Juli 2018

Die Datenschutz-Grundverordnung (DSGVO) der EU sieht vor, dass die für die Verarbeitung von Personendaten verantwortlichen Stellen eine Datenschutz-Folgeabschätzung (DSFA) durchführen müssen, wenn eine bestimmte Verarbeitung wegen Art, Umfang oder Zweck der Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen verbunden ist. Eine DSFA ist insbesondere notwendig:

  • bei der systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen auf der Basis automatischer Datenverarbeitung, wenn diese als Grundlage von Entscheidungen dient, welche gegenüber den betroffenen Personen Rechtswirkungen haben oder sie in ähnlicher Weise betreffen können;
  • bei umfangreicher Verarbeitung von besonderen Personendaten (z.B. Gesundheitsdaten) oder
  • bei der systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Als weitere konkretisierende Hilfestellung sieht die DSGVO vor, dass die Datenschutz-Aufsichtsbehörden in den einzelnen Mitgliedstaaten Listen erstellen können, in denen festgehalten wird, für welche Arten von Verarbeitungen immer eine DSFA durchzuführen ist («Blackliste») und für welche Verarbeitungen keine DSFA erforderlich ist («Whiteliste»).

Bis jetzt haben insbesondere die Bundesdatenschutzbeauftragte Deutschlands sowie je die Datenschutzbeauftragten der meisten deutschen Bundesländer (jedoch noch ohne Bayern, Bremen, Hamburg, Hessen und Sachsen) Blacklisten publiziert. Weiter hat Polen eine Blackliste veröffentlicht und Belgien je eine Black- und eine Whiteliste. In Irland befindet sich eine Blackliste in Konsultation. In Österreich wurde bisher nur eine Whiteliste veröffentlicht.

Diese Listen sind eine grosse Hilfestellung für alle DSFA-Verantwortlichen bei der Beantwortung der manchmal schwierigen Frage, ob überhaupt beim Einsatz neuer Technologien und Applikationen oder beim Change-Prozess eine DSFA zu erstellen ist oder nicht. Denn wird eine DSFA nicht erstellt, obwohl es notwendig gewesen wäre, wird eine zwingende Dokumentationspflicht verletzt, welche sanktioniert werden kann.

Die Behörden sind im Rahmen der Vorgaben der DSGVO in der Ausgestaltung der Listen frei. So sind selbst in Deutschland die Listen der verschiedenen Bundesländer nicht identisch, wenn sie auch inhaltlich in den wesentlichen Punkten übereinstimmen.

Die Listen sind insbesondere dann aus praktischer Sicht nützlich, wenn sie, wie die Listen der Behörden in den deutschen Bundesländern, nicht nur allgemeine Umschreibungen beinhalten, sondern durch konkrete Beispiele verdeutlichen, wie die generischen Umschreibungen zu verstehen sind. Dies kann an folgenden Beispielen gezeigt werden:

  • Eine DSFA wird bei umfangreichen Verarbeitungen von Standortdaten natürlicher Personen verlangt. Als Beispiele werden in diesem Zusammenhang die Verarbeitung von Standortdaten durch Car-Sharing-Anbieter für die Abrechnung oder die Nutzung von GPS- und WLAN-Daten sowie durch Retailunternehmen für die Analyse der Laufwege und des Einkaufsverhaltens von Besuchern in Einkaufszentren genannt.
  • Ebenfalls ist eine DSFA erforderlich, wenn besondere Personendaten, z.B. Gesundheitsdaten, unter Einsatz von Telekommunikationsmitteln für die Behandlung verarbeitet werden, wie z.B. beim Einsatz von Telemedizin-Lösungen oder bei Arztsprechstunden über das Telefon oder das Internet. Das Gleiche gilt auch für eine zentrale Speicherung von Daten aus Fitness-Wearables und Fitness-Apps.
  • Werden besondere Personendaten in grosser Zahl anonymisiert und an Dritte zur Verarbeitung weitergegeben, etwa Gesundheitsdaten, welche für Forschungszwecke anonymisiert werden, so erfordert dies ebenfalls eine DSFA.
  • Die Aufzeichnung der Internetnutzung von Mitarbeitenden in Unternehmen erfordert ebenfalls eine DSFA, z.B. im Zusammenhang mit Data-Loss-Prevention-Systemen oder um sonst unerwünschtes Verhalten feststellen zu können.             

Diese Listen sind eine wesentliche Erleichterung auch für diejenigen Unternehmen in der Schweiz, welche dem EU-Datenschutzrecht unterstellt sind und sich beim Einsatz neuer Technologien und beim Change Prozess jeweils die Frage stellen müssen, ob eine Durchführung einer Risikofolgeabschätzung notwendig ist oder nicht.