„Wehret den Anfängen“ oder mit anderen Worten: Prüfen Sie, bevor Sie mit der Verarbeitung personenbezogener Daten beginnen, ob die Verarbeitung hinreichend gerechtfertigt ist.
Das in etwa muss der zugrundeliegende Gedanke des europäischen Gesetzgebers gewesen sein, als beschlossen wurde, Parteien, die neue Formen von personenbezogenen Daten verarbeiten, zur vorherigen Durchführung einer Datenschutz-Folgenabschätzung zu verpflichten.
Die Datenschutz-Folgenabschätzung ist ein neues Instrument, das mit der EU-Datenschutz-Grundverordnung (DSGVO) eingeführt worden ist. Es verpflichtet die Partei, die für die Verarbeitung personenbezogener Daten verantwortlich ist, selbst zu prüfen, ob bestimmte Formen der Datenverarbeitung zulässig sind. Der betreffende Verantwortliche muss in bestimmten Fällen eine Datenschutz-Folgenabschätzung für (neue) Formen der Datenverarbeitung durchführen. Dies ist Fall, wenn personenbezogene Daten mit (neuen) Technologien verarbeitet werden, die ein großes Risiko für den Schutz der Privatsphäre natürlicher Personen mit sich bringen können.
Sonderfälle
Das Voranstehende bezieht sich ausschließlich auf „allgemeine“ Fälle. Die DSGVO nennt auch einige konkrete Fälle, in denen eine Prüfung mittels einer Datenschutz-Folgenabschätzung durchgeführt werden muss.
Eine Datenschutz-Folgenabschätzung ist vor allem in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
- systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Da auch diese Umschreibung vage ist und dadurch nicht ganz klar ist, wird den nationalen Aufsichtsbehörden durch die DSGVO auch eine Pflicht auferlegt. Die Aufsichtsbehörden müssen nämlich für ihr jeweiliges Land eine Liste der Verarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Für die Niederlande hat die niederländische Datenschutzbehörde (Nederlandse Autoriteit Persoonsgegevens) kürzlich eine solche Liste veröffentlicht.
Liste der Verarbeitungen, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss
Bevor wir die von der niederländischen Datenschutzbehörde gelisteten Verarbeitungsvorgänge nennen, möchten wir noch kurz folgende allgemeine Aspekte anführen:
- Auch wenn eine Datenschutz-Folgenabschätzung für eine bestimmte Verarbeitung durchgeführt wurde, gilt weiterhin, dass bei der Nutzung der Verarbeitung alle Pflichten aus der DSGVO erfüllt werden müssen.
- Jeder Verantwortliche, der eine Verarbeitung plant, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, darf erst nach der tatsächlichen Durchführung der Datenschutz-Folgenabschätzung mit der Verarbeitung beginnen.
- Die Liste ist nicht erschöpfend. Für Verarbeitungen, für die eine der oben angeführten allgemeinen Umschreibungen zutreffend ist, muss ebenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden.
- Verdeckte Ermittlungen
Hierbei handelt es sich um verdeckte Ermittlungen (oder Kameraüberwachung), über die diejenigen, gegen die ermittelt wird, im Voraus nicht benachrichtigt werden. Dies kann etwa bei Überwachung durch Privatdetektive, Ermittlungen im Rahmen der Betrugsbekämpfung und Online-Ermittlungen im Rahmen von z. B. möglichen Urheberrechtsverletzungen der Fall sein,
oder bei heimlicher Kameraüberwachung durch Arbeitgeber zur Bekämpfung von Diebstahl und Betrug seitens Arbeitnehmern (auch in Einzelfällen wegen des ungleichen Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber).
- Schwarze Listen
Hierbei handelt es sich um so genannte „schwarze Listen“ bzw. Warnlisten, wie sie z. B. von Versicherungen, Gastgewerbebetrieben, Ladenketten und Telekommunikationsanbietern verwendet werden. Hierunter fallen auch schwarze Listen, die sich auf unrechtmäßiges Verhalten von Arbeitnehmern beziehen, etwa in der Pflege oder bei Leiharbeitsunternehmen.
- Betrugsbekämpfung
Eingeschlossen sind u. a. Verarbeitungen von besonderen personenbezogenen Daten zur Betrugsbekämpfung, wie etwa von Sozialdiensten oder Betrugsbekämpfungsabteilungen von Versicherungen verwendet.
- Kreditscoring
Hierunter fallen Verarbeitungen zur Prüfung oder zur Nutzung von Einschätzungen zur Kreditwürdigkeit natürlicher Personen (z. B. mittels Kreditscoring).
- Finanzielle Situation
Gemeint ist hiermit die Verarbeitung oder Beobachtung von finanziellen Informationen, aus denen sich die Einkommens- oder Vermögensposition oder Konsumverhalten von Personen ableiten lassen (z. B. in Bezug auf natürliche Personen mittels Übersichten von Banküberweisungen, von Salden von Bankkonten oder Übersichten von mobilen und Kartenzahlungsvorgängen).
- Genetische Personalien
Dies betrifft jede Verarbeitung und/oder Beobachtung genetischer personenbezogener Daten (z. B. DNA-Analysen zur Feststellung personenbezogener Merkmale oder Biodatenbanken).
- Gesundheitsdaten
Eingeschlossen ist jede Verarbeitung von Daten über die Gesundheit einer Person, z. B. durch Gesundheitseinrichtungen oder soziale Einrichtungen oder für soziale Dienstleistungen, durch Arbeitsschutzstellen, Wiedereingliederungsstellen und Versicherungen. Darunter fällt auch der umfangreiche elektronische Austausch von Gesundheitsdaten (aber: kleine Arztpraxen und Pflegedienste nimmt die DSGVO ausdrücklich von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung aus).
- Kooperationszusammenschlüsse
Gemeint ist die Zusammenarbeit zwischen Kommunen oder anderen Behörden mit anderen öffentlichen oder privaten Parteien, bei der besondere personenbezogene Daten oder sensible personenbezogene Daten (z. B. Daten zu Gesundheit, Sucht, Armut, Schuldenproblemen usw.) ausgetauscht werden, etwa zwischen Sozialarbeitern, Schutzunterkünften oder Informationsschnittstellen.
- Kameraüberwachung
Hierunter fällt die Überwachung von öffentlich zugänglichen Bereichen mittels Kameras, Webcams oder Drohnen.
- Flexible Kameraüberwachung
Dies bezeichnet die Nutzung flexibler Kameraüberwachung (Kameras auf Kleidung oder Helmen bei der Feuerwehr oder bei Rettungsdiensten oder Dashcams bei Hilfsdiensten).
- Überwachung von Arbeitnehmern
Hierunter versteht man die Verarbeitung von personenbezogenen Daten und/oder die Beobachtung der Tätigkeiten von Arbeitnehmern (z. B. die Überwachung von E-Mails und der Internetnutzung, GPS-Systeme in LKW/PKW von Arbeitnehmern oder Kameraüberwachung zur Diebstahl- und Betrugsbekämpfung).
- Standortdaten
Dies betrifft die Verarbeitung und/oder Beobachtung von Standortdaten von natürlichen Personen oder Standortdaten, die Rückschlüsse auf natürliche Personen zulassen (z. B. durch Kamerafahrzeuge, Navigationssysteme, Telefone oder die Verarbeitung von Standortdaten von Fahrgästen im ÖPNV).
- Kommunikationsdaten
Hierunter versteht man die Verarbeitung und/oder die Beobachtung von Kommunikationsdaten einschließlich Metadaten, die Rückschlüsse auf natürliche Personen zulassen. Eine Ausnahme gilt, wenn die Verarbeitung zum Schutz der Unversehrtheit und Sicherheit des Netzes und des Dienstes des betreffenden Anbieters oder des Endgeräts des Endnutzers notwendig ist.
- Internet der Dinge
Dies bezeichnet die Verarbeitung und/oder Überwachung von personenbezogenen Daten, die von Geräten erhoben werden, die mit dem Internet verbunden sind und über das Internet oder auf andere Weise Daten versenden oder austauschen können (z. B. alle Anwendungen des sog. Internets der Dinge, wie etwa Haushaltsgeräte, internetfähiges Spielzeug, Smart Cities, intelligente Energiemesser, medizinische Hilfsmittel usw.).
- Profiling
Profiling bezeichnet die weitläufige Beurteilung personenbezogener Merkmale natürlicher Personen mithilfe von automatisierter Verarbeitung zwecks Erstellung von Profilen. Dies geschieht etwa im Zuge der Beurteilung von beruflichen Leistungen, Leistungen von Auszubildenden, Wirtschaftssituation, Gesundheit, persönlichen Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten.
- Überwachung und Beeinflussung von Verhalten
Gemeint ist die Verarbeitung personenbezogener Daten, durch die auch über automatisierte Verarbeitung das Verhalten natürlicher Personen überwacht oder beeinflusst wird. Dies betrifft auch die Erhebung und/oder Ermittlung der genannten Daten einschließlich Daten, die erhoben oder ermittelt werden, um Internetnutzern zielgerichtet Werbung anzeigen zu können.
- Biometrische Daten
Hierbei handelt es sich um die Verarbeitung und/oder Beobachtung von biometrischen Daten zum Zwecke der Identifizierung natürlicher Personen. Nach der DSGVO ist es grundsätzlich verboten, biometrische Daten zum Zwecke der Identifizierung natürlicher Personen zu verarbeiten. Für die Niederlande gelten gemäß Artikel 29 des niederländischen Ausführungsgesetzes zur DSGVO ergänzende Bedingungen. Danach ist die Verarbeitung biometrischer Daten nur dann zulässig, wenn sie zum Zwecke der Authentifizierung oder Sicherheit dringend notwendig ist.
Obwohl diese Liste den allgemein gehaltenen Wortlaut der DSGVO verdeutlicht, werden in der ausführlichen Fassung der Liste Begriffe verwendet, die näher erläutert werden müssen. Etwa was genau eine „umfangreiche“ Verarbeitung oder „systematische“ Überwachung ist. Diese Begriffe sind in den jeweiligen Dokumenten der europäischen oder nationalen Datenschutzbehörden erläutert.
Weitere Informationen
Sie möchten wissen, ob Sie für Ihre Datenverarbeitung eine Datenschutz-Folgenabschätzung durchführen müssen? Oder haben Sie andere Fragen zur Verarbeitung personenbezogener Daten und/oder zur Durchführung einer Datenschutz-Folgenabschätzung? Dann wenden Sie sich an unser Team Datenschutz. Wir beraten Sie gerne und besprechen mit Ihnen, ob Sie für Ihre Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung durchführen müssen.
Februar 2020
