Sollen neue Verarbeitungstätigkeiten eingeführt werden, die voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringen, muss eine DSFA gem. Art. 35 DSGVO durchgeführt und anschließend ggf. die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Bei einer DSFA handelt es sich um formelles Verfahren, für das zunächst eine Vorab-Einschätzung des potenziellen Risikos durchgeführt werden muss. Dabei kann sich an der o.a. Herangehensweise bzw. Risiko-Matrix orientiert werden. Wird infolgedessen ein hohes Risiko erkannt, müssen die Voraussetzungen einer DSFA geprüft werden. Dazu bieten sich folgende Prüfungsschritte an:
- Verarbeitung auf Positivliste (Art. 35 Abs. 4)?
- Verarbeitung i.S.v. Art. 35 Abs. 3?
- Hohes Risiko gem. Leitlinien der Art.-29-Gruppe?
Auf der sog. Positivliste einer Datenschutzaufsichtsbehörde bzw. der Datenschutzkonferenz (DSK), dem Zusammenschluss der deutschen Aufsichtsbehörden, werden solche Verarbeitungstätigkeiten aufgeführt, die so risikobehaftet sind, dass vor ihrer Einführung auf jeden Fall eine DSFA durchzuführen ist. Auf der DSK-Positivliste für den nicht-öffentlichen Bereich ( www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf) finden sich u.a. folgende Tätigkeiten:
- Verwendung von biometrischen Systemen zur Zutrittskontrolle;
- umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, z.B. in großen Anwaltssozietäten;
- Scoring durch Auskunfteien, Banken oder Versicherungen;
- Inkassodienstleistungen/Forderungsmanagement.
Findet sich die geplante Datenverarbeitung nicht auf der Positivliste, sind anschließend die Voraussetzungen von Art. 35 Abs. 3 DSGVO zu prüfen.
Wenn es sich um eine der nachfolgenden Fälle handelt, ist ebenfalls eine DSFA durchzuführen:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9, 10 DSGVO oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Sind diese Voraussetzungen nicht erfüllt, muss in einem nächsten Schritt das zu erwartende Risiko konkret beurteilt werden, und zwar sinnvollerweise anhand der Kriterien aus den Leitlinien der sog. Art.-29-Gruppe (Working Paper Nr. 248).
Sofern mind. zwei der nachfolgend aufgeführten Kriterien vorliegen, ist von einem hohen Risiko und dementsprechend von einer DSFA-Pflicht auszugehen:
- Evaluierung- oder Scoring-Maßnahmen
- automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)
- systematische Beobachtung von Betroffenen
- Verarbeitung besonderer Kategorien personenbezogener Daten
- in großem Umfang verarbeitete personenbezogene Daten
- Abgleich bzw. Kombination versch. Datensätze
- personenbezogene Daten verletzlicher Datensubjekte
- Einsatz neuartiger Lösungen/Technologien
- Übermittlung personenbezogener Daten in Drittstaaten
- Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst/Vertrag zu nutzen.
Sofern im Einzelfall eine DSFA durchgeführt werden muss, sind darin gem. Art. 35 Abs. 7 DSGVO folgende Aspekte zu beschreiben:
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Praxistipp:
Bei der Umsetzung einer DSFA in die Praxis kann das von der französischen Aufsichtsbehörde bereitgestellte PIA-Tool genutzt werden ( www.cnil.fr/en/privacy-impact-assessment-pia ). Es steht u.a. auch in deutscher Sprache zur Verfügung und ist kostenfrei.