Für welche Verfahren eine Datenschutz-Folgenabschätzung durchzuführen ist, war lange unklar. Die polnische Aufsichtsbehörde hat nun eine Liste mit Prozessen, für die eine Folgenabschätzung durchzuführen ist, vorgelegt und bis Ende diesen Monats zur Diskussion gestellt.
Der Inhalt im Überblick
Was ist eine Datenschutz-Folgenabschätzung?
Was sich hinter dem Begriff verbirgt, haben wir in unserem Artikel „Datenschutz-Folgenabschätzung: was ist das überhaupt?“ geschildert.
Art. 35 Abs. 1 DSGVO legt fest, dass eine Folgenabschätzung, englisch „Privacy Impact Assessment (PIA)“, immer dann durchzuführen ist, wenn:
„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Das Gesetz führt dabei auch einige Verarbeitungstätigkeiten, wie z.B. die Videoüberwachung auf, für die in jedem Fall ein PIA durchzuführen ist.
Black- und Whitelist
Nach Art. 35 Abs. 5 DSGVO sind die Aufsichtsbehörden dazu ermächtigt, eine Liste der Verarbeitungsprozesse zu veröffentlichen, die eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzungen auslöst.
Bisher haben sich wenige Datenschutz-Aufsichtsbehörden dazu geäußert. Allerdings wurde bereits von der Art-29-Datenschutzgruppe, dem Zusammenschluss der europäischen Aufsichtsbehörden, Richtlinien zur Folgenabschätzung erlassen, die Kriterien für die Durchführung der PIA festlegt. Nun hat kurz vor den Osterfeiertagen die polnische Datenschutz-Aufsichtsbehörde eine Black- und Whitelist, mit Vorschlägen für Verarbeitungstätigkeiten für die eine Folgenabschätzung durchzuführen ist, veröffentlicht. Zuvor hatte Ende Februar bereits auch die belgische Aufsichtbehörde eine solche Liste veröffentlicht.
Polnische Blacklist
Die Liste der polnischen Aufsichtsbehörde umfasst Verarbeitungsvorgänge, sowie Anwendungsbeispiele mit Konkretisierungen der Überbegriffe und eine Aufzählung von Unternehmenssparten die diese Verarbeitungen i.d.R. durchführen. Folgende Verfahren unterfallen demnach u.A. einer Folgenabschätzung:
- Automatische Überwachung der Arbeitszeit (über Zutrittskontrollsysteme mit Proximity Cards).
- Automatische Überwachung der Arbeit der Mitarbeiter (z.B. Intern- und E-Mail-Nutzung).
- Verwendung biometrischer Daten von Mitarbeitern zur Zugangskontrolle oder Arbeitszeitmessung.
- Beurteilung der Mitarbeiter anhand Monitoring ihrer Arbeit am Computer.
- Rekrutierungssysteme, die von Personalagenturen verwendet werden, die Kandidaten mit potenziellen Arbeitgebern abgleichen.
- Whistleblowing-Hotlines für Mitarbeiter.
- Erstellung oder Speicherung von Arbeitsunterlagen in einer zentralen Datenbank (gemeinsam für eine Gruppe von Unternehmen), wenn dies zu einer Übermittlung personenbezogener Daten in ein Drittland führt.
Hauptsächlich sieht die polnische Datenschutzbehörde also die Notwendigkeit einer Folgenabschätzung für Fälle in denen personenbezogene Daten von Arbeitnehmern in großem Umfang verarbeitet werden, in denen besondere Kategorien von personenbezogenen Daten genutzt werden, oder die Daten in ein unsicheres Drittland übertragen werden.
Belgische Black- und Whitelist
Verfahren auf der Blacklist der belgischen Aufsichtsbehörde sind u.A.:
- Verwendung biometrischer Daten zur eindeutigen Identifizierung von Personen in einem öffentlichen Raum.
- Wenn besondere Kategorie personenbezogener Daten für einen anderen Zweck als den, für den sie ursprünglich erhoben wurden, verwendet wird.
- Verarbeitung unter Verwendung eines medizinischen Implantats erfolgt und ein Verstoß die körperliche Gesundheit der betroffenen Person gefährden könnte.
- Umfangreichen Verarbeitung personenbezogener Daten insbesondere Kinder, zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden.
- Wenn die Daten von Dritten erhoben werden, um die wirtschaftliche Situation, die Gesundheit, persönliche Präferenzen oder Interessen etc. des Betroffenen vorherzusagen.
- Wenn besondere Kategorien personenbezogener Daten oder Daten sehr persönlicher Art (wie Daten über Armut, Arbeitslosigkeit, oder Standortdaten) systematisch zwischen mehreren für die Verarbeitung Verantwortlichen ausgetauscht werden.
- Im Zusammenhang mit der Verarbeitung von Daten im Internet der Dinge.
Außerdem enthält die Liste der belgischen Aufsichtsbehörde auch eine Whitelist mit Verfahren, die nicht der PIA unterfallen sollen.
Nächste Schritte
Die polnische Aufsichtsbehörde hat nun die Interessengruppen bis zum 28. April zur Konsultation der Liste eingeladen. Gleichzeitig erwägt die Behörde auch die Veröffentlichung einer Whitelist, bei der die PIA nicht obligatorisch sein soll.
Wir halten Sie weiter auf dem Laufen, wenn weitere Aufsichtsbehörden eine Back- oder Whitelist veröffentlichen.
Die österreichische DSB hat einen Entwurf für eine DSFA-AV (Datenschutzausnahme-Verordnung) versandt, in dem Verarbeitungen iSd Art 35 (4) DSGVO („white list“) genannt sind. Informationen dazu finden sie hier:
https://www.dataprotect.at/2018/04/03/dsfa-white-list-verordnungsentwurf/
Vielen Dank!
Toller Artikel! Leider funktioniert der erste Link jedoch nicht.
Der Link funktioniert nun wieder. Danke für den Hinweis.
Schon mal ein kleiner Anfang. Die Datenschutzbehörden stehen aber vor dem gleichen Problem wie die Datenschutzbeauftragten : Eine Abwägung der verschiedenen Rechtsgüter in Bezug auf mögliche Risiken. Dies ist an sich ein hoch komplexer Akt einer vorgezogenen Bewertung zukünftiger Gerichtsverfahren, in denen solche Abwägungen zum Tagesgeschäft gehören. Hier benötigen wir im Vorfeld mehr Verarbeitungstätigkeiten die in White- oder Blacklists auftauchen, und dies bitte Europa weit – ich denke da wird nicht viel kommen.
Wie sieht die Sache bei einem Reisebüro aus? Wir verarbeiten natürlich die üblichen Daten „besonderer Kategorien“ unserer Mitarbeiter (Religionsbekenntnis, Gewerkschaftszugehörigkeit, Krankmeldungen,…).
Aber auch gewisse sensible Daten, die unsere Kunden bei einer Buchung angeben, wie: Allergien bezügl. Essen, koscheres Menü oder sie brauchen ein behindertengerechtes Zimmer.
Entfällt hier die Pflicht zur Folgeabschätzung, weil es keine „umfangreiche Verarbeitung“ ist?
Ist diesbezüglich relevant, das diese Daten (von Kunden) ab und zu in ein Drittland gehen?
Vielen Dank!
LG
Hinsichtlich der Kundendaten bei Buchungen erscheint es uns im Lichte der entsprechenden Erwägungsgründe als vertretbar, dass es hier keiner Datenschutz-Folgenabschätzung bedarf. Diese soll insbesondere dazu dienen, hohe Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und zu bewerten. Ob bei der Frage nach Präferenzen für ein bestimmtes Essen, die Schwelle für die Erforderlichkeit einer Datenschutz-Folgenabschätzung bereits erreicht bzw. überschritten ist, darf bezweifelt werden. Allein aus der Wahl des Essens lässt sich bspw. nicht zwangsläufig auf die Religionszugehörigkeit oder eine medizinische Indikation schließen. Vielmehr kann es lediglich auch Ausdruck eines bestimmten Geschmacks sein oder aber der Überzeugung entspringen, auf bestimmte Nahrungsmittel zu verzichten.
Ähnliches gilt auch für die Auswahl eines bestimmten Zimmers. Selbst, wenn man hier zu einem anderen Ergebnis kommt, ist mit dem oben gesagten fraglich, ob es sich hierbei um besonders sensible Daten handelt, die nach dem Willen des Gesetzgebers einen höherwertigen Schutz genießen sollen. Insgesamt gilt, dass die gesamte Thematik bisher nicht abschließend geklärt ist, so dass die weitere Entwicklung beobachtet werden muss. Fraglich ist auch, wie sich Deutschland hier positionieren wird, das noch keine Positiv- bzw. Negativlisten veröffentlicht hat.
Anders sieht es hingegen bei der Übermittlung der Daten in ein Drittland aus. Diese Tatsache ist unabhängig von der Frage nach einer Datenschutz-Folgenabschätzung relevant und ein Sachverhalt, über den gesondert informiert werden sollte (s.a. Art. 13 DSGVO).
Anknüpfend an obiges Beispiel, wie sehen Sie die Ausgangslage bei sogenannten Ferienhaus-/Wohnungsvermittlern wie z.B. Airbnb oder booking.com? Dort wird ja über die entsprechende Plattform bspw. ein genau definierter Aufenhaltszeitraum abgespeichert (analog Reisebüro), was ja grds. die Ermittlung des Standortes dieser Personen im betreffenden Zeitraum ermöglichen würde. Zugleich verarbeiten solche Plattformen ja täglich Unmengen an Daten?
Bei der Nutzung einer Plattform oder eines Vermittlers gelten für den Suchenden grundsätzlich die AGB und Datenschutzhinweise des jeweiligen Anbieters. Der einzelne Nutzer hat bei der Buchung in der Regel eine direkte Vertragsbeziehung zum Betreiber der Plattform. Dass dieser dadurch zwangsläufig den Aufenthaltsort erfährt, ist dem Vertrag immanent. Falls die Plattform darüber hinaus aber weitere Daten oder zu anderen Zwecken verarbeitet, sollte sie dies natürlich nur in datenschutzkonformer Art und Weise tun.
Hallo, haben Sie solch eine Liste auf für GB und Bulgarien? Das wäre sehr hilfreich…
Solche sind uns noch nicht bekannt. Wir können daher nur empfehlen, ein Auge auf die Pressemitteilungen der jeweiligen Landesdatenschutzbehörde zu halten.
Die englische Datenschutzbehörde hat sich allgemeiner mit dem Thema hier beschäftigt. Heute hat aber die irische Datenschutzbehörde ihre Positiv- und Negativliste veröffentlicht. Vielleicht helfen diese Ressourcen Ihnen weiter.