA-Muss-Liste“ erstellt, die Sie unter premium.vnr.de/datenschutz-aktuell herunterladen können. Außerdem finden Sie die „DSFA-Muss-Liste“ der Datenschutzkonferenz unter folgendem Link: https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/DSFA-Muss-Liste-1_0.pdf.