Erste Positivlisten für Datenschutz-Folgenabschätzung veröffentlicht

Fachbeitrag

Für welche Verfahren eine Datenschutz-Folgenabschätzung durchzuführen ist, war lange unklar. Die polnische Aufsichtsbehörde hat nun eine Liste mit Prozessen, für die eine Folgenabschätzung durchzuführen ist, vorgelegt und bis Ende diesen Monats zur Diskussion gestellt.

Was ist eine Datenschutz-Folgenabschätzung?

Was sich hinter dem Begriff verbirgt, haben wir in unserem Artikel „Datenschutz-Folgenabschätzung: was ist das überhaupt?“ geschildert.

Art. 35 Abs. 1 DSGVO legt fest, dass eine Folgenabschätzung, englisch „Privacy Impact Assessment (PIA)“, immer dann durchzuführen ist, wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Das Gesetz führt dabei auch einige Verarbeitungstätigkeiten, wie z.B. die Videoüberwachung auf, für die in jedem Fall ein PIA durchzuführen ist.

Black- und Whitelist

Nach Art. 35 Abs. 5 DSGVO sind die Aufsichtsbehörden dazu ermächtigt, eine Liste der Verarbeitungsprozesse zu veröffentlichen, die eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzungen auslöst.

Bisher haben sich wenige Datenschutz-Aufsichtsbehörden dazu geäußert. Allerdings wurde bereits von der Art-29-Datenschutzgruppe, dem Zusammenschluss der europäischen Aufsichtsbehörden, Richtlinien zur Folgenabschätzung erlassen, die Kriterien für die Durchführung der PIA festlegt. Nun hat kurz vor den Osterfeiertagen die polnische Datenschutz-Aufsichtsbehörde eine Black- und Whitelist, mit Vorschlägen für Verarbeitungstätigkeiten für die eine Folgenabschätzung durchzuführen ist, veröffentlicht. Zuvor hatte Ende Februar bereits auch die belgische Aufsichtbehörde eine solche Liste veröffentlicht.

Polnische Blacklist

Die Liste der polnischen Aufsichtsbehörde umfasst Verarbeitungsvorgänge, sowie Anwendungsbeispiele mit Konkretisierungen der Überbegriffe und eine Aufzählung von Unternehmenssparten die diese Verarbeitungen i.d.R. durchführen. Folgende Verfahren unterfallen demnach u.A. einer Folgenabschätzung:

  • Automatische Überwachung der Arbeitszeit (über Zutrittskontrollsysteme mit Proximity Cards).
  • Automatische Überwachung der Arbeit der Mitarbeiter (z.B. Intern- und E-Mail-Nutzung).
  • Verwendung biometrischer Daten von Mitarbeitern zur Zugangskontrolle oder Arbeitszeitmessung.
  • Beurteilung der Mitarbeiter anhand Monitoring ihrer Arbeit am Computer.
  • Rekrutierungssysteme, die von Personalagenturen verwendet werden, die Kandidaten mit potenziellen Arbeitgebern abgleichen.
  • Whistleblowing-Hotlines für Mitarbeiter.
  • Erstellung oder Speicherung von Arbeitsunterlagen in einer zentralen Datenbank (gemeinsam für eine Gruppe von Unternehmen), wenn dies zu einer Übermittlung personenbezogener Daten in ein Drittland führt.

Hauptsächlich sieht die polnische Datenschutzbehörde also die Notwendigkeit einer Folgenabschätzung für Fälle in denen personenbezogene Daten von Arbeitnehmern in großem Umfang verarbeitet werden, in denen besondere Kategorien von personenbezogenen Daten genutzt werden, oder die Daten in ein unsicheres Drittland übertragen werden.

Belgische Black- und Whitelist

Verfahren auf der Blacklist der belgischen Aufsichtsbehörde sind u.A.:

  • Verwendung biometrischer Daten zur eindeutigen Identifizierung von Personen in einem öffentlichen Raum.
  • Wenn besondere Kategorie personenbezogener Daten für einen anderen Zweck als den, für den sie ursprünglich erhoben wurden, verwendet wird.
  • Verarbeitung unter Verwendung eines medizinischen Implantats erfolgt und ein Verstoß die körperliche Gesundheit der betroffenen Person gefährden könnte.
  • Umfangreichen Verarbeitung personenbezogener Daten insbesondere Kinder, zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden.
  • Wenn die Daten von Dritten erhoben werden, um die wirtschaftliche Situation, die Gesundheit, persönliche Präferenzen oder Interessen etc. des Betroffenen vorherzusagen.
  • Wenn besondere Kategorien personenbezogener Daten oder Daten sehr persönlicher Art (wie Daten über Armut, Arbeitslosigkeit, oder Standortdaten) systematisch zwischen mehreren für die Verarbeitung Verantwortlichen ausgetauscht werden.
  • Im Zusammenhang mit der Verarbeitung von Daten im Internet der Dinge.

Außerdem enthält die Liste der belgischen Aufsichtsbehörde auch eine Whitelist mit Verfahren, die nicht der PIA unterfallen sollen.

Nächste Schritte

Die polnische Aufsichtsbehörde hat nun die Interessengruppen bis zum 28. April zur Konsultation der Liste eingeladen. Gleichzeitig erwägt die Behörde auch die Veröffentlichung einer Whitelist, bei der die PIA nicht obligatorisch sein soll.

Wir halten Sie weiter auf dem Laufen, wenn weitere Aufsichtsbehörden eine Back- oder Whitelist veröffentlichen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

7 Kommentare zu diesem Beitrag

  1. Schon mal ein kleiner Anfang. Die Datenschutzbehörden stehen aber vor dem gleichen Problem wie die Datenschutzbeauftragten : Eine Abwägung der verschiedenen Rechtsgüter in Bezug auf mögliche Risiken. Dies ist an sich ein hoch komplexer Akt einer vorgezogenen Bewertung zukünftiger Gerichtsverfahren, in denen solche Abwägungen zum Tagesgeschäft gehören. Hier benötigen wir im Vorfeld mehr Verarbeitungstätigkeiten die in White- oder Blacklists auftauchen, und dies bitte Europa weit – ich denke da wird nicht viel kommen.

  2. Wie sieht die Sache bei einem Reisebüro aus? Wir verarbeiten natürlich die üblichen Daten „besonderer Kategorien“ unserer Mitarbeiter (Religionsbekenntnis, Gewerkschaftszugehörigkeit, Krankmeldungen,…).
    Aber auch gewisse sensible Daten, die unsere Kunden bei einer Buchung angeben, wie: Allergien bezügl. Essen, koscheres Menü oder sie brauchen ein behindertengerechtes Zimmer.
    Entfällt hier die Pflicht zur Folgeabschätzung, weil es keine „umfangreiche Verarbeitung“ ist?
    Ist diesbezüglich relevant, das diese Daten (von Kunden) ab und zu in ein Drittland gehen?
    Vielen Dank!
    LG

    • Hinsichtlich der Kundendaten bei Buchungen erscheint es uns im Lichte der entsprechenden Erwägungsgründe als vertretbar, dass es hier keiner Datenschutz-Folgenabschätzung bedarf. Diese soll insbesondere dazu dienen, hohe Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und zu bewerten. Ob bei der Frage nach Präferenzen für ein bestimmtes Essen, die Schwelle für die Erforderlichkeit einer Datenschutz-Folgenabschätzung bereits erreicht bzw. überschritten ist, darf bezweifelt werden. Allein aus der Wahl des Essens lässt sich bspw. nicht zwangsläufig auf die Religionszugehörigkeit oder eine medizinische Indikation schließen. Vielmehr kann es lediglich auch Ausdruck eines bestimmten Geschmacks sein oder aber der Überzeugung entspringen, auf bestimmte Nahrungsmittel zu verzichten.

      Ähnliches gilt auch für die Auswahl eines bestimmten Zimmers. Selbst, wenn man hier zu einem anderen Ergebnis kommt, ist mit dem oben gesagten fraglich, ob es sich hierbei um besonders sensible Daten handelt, die nach dem Willen des Gesetzgebers einen höherwertigen Schutz genießen sollen. Insgesamt gilt, dass die gesamte Thematik bisher nicht abschließend geklärt ist, so dass die weitere Entwicklung beobachtet werden muss. Fraglich ist auch, wie sich Deutschland hier positionieren wird, das noch keine Positiv- bzw. Negativlisten veröffentlicht hat.

      Anders sieht es hingegen bei der Übermittlung der Daten in ein Drittland aus. Diese Tatsache ist unabhängig von der Frage nach einer Datenschutz-Folgenabschätzung relevant und ein Sachverhalt, über den gesondert informiert werden sollte (s.a. Art. 13 DSGVO).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.