(Datenschutz-)Folgenabschätzung – Für welche Verarbeitungen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

„Wehret den Anfängen“ oder mit anderen Worten: Prüfen Sie, bevor Sie mit der Verarbeitung personenbezogener Daten beginnen, ob die Verarbeitung hinreichend gerechtfertigt ist.

Das in etwa muss der zugrundeliegende Gedanke des europäischen Gesetzgebers gewesen sein, als beschlossen wurde, Parteien, die neue Formen von personenbezogenen Daten verarbeiten, zur vorherigen Durchführung einer Datenschutz-Folgenabschätzung zu verpflichten.

Die Datenschutz-Folgenabschätzung ist ein neues Instrument, das mit der EU-Datenschutz-Grundverordnung (DSGVO) eingeführt worden ist. Es verpflichtet die Partei, die für die Verarbeitung personenbezogener Daten verantwortlich ist, selbst zu prüfen, ob bestimmte Formen der Datenverarbeitung zulässig sind. Der betreffende Verantwortliche muss in bestimmten Fällen eine Datenschutz-Folgenabschätzung für (neue) Formen der Datenverarbeitung durchführen. Dies ist Fall, wenn personenbezogene Daten mit (neuen) Technologien verarbeitet werden, die ein großes Risiko für den Schutz der Privatsphäre natürlicher Personen mit sich bringen können.

Sonderfälle
Das Voranstehende bezieht sich ausschließlich auf „allgemeine“ Fälle. Die DSGVO nennt auch einige konkrete Fälle, in denen eine Prüfung mittels einer Datenschutz-Folgenabschätzung durchgeführt werden muss.

Eine Datenschutz-Folgenabschätzung ist vor allem in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
  • systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Da auch diese Umschreibung vage ist und dadurch nicht ganz klar ist, wird den nationalen Aufsichtsbehörden durch die DSGVO auch eine Pflicht auferlegt. Die Aufsichtsbehörden müssen nämlich für ihr jeweiliges Land eine Liste der Verarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Für die Niederlande hat die niederländische Datenschutzbehörde (Nederlandse Autoriteit Persoonsgegevens) kürzlich eine solche Liste veröffentlicht.

Liste der Verarbeitungen, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss
Bevor wir die von der niederländischen Datenschutzbehörde gelisteten Verarbeitungsvorgänge nennen, möchten wir noch kurz folgende allgemeine Aspekte anführen:

  • Auch wenn eine Datenschutz-Folgenabschätzung für eine bestimmte Verarbeitung durchgeführt wurde, gilt weiterhin, dass bei der Nutzung der Verarbeitung alle Pflichten aus der DSGVO erfüllt werden müssen.
  • Jeder Verantwortliche, der eine Verarbeitung plant, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, darf erst nach der tatsächlichen Durchführung der Datenschutz-Folgenabschätzung mit der Verarbeitung beginnen.
  • Die Liste ist nicht erschöpfend. Für Verarbeitungen, für die eine der oben angeführten allgemeinen Umschreibungen zutreffend ist, muss ebenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden.
  1. Verdeckte Ermittlungen

Hierbei handelt es sich um verdeckte Ermittlungen (oder Kameraüberwachung), über die diejenigen, gegen die ermittelt wird, im Voraus nicht benachrichtigt werden. Dies kann etwa bei Überwachung durch Privatdetektive, Ermittlungen im Rahmen der Betrugsbekämpfung und Online-Ermittlungen im Rahmen von z. B. möglichen Urheberrechtsverletzungen der Fall sein,

oder bei heimlicher Kameraüberwachung durch Arbeitgeber zur Bekämpfung von Diebstahl und Betrug seitens Arbeitnehmern (auch in Einzelfällen wegen des ungleichen Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber).

  1. Schwarze Listen

Hierbei handelt es sich um so genannte „schwarze Listen“ bzw. Warnlisten, wie sie z. B. von Versicherungen, Gastgewerbebetrieben, Ladenketten und Telekommunikationsanbietern verwendet werden. Hierunter fallen auch schwarze Listen, die sich auf unrechtmäßiges Verhalten von Arbeitnehmern beziehen, etwa in der Pflege oder bei Leiharbeitsunternehmen.

  1. Betrugsbekämpfung

Eingeschlossen sind u. a. Verarbeitungen von besonderen personenbezogenen Daten zur Betrugsbekämpfung, wie etwa von Sozialdiensten oder Betrugsbekämpfungsabteilungen von Versicherungen verwendet.

  1. Kreditscoring

Hierunter fallen Verarbeitungen zur Prüfung oder zur Nutzung von Einschätzungen zur Kreditwürdigkeit natürlicher Personen (z. B. mittels Kreditscoring).

  1. Finanzielle Situation

Gemeint ist hiermit die Verarbeitung oder Beobachtung von finanziellen Informationen, aus denen sich die Einkommens- oder Vermögensposition oder Konsumverhalten von Personen ableiten lassen (z. B. in Bezug auf natürliche Personen mittels Übersichten von Banküberweisungen, von Salden von Bankkonten oder Übersichten von mobilen und Kartenzahlungsvorgängen).

  1. Genetische Personalien

Dies betrifft jede Verarbeitung und/oder Beobachtung genetischer personenbezogener Daten (z. B. DNA-Analysen zur Feststellung personenbezogener Merkmale oder Biodatenbanken).

  1. Gesundheitsdaten

Eingeschlossen ist jede Verarbeitung von Daten über die Gesundheit einer Person, z. B. durch Gesundheitseinrichtungen oder soziale Einrichtungen oder für soziale Dienstleistungen, durch Arbeitsschutzstellen, Wiedereingliederungsstellen und Versicherungen. Darunter fällt auch der umfangreiche elektronische Austausch von Gesundheitsdaten (aber: kleine Arztpraxen und Pflegedienste nimmt die DSGVO ausdrücklich von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung aus).

  1. Kooperationszusammenschlüsse

Gemeint ist die Zusammenarbeit zwischen Kommunen oder anderen Behörden mit anderen öffentlichen oder privaten Parteien, bei der besondere personenbezogene Daten oder sensible personenbezogene Daten (z. B. Daten zu Gesundheit, Sucht, Armut, Schuldenproblemen usw.) ausgetauscht werden, etwa zwischen Sozialarbeitern, Schutzunterkünften oder Informationsschnittstellen.

  1. Kameraüberwachung

Hierunter fällt die Überwachung von öffentlich zugänglichen Bereichen mittels Kameras, Webcams oder Drohnen.

  1. Flexible Kameraüberwachung

Dies bezeichnet die Nutzung flexibler Kameraüberwachung (Kameras auf Kleidung oder Helmen bei der Feuerwehr oder bei Rettungsdiensten oder Dashcams bei Hilfsdiensten).

  1. Überwachung von Arbeitnehmern

Hierunter versteht man die Verarbeitung von personenbezogenen Daten und/oder die Beobachtung der Tätigkeiten von Arbeitnehmern (z. B. die Überwachung von E-Mails und der Internetnutzung, GPS-Systeme in LKW/PKW von Arbeitnehmern oder Kameraüberwachung zur Diebstahl- und Betrugsbekämpfung).

  1. Standortdaten

Dies betrifft die Verarbeitung und/oder Beobachtung von Standortdaten von natürlichen Personen oder Standortdaten, die Rückschlüsse auf natürliche Personen zulassen (z. B. durch Kamerafahrzeuge, Navigationssysteme, Telefone oder die Verarbeitung von Standortdaten von Fahrgästen im ÖPNV).

  1. Kommunikationsdaten

Hierunter versteht man die Verarbeitung und/oder die Beobachtung von Kommunikationsdaten einschließlich Metadaten, die Rückschlüsse auf natürliche Personen zulassen. Eine Ausnahme gilt, wenn die Verarbeitung zum Schutz der Unversehrtheit und Sicherheit des Netzes und des Dienstes des betreffenden Anbieters oder des Endgeräts des Endnutzers notwendig ist.

  1. Internet der Dinge

Dies bezeichnet die Verarbeitung und/oder Überwachung von personenbezogenen Daten, die von Geräten erhoben werden, die mit dem Internet verbunden sind und über das Internet oder auf andere Weise Daten versenden oder austauschen können (z. B. alle Anwendungen des sog. Internets der Dinge, wie etwa Haushaltsgeräte, internetfähiges Spielzeug, Smart Cities, intelligente Energiemesser, medizinische Hilfsmittel usw.).

  1. Profiling

Profiling bezeichnet die weitläufige Beurteilung personenbezogener Merkmale natürlicher Personen mithilfe von automatisierter Verarbeitung zwecks Erstellung von Profilen. Dies geschieht etwa im Zuge der Beurteilung von beruflichen Leistungen, Leistungen von Auszubildenden, Wirtschaftssituation, Gesundheit, persönlichen Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten.

  1. Überwachung und Beeinflussung von Verhalten

Gemeint ist die Verarbeitung personenbezogener Daten, durch die auch über automatisierte Verarbeitung das Verhalten natürlicher Personen überwacht oder beeinflusst wird. Dies betrifft auch die Erhebung und/oder Ermittlung der genannten Daten einschließlich Daten, die erhoben oder ermittelt werden, um Internetnutzern zielgerichtet Werbung anzeigen zu können.

  1. Biometrische Daten

Hierbei handelt es sich um die Verarbeitung und/oder Beobachtung von biometrischen Daten zum Zwecke der Identifizierung natürlicher Personen. Nach der DSGVO ist es grundsätzlich verboten, biometrische Daten zum Zwecke der Identifizierung natürlicher Personen zu verarbeiten. Für die Niederlande gelten gemäß Artikel 29 des niederländischen Ausführungsgesetzes zur DSGVO ergänzende Bedingungen. Danach ist die Verarbeitung biometrischer Daten nur dann zulässig, wenn sie zum Zwecke der Authentifizierung oder Sicherheit dringend notwendig ist.

Obwohl diese Liste den allgemein gehaltenen Wortlaut der DSGVO verdeutlicht, werden in der ausführlichen Fassung der Liste Begriffe verwendet, die näher erläutert werden müssen. Etwa was genau eine „umfangreiche“ Verarbeitung oder „systematische“ Überwachung ist. Diese Begriffe sind in den jeweiligen Dokumenten der europäischen oder nationalen Datenschutzbehörden erläutert.

Weitere Informationen
Sie möchten wissen, ob Sie für Ihre Datenverarbeitung eine Datenschutz-Folgenabschätzung durchführen müssen? Oder haben Sie andere Fragen zur Verarbeitung personenbezogener Daten und/oder zur Durchführung einer Datenschutz-Folgenabschätzung? Dann wenden Sie sich an unser Team Datenschutz. Wir beraten Sie gerne und besprechen mit Ihnen, ob Sie für Ihre Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung durchführen müssen.

Februar 2020

27269 
Ich bin gerne für Sie da
Ruben Veenhuysen
Anwalt
Meist gelesen
  • (Datenschutz-)Folgenabschätzung – Für welche...
  • 7e Deutsch-Niederländische Wirtschaftsforum in...
  • Abweichung vom Ehevertrag auf Grundlage von...
  • Andries Houtakkers nimmt nach Bestellung zum...
  • Arbeitnehmer FAQs

Website feedback

Wij stellen uw mening erg op prijs. Om uw ervaring te verbeteren vragen wij ongeveer 1 minuut van uw tijd om onze website te beoordelen.

You have Successfully Subscribed!