Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutorAutorAutor

Neue Guidelines für die Datenschutz-Folgenabschätzung

Datum: 
10. Mai 2017

Art 29 Datenschutzgruppe gibt erste Anleitungen

Die Datenschutz-Folgenabschätzung ("Privacy Impact Assessment", kurz "PIA") als Kernstück der Datenschutzgrundverordnung erfordert in der Praxis den größten Umsetzungsbedarf und –aufwand bei den Verantwortlichen. Allerdings sind noch immer viele Details unklar und daher Fragen offen. Auf Basis des Entwurfs der ISO/IEC 29134 haben wir uns bereits im Jänner im Rahmen eines Clarity Talks ausführlich mit dieser Thematik beschäftigt und erste praktische Tipps gegeben. Nun hat sich auch die aus Vertretern aller EU-Datenschutzbehörden zusammengesetzte Art 29 Datenschutzgruppe zur Folgenabschätzung geäußert und Auslegungshilfen bereitgestellt. Wir haben uns die aktuelle Stellungnahme im Detail angesehen und die wichtigsten Erkenntnisse für die Praxis (insbesondere zur Frage in welchen Fällen überhaupt eine Folgenabschätzung zu erstellen ist) zusammengefasst und kommentiert:

PIA ist ein laufender Prozess

Einleitend hält die Art 29 Datenschutzgruppe den von uns auch seit langem proklamierten und in der Praxis häufig übersehenen Grundsatz fest, dass die PIA keine einmalige Übung darstellt. Vielmehr handelt es sich um einen laufenden Prozess, der regelmäßig an die dynamischen Datenverarbeitungssysteme angepasst werden muss, um compliant zu sein ("a process for building and demonstrating compliance"). Dieses Verständnis sollte bei der Umsetzung der DSGVO von Anfang an mitberücksichtigt werden.

Für welche Verarbeitungsvorgänge ist eine PIA erforderlich?

Eine Folgenabschätzung ist nicht für jede Datenverarbeitung durchzuführen. Es kommt – anders als beim Verfahrensverzeichnis – auch nicht auf die Größe oder Mitarbeiterzahl des Unternehmens an. Vielmehr ist der konkrete Verarbeitungsvorgang zu beurteilen. Nach Art 35 DSGVO ist eine PIA immer dann zu erstellen, wenn ein "voraussichtlich hohes Risiko für die Rechte und Freiheiten" der Betroffenen besteht. Beispielhaft zählt die DSGVO selbst einige Verarbeitungsvorgänge auf, die eine Folgenabschätzung erfordern (insb Profiling, Verarbeitung sensibler Daten und die Überwachung öffentlicher Bereiche). Auf Basis des verklausulierten Auffangtatbestandes mit dem "voraussichtlich hohen Risiko" geht die Art 29 Datenschutzgruppe davon aus, dass in folgenden exemplarischen Fällen eine PIA zu erstellen ist:

 

Beispiele der Art 29 Gruppe

Kurz-Anmerkung DORDA

Beurteilung der Kreditwürdigkeit (Kreditscoring)

Dieser Anlassfall ergibt sich direkt aus dem Wortlaut der DSGVO und ist damit wenig überraschend.

Employee Monitoring

Die Beobachtung und darauf basierende Beurteilung von eigenen Mitarbeitern wird schon bisher von der Datenschutzbehörde sehr kritisch beurteilet. Daher ist es auch in diesem sensiblen Bereich durchaus stringent eine PIA zu verlangen.

Erstellung von Nutzer- oder Marketingprofilen anhand der Interkation mit einer Website

Dieses allgemeine, undifferenzierte Beispiel ist aus unserer Sicht zu weitgehend: Tatsächliches Profiling erfordert nach dessen Definition in Art 4 lit 4 eine Bewertung der beobachteten Aspekte, die in der Folge für Analyse- oder Vorhersagezwecke verwendet wird. Dies trifft also auf Marketingprofile im klassischen Sinne zu. Sonstige Nutzerinteraktionen mit der Website, die lediglich zum Zweck der Verbesserung der eigenen Services bzw der Performance der Website verarbeitet werden, sollen davon jedoch aus unserer Sicht nicht im selben Ausmaß umfasst sein.

Verwaltung von Patientendaten

Da Gesundheitsdaten besondere Kategorien von Daten darstellen, ist in diesen Fällen jedenfalls eine PIA zu erstellen. Dies ist gerade für Unternehmen aus dem Healthcare Bereich von besonderer Relevanz.

Verarbeitung von Daten mit einem potentiell erhöhten Risiko für die Betroffenen: Daten über elektronische Kommunikation, Standortdaten und Finanzdaten/Zahlungsinformationen (da betrugsanfällig)

Auch dieses Beispiel ist aus unserer Sicht zu weit gefasst: Nahezu für jede Geschäftsabwicklung im Online-Bereich ist die Verarbeitung von Finanzdaten bzw Zahlungsinformationen erforderlich. Dementsprechend wäre für jede Basic-Kundendatenbank, die heute von der Standardanwendung SA 001 gedeckt wäre, eine PIA durchzuführen. In der Praxis wird daher eine Differenzierung erforderlich und zulässig sein.

Datenverarbeitungen, die besonders schutzbedürftige ("vulnerable") Personen betreffen, wie zB Arbeitnehmer (HR Management Tool), Kinder, Senioren oder Patienten

Obwohl der Ansatz grundsätzlich nachvollziehbar ist, führt die generische Auflistung von Arbeitnehmern in der Praxis dazu, dass sämtliche – auch inhaltlich unkritische – HR-Tools einer separat durchzuführenden PIA unterliegen. Wiederum wäre damit auch die derzeit bestehende Standardanwendung SA 002 vollumfänglich umfasst. Auch hier ist wohl eine differenzierte Betrachtungsweise angebracht.

Datentransfer an Empfänger außerhalb der EU

Anders als bei den obigen Beispielen, nimmt die Art 29 Gruppe hier selbst eine praxisnahe Einschränkung vor, da jeweils die konkreten Umstände des Datentransfers zu berücksichtigen sind (wie zB die betroffenen Datenarten oder das konkrete Drittland).

 

Aus dem Gesamtkontext zeigt sich, dass die in der Art 29 Datenschutzgruppe vertretenen Datenschutzbehörden ein sehr weites Verständnis hinsichtlich der notwendigen Durchführung der PIA haben. Dies macht es in der Praxis freilich für die Rechtsunterworfenen schwieriger, eine belastbare Entscheidung zu treffen, für welche Datenanwendungen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Umso relevanter werden daher die in der DSGVO vorgesehenen Black und White Lists für die tatsächliche praktische Umsetzung sein. Diese Listen, die Datenanwendungen in PIA-pflichtig und PIA-frei einteilen, sind von den Aufsichtsbehörden – wohl erst ab dem 25.5.2018 – zu erstellen. Daher wird bei der Prüfung der Frage, ob und in welcher Granularität eine PIA durchzuführen ist, auch immer auf die konkreten Umstände des Einzelfalles abzustellen sein. Umso wichtiger ist daher eine belastbare Entscheidungsfindung im Unternehmen auf Basis des zu erstellenden Verfahrensverzeichnisses. Richtig ist wohl der Hinweis der Art 29 Datenschutzgruppe, dass – nicht zuletzt auch aus Haftungsgründen – im Zweifel eine PIA zu erstellen ist. Erfahrungsgemäß sichert das nicht nur die Compliance, sondern dient auch in vielen Fällen der Bereinigung der Datenverarbeitungen (Entfernen gar nicht benötigter Daten sowie von brach liegenden "Datenfriedhöfen").

Wer erstellt die PIA?

Die Art 29 Datenschutzgruppe bestätigt die von uns bereits im Rahmen unserer Veranstaltungen vertretene Ansicht zum Vorgehen bei der Erstellung der PIA: Nach dem klaren Wortlaut der DSGVO hat der Verantwortliche die Folgenabschätzung – entweder selbst oder unter Zuhilfenahme Dritter – zu erstellen. Dabei muss er den "Rat" des Datenschutzbeauftragten einholen, sofern einer bestellt ist. Da der Kläger nicht zugleich Richter sein kann, ist der Datenschutzbeauftragte bereits im Umkehrschluss denklogisch nicht Ersteller der PIA sondern vielmehr Beratungs- und Kontrollinstanz.

Etwaige Auftragsverarbeiter (bisher "Dienstleister") sind aus Praktikabilitätsgründen entsprechend rechtzeitig einzubeziehen, da diese meist über das technische Know-How und Detailwissen informiert sind.

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.