Ab dem 25. Mai 2018 wird das Konzept der Datenschutz-Folgenabschätzung mit der Datenschutz-Grundverordnung (DSGVO) eingeführt. Durch die Ähnlichkeiten mit der in Deutschland bisher in § 4 d Abs. 5 BDSG, Art. 20 DS-RL normierten Vorabkontrolle, dürften die Umstellungsschwierigkeiten in diesem Bereich des Datenschutzes überschaubar bleiben. Eine interessante Neuerung bringt allerdings Artikel 35 der DSGVO.
Der Inhalt im Überblick
Wann sind Verarbeitungsvorgänge ähnlich?
Laut Art. 35 Abs. 1 DSGVO kann die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Risiko anhand einer einzigen Abschätzung vorgenommen werden. Die Datenschutz-Grundverordnung bleibt sich treu und bietet auch an dieser Stelle jede Menge Interpretationsspielraum. Wann sind Verarbeitungsvorgänge ähnlich? Wann besteht ein ähnlich hohes Risiko?
Gemeinsame Anwendung für horizontale Tätigkeit
Interessantes aber wenig Konkretes für einen Interpretationsmaßstab finden wir hierzu in den Erwägungsgründen zur DSGVO. Erwägungsgrund 92 besagt, dass es unter bestimmten Umständen vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein kann, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise, wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.
Art, Umfang, Umstände, Zweck und Risiken
Die Artikel-29-Datenschutzgruppe äußert sich zu der Thematik dahingehend, dass es die Vorschrift erlaube anhand einer einzigen Datenschutz-Folgenabschätzung zugleich mehrere ähnliche Verarbeitungsvorgänge im Hinblick auf die Art, den Umfang, die Umstände, den Zweck und die Risiken zu bewerten. Eine einzelne Datenschutz-Folgenabschätzung könne ausreichend sein, wenn zur Erfassung derselben Art von Daten zum gleichen Zweck eine ähnliche Technologie zum Einsatz komme. Dies könne beispielsweise der Fall sein, wenn verschiedene Gemeindebehörden eine ähnliche Videoüberwachungsanlage einrichteten, oder ein Bahnbetreiber Videoüberwachung an all seinen Bahnhöfen einführen wolle. Denkbar sei auch die Erstellung einer Referenz-Datenschutz-Folgenabschätzung für ähnliche Verarbeitungsvorgänge bei verschiedenen für die Datenverarbeitung Verantwortlichen.
Zurecht interpretiert die Artikel-29-Datenschutzgruppe den Anwendungsbereich des Art. 35 Abs. 1 S. 2 DSGVO damit als sehr weit und knüpft damit an die Zweckmäßigkeit aus vernünftigen und ökonomischen Gesichtspunkten an.
Fazit
Mit Art. 35 Abs. 1 S. 2 DSGVO ist eine Regelung für Fälle gefunden worden, in denen die Erstellung von Folgenabschätzungen für gleichgelagerte Fälle ein Mehr an Aufwand für den Verantwortlichen, aber keinesfalls ein Mehr an Datensicherheit bedeuten würde. Es bleibt zwar abzuwarten, wie Aufsichtsbehörden und Gerichte die Ausnahmeklausel beurteilen werden. Der erkennbare Willen des Gesetzgebers, eine Regelung für praktikablen Datenschutz zu schaffen, wird aber nicht völlig ignoriert werden können. Es bleibt daher zu hoffen, dass einer sinnvollen und praktikablen Auslegung der Regelung der Vorzug vor einer allzu engen Interpretation gegeben wird.
