Datenschutzfolgenabschätzung – Überblick der Landesdatenschutzbehörden

Die Artikel 35 und 36 der Datenschutzgrundverordnung (DSGVO) verpflichten Unternehmen und Organisationen unter bestimmten(?) Voraussetzungen eine Datenschutzfolgenabschätzung durchzuführen und ggf. dies auch in Zusammenarbeit mit der zuständigen Landesdatenschutzbehörde. Diese Pflicht besteht, wenn es sich bei der Datenverarbeitung um ein voraussichtlich hohes Grundrechtsrisiko mit sich bringt. Der Artikel 35 DSGVO nennt bereits Fallgruppen, wie “Profiling” oder die “systematische umfangreiche Videoüberwachung”. Die Frage ist jedoch, welche Kriterien gibt es und welche Fallgruppen.

In der Frage nach den Kriterien, wann eine Datenschutzfolgenabschätzung durchzuführen ist, ist bereits in der Literatur durch einige Aufsätze bereits aufgeschrieben oder besser genähert worden. Nun haben sich kurz vor Ende Mai doch drei Landesdatenschutzbehörden (Baden-Württemberg, Bayern, Hamburg) zu der Frage gemeldet. 

Interessant war, dass ich bei einer anderen Behörde mich telefonisch und per Twitter gemeldet habe, aber entweder keine Rückmeldung erhalten habe oder man keine Auskunft zum Verfahren nach Art. 36 DSGVO geben wollte. 

 

Landesbehörden:

Bayern mit Kurzpapier

https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf

 

Baden-Württemberg

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorgängen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf

-> Liste mit betroffenen Branchen und

-> Liste mit betroffenen Datenverarbeitungsvorgänge

Branchen/Verarbeitungen

  • Scoring (Bewerten oder Einstufen)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Systematische Überwachung
  • Vertrauliche oder höchst persönliche Date
  • Datenverarbeitung in großem Umfang
  • Abgleichen oder Zusammenführen von Datensätzen
  • Daten zu schutzbedürftigen Betroffenen (Kindern)
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Verarbeitungstätigkeiten

  • Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt
  • Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden,
    •  für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
    • die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und
    • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können
  • Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche
  • Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen
  • Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen
  • Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern 
    • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden,
    • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
    • die Anwendung von Algorithmen einschließen,für die Betroffenen nicht nachvollziehbar sind, und
    • der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen
  • Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen
  • Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum
  • Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung der Persönlichkeit der Betroffenen
  • Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können
  • Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen
  • Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden.  (z.B. Telemedizin)
  • Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen (z.B. Fitnessarmbänder, Smartphones)

Hamburg

https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20(Entwurf).pdf

 

Weiterhin gibt es auch eine Whitepaper vom Forum Privatheit

Forum Privatheit

www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf