1. Prüfungsgegenstand – Target of Evaluation (ToE)
Rz. 81
Nach Art. 35 Abs. 1 S. 1 DSGVO soll eine Datenschutz-Folgenabschätzung nur für solche Verarbeitungsvorgänge erfolgen, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Dabei können mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken belastet sein und dementsprechend einer einheitlichen Datenschutz-Folgenabschätzung unterworfen werden (Art. 35 Abs. 1 S. 2 DSGVO).
Rz. 82
Prüfungsgegenstand oder auch das "Target of Evaluation" (ToE) kann sowohl ein Geschäftsprozess als Ganzes oder in wesentlichen Teilen oder lediglich eine einzelne – aus ihrem Einsatzumfeld separierte – Komponente eines Geschäftsprozesses sein. Art. 35 DSGVO adressiert nicht primär die Verarbeitung als solches, sondern die "Form" in der diese vollzogen wird. Nach Art. 35 Abs. 1 S. 1 DSGVO soll eine Datenschutz-Folgenabschätzung in Betracht gezogen werden, wenn neue Technologien zum Einsatz kommen; nach Art. 35 Abs. 3 lit. b) DSGVO ebenso in den Fällen der automatisierten Entscheidungsfindung im Einzelfall und des Profiling oder beim Einsatz von Videoüberwachungstechnologien in öffentlichen Räumen (Art. 35 Abs. 1 lit. c) DSGVO). Die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung ist jedoch keineswegs auf diese Verarbeitungsformen beschränkt, sondern kann grundsätzlich und branchenunabhängig jeden Verantwortlichen, jeden Geschäftsprozess und jede Form der Verarbeitung betreffen. Martin Rost vom ULD Schleswig-Holstein formuliert dies im Rahmen einer Präsentation im September 2016 zutreffend wie folgt:
Zitat
"Im Fokus stehen […] nicht die Folgen aus einer Technik, sondern die Eingriffsintensität eines Verfahren, in dem eine neue Technik eingesetzt wird".
Rz. 83
Die Festlegung des ToE stellt insoweit einen wesentlichen Gesichtspunkt einer jeden Datenschutz-Folgenabschätzung dar. Mit Blick auf den nicht ausschließlichen Technik-Bezug erfordert die Festlegung des ToE eine möglichst genaue Beschreibung des zu prüfenden Geschäftsprozesses und der in dessen Rahmen vollzogenen Verarbeitungsvorgänge unter Berücksichtigung der mit ihnen vom Verantwortlichen verfolgten Zwecke und ihrer jeweiligen Rechtsgrundlagen. Der Arbeitskreis Technik beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz weist darauf hin, dass bei einer Analyse des ToE "immer der Bezug zu den Gesamtverfahren im Auge behalten werden" muss, da nur eine "eine umfassende Darstellung der Annahmen zum Einsatzkontext" sichere Auskünfte über die "erwartbaren Angreiferperspektiven" und die "realen, praxisrelevanten Risiken für die Betroffenen" möglich macht und damit schlussendlich auch allein eine solche Gesamtdarstellung eine Beurteilung der vorzusehenden Sicherungsmaßnahmen und ihrer Angemessenheit ermöglicht.
Rz. 84
Friedewald//Obersteller/Nebel/Bieker/Rost unterscheiden in Ihrem Whitepaper zur Datenschutz-Folgenabschätzung zwischen einer "konkreten" Datenschutz-Folgenabschätzung und einer sog. "generischen" Datenschutz-Folgenabschätzung. Erstere soll die konkrete Verarbeitungssituation des Verantwortlichen betreffen, während letztere (abstrakt) "Technologie, Verfahren oder Komponenten ohne Berücksichtigung eines konkreten Einsatzkontexts" betrachtet, beispielsweise soweit es um die Datenschutz-Folgenabschätzung für ein Softwareprodukt geht, die sich lediglich auf die als "typisch erachteten Szenarien für Einsatzkontexte" und die in der Software selbst angelegten Verarbeitungsmöglichkeiten beschränkt und insoweit den in Art. 25 DSGVO normierten Grundsatz des Datenschutzes durch Technikgestaltung unterstützt. Die Art. 29- Datenschutzgruppe folgt diesem Ansatz in ihrer aktuellen Stellungnahme WP 248.
Rz. 85
Dem Vorschlag von Friedewald//Obersteller/Nebel/Bieker/Rost ist auch insoweit zuzustimmen, als dass vorgeschlagen wird, die konkrete Datenschutz-Folgenabschätzung mit den Ergebnissen generischer Datenschutz-Folgenabschätzung zu kombinieren und– wie in Art. 25 DSGVO vorgesehen – auch die Hersteller von Soft- und Hardwareprodukten, die auf die Verarbeitung personenbezogener Daten abzielen, mit in die Verantwortung zu nehmen. Insbesondere bei umfangreichen Softwareprodukten ist es für den Anwender faktisch kaum möglich, sämtliche, in einem Produkt angelegten Risiken zu ermitteln und entsprechend zu bewerten, sodass er ohnehin auf entsprechende Informationen der Hersteller angewiesen ist, um die "technologiebezogenen" Risiken der Verarbeitung im Rahmen einer konkreten Datenschutz-Folgenabschätzung bewerten und entsprechende Maßnahmen zu ihrer Beseitigung oder Verringerung ergreifen zu können. ToE kann insoweit also eine Software oder ein IT-gestützter Service (Software on Demand, Software as a Service) sein.
Rz. 86
Die Art. 29-Datenschutzgruppe benennt weitere Geschäftsprozesse, die als ToE einer Datenschutz-Folgenabschätzung grundsätzlich in Bet...