Die Datenschutz-Folgenabschätzung nach Art 35. DS-GVO ist Ausdruck des risikobasierten Ansatzes der Datenschutz-Grundverordnung. Ähnlich der bisherigen Vorabkontrolle sollen auf der Grundlage einer Risikoanalyse die Folgen der Verarbeitung abgeschätzt werden, um frühzeitig Schutzmaßnahmen ergreifen zu können. Sie ist für jeden Verantwortlichen zwingend erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat.

Allgemein

Durch die Datenschutz-Folgenabschätzung (DSFA) sind Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen bergen, vorab auf ihre Folgewirkungen für deren Persönlichkeitsschutz – insbesondere des Rechts auf Achtung des Privatlebens (Art. 7 Grundrechtecharta) und dem Schutz personenbezogener Daten (Art. 8 Grundrechtecharta) – zu überprüfen. Ziel ist es, bereits frühzeitig geeignete und angemessene Gegen- und Schutzmaßnahmen in technisch-organisatorischer Hinsicht zu treffen, um die identifizierten Risiken für die Persönlichkeitsrechte der betroffenen Personen eindämmen zu können. Dazu sollen die Datenschutzanforderungen bereits in die den Datenverarbeitungsprozessen zugrunde liegenden Konzepte integriert werden. Durch diese risikobasierte Selbsteinschätzung wird der Verarbeiter strenger in die Verantwortung genommen, als es nach geltendem Recht der Fall ist. Dies kann etwa Videoüberwachungen oder den Umgang mit Gesundheitsdaten betreffen.

Die „Muss-Liste“ nach Art. 35 Abs. 4 DS-GVO

Der LfDI hat als Aufsichtsbehörde nach Art. 35 Abs. 4 DS-GVO die Aufgabe, eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und diese zu veröffentlichen. Diese Liste wird auch als „Muss-Liste“ oder „Blacklist“ bezeichnet. Ziel der Liste ist die Erzeugung von Transparenz, die sowohl der betroffenen Person als auch dem Verantwortlichen zu Gute kommt.

Letztendlich soll die Muss-Liste zur Entscheidungsfindung beitragen, in dem eine Hilfestellung zur Eingruppierung eigener Verarbeitungen (DSFA erforderlich: ja oder nein?) bereitgestellt wird. Die Muss-Liste hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen. Wird eine Verarbeitungstätigkeit in dieser Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass für diese keine Datenschutz-Folgenabschätzung durchgeführt werden müsse. Stattdessen ist es die Aufgabe des Verantwortlichen, nach Art. 35 Abs. 1 und 3 DS-GVO zu prüfen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist.

Die Muss-Liste für Verantwortliche im nicht-öffentlichen Bereich beinhaltet Verarbeitungstätigkeiten, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedsstaaten verbunden sind. Sie unterliegt daher aufgrund von Art. 35 Abs. 6 DS-GVO dem Kohärenzverfahren gemäß Art. 63 DS-GVO.

Auf Grund der Schnelllebigkeit im digitalen Umfeld kann die Muss-Liste nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt.

Die Regelbeispiele nach Art. 35 Abs. 3 DS-GVO

Art. 35 Abs. 3 DS-GVO nennt – als nicht abschließende Aufzählung - drei Regelbeispiele, bei denen eine Pflicht zur Durchführung der DS-FA besteht: Erstens bei der systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, zweitens bei umfangreichen Verarbeitungen besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten sowie drittens bei systematischer und umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Die Schwellwertanalyse

Der Datenschutz-Folgenabschätzung ist die sog. Schwellwertanalyse vorangestellt, mittels der ermittelt wird, ob eine Datenverarbeitung grundsätzlich einem hohen Risiko unterliegt (siehe hierzu Erwägungsrund 75). Um dies im konkreten Fall ermitteln zu können, hat die Artikel-29-Datenschutzgruppe in ihrem Working Paper 248 hierzu folgende neun Kriterien herausgearbeitet:

1. Bewerten oder Einstufen
2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
3. Systematische Überwachung
4. Vertrauliche Daten oder höchst persönliche Daten
5. Datenverarbeitung in großem Umfang
6. Abgleichen oder Zusammenführen von Datensätzen
7. Daten zu schutzbedürftigen Betroffenen
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
9. Fälle, in denen die Verarbeitung an sich die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert 

Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist. Nach Auffassung der Artikel-29-Datenschutzgruppe nimmt die Wahrscheinlichkeit, dass ein Verarbeitungsvorgang ein hohes Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringt und somit eine DSFA erforderlich ist (und zwar unabhängig von den Maßnahmen, die der für die Verarbeitung Verantwortliche ins Auge fasst), im Allgemeinen immer weiter zu, je mehr Kriterien dieser Vorgang erfüllt. In einigen Fällen kann es jedoch vorkommen, dass ein für die Datenverarbeitung Verantwortlicher von der Notwendigkeit einer DSFA ausgehen muss, obwohl der fragliche Verarbeitungsvorgang nur eines dieser Kriterien erfüllt. In dem Working Paper 248 veranschaulichen zahlreiche Beispiele, wie die vorgenannten Kriterien anzuwenden sind. 

Die Durchführung einer Datenschutz-Folgenabschätzung

Führt die Prognose zu dem Ergebnis, dass von der geplanten Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person ausgeht, ist eine Datenschutz-Folgenabschätzung vorzunehmen. Der Mindestinhalt der Folgenabschätzung wird durch Art. 35 Abs. 7 DS-GVO festgelegt:

Nach der systematischen Beschreibung der geplanten Verarbeitungsvorgänge, der Zwecke der Verarbeitung und der Erfassung der berechtigten Interessen des Verantwortlichen dazu, werden die Notwendigkeit und die Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck bewertet. Des Weiteren werden die Risiken für die Rechte und Freiheiten der betroffenen Personen untersucht.

Aufbauend auf dieser Analyse müssen geeignete Abhilfemaßnahmen, insbesondere Garantien, Sicherheitsvorkehrungen und Verfahren getroffen und dokumentiert werden, mit denen die identifizierten Risiken für die Rechte der betroffenen Personen eingedämmt werden können. Der interne Datenschutzbeauftragte soll von dem Verantwortlichen einbezogen werden.

Können aus vertretbaren Gründen keine geeigneten Gegenmaßnahmen getroffen werden, ist nach Art. 36 DS-GVO vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren, deren Aufgabe es nach der DS-GVO unter anderem ist, die Datenschutz-Folgenabschätzung zu überwachen. Eine Verletzung dieser Konsultationspflicht kann mit empfindlichen Geldbußen geahndet werden.

Im Auftrag der französichen Datenschutzaufsichtsbehörde CNIL wurde ein Open-Source-Tool entwickelt, mit dessen Unterstützung eine Datenschutz-Folgenabschätzung (PIA Privacy Impact Asessment) durchgeführt werden kann. Dieses steht für verschiedene Betriebssysteme und in verschiedenen Sprachfassungen unter folgendem Link zur Verfügung: 

https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment