15.2.3 Neue Listen für kritische IT-Verfahren
Die DSGVO verlangt von den Verantwortlichen, die
Risiken abzuschätzen, die sich aus einer geplanten Verarbeitung personenbezogener Daten für die Rechte und
Freiheiten der Betroffenen ergeben. Folgt aus dieser
Abschätzung, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur
Folge hat, etwa weil besonders sensible Daten davon
erfasst werden, so sind die Verantwortlichen verpflichtet, eine ausführliche Abschätzung dieser Folgen durchzuführen und deren Ergebnisse, in einer sogenannten
Datenschutz-Folgenabschätzung zu dokumentieren.
Für bestimmte Klassen von Verarbeitungstätigkeiten ist
bereits in der DSGVO selbst festgelegt, dass für sie stets
eine Datenschutz-Folgenabschätzung durchgeführt wer‑
den muss, etwa bei einer systematischen umfangreichen
Überwachung öffentlich zugänglicher Bereiche. Die DS‑
GVO verpflichtet außerdem die Datenschutzaufsichtsbe‑
hörden, über die bereits in der DSGVO selbst enthaltene
Aufzählung hinaus eine Liste von Verarbeitungsvorgän‑
gen zu erstellen, für die in jedem Fall eine solche Daten‑
schutz-Folgenabschätzung durchgeführt werden muss
(„Muss-Liste“). Sofern die betreffenden Verarbeitungsvor‑
gänge einen „grenzüberschreitenden Charakter“ haben,
weil sie beispielsweise zu einem Angebot von Waren
oder Dienstleistungen gehören, das sich an Personen aus
mehreren EU-Mitgliedstaaten richtet, muss die betref‑
fende Liste dem Europäischen Datenschutzausschuss
(EDSA) vorgelegt werden, der eine Stellungnahme zu der
Liste abgibt und gegebenenfalls Änderungen an der Liste
fordern kann. Ziel ist es, im Rahmen des sog. Kohärenz‑
verfahrens eine einheitliche Anwendung der DSGVO in
allen EU-Mitgliedsstaaten sicher zu stellen.
Bereits vor Inkrafttreten der DSGVO haben die europä‑
ischen Datenschutzaufsichtsbehörden im Rahmen der
Artikel-29-Gruppe ein Leitliniendokument erstellt. Diese
Leitlinien nennen neun Merkmale, die zu einem hohen
Risiko für die davon Betroffenen führen können (vgl. hier‑
zu auch Kriterien zur Datenschutz-Folgeabschätzung).
Treffen für eine Verarbeitung zwei dieser Kriterien zu, so
muss der Verantwortliche in der Regel davon ausgehen,
dass die Verarbeitung ein hohes Risiko für die Betroffenen
mit sich bringt, und ist infolge dessen verpflichtet, eine
Datenschutz-Folgenabschätzung durchzuführen. Für mei‑
ne eigene „Muss-Liste“, die den öffentlichen Bereich der
Bundesverwaltung abdeckt, habe ich die Vorgehensweise
aus dem WP 248 direkt übernommen.
Die deutschen Datenschutzaufsichtsbehörden hatten
im Frühjahr 2018 damit begonnen, eine gemeinsame
„Muss-Liste“ für Verarbeitungstätigkeiten im nicht-öf‑
fentlichen Bereich zu erstellen. Dabei wurden die Krite‑
rien aus dem WP 248 als Ausgangspunkt gewählt, jedoch
106
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
besteht die gemeinsame „Muss-Liste“ der deutschen
Datenschutzaufsichtsbehörden aus einer Aufzählung
konkret beschriebener Arten von Verarbeitungstätigkei‑
ten. Diese gemeinsame Liste der deutschen Datenschut‑
zaufsichtsbehörden hat inzwischen auch das Kohärenz‑
verfahren im EDSA durchlaufen und wurde aufgrund
der Stellungnahme des EDSA geringfügig angepasst.
Nach dem Stichtag 25. Mai 2018 haben außer den
deutschen auch der Großteil der anderen europäischen
Datenschutzaufsichtsbehörden für ihre jeweiligen
„Muss-Listen“ das Kohärenzverfahren initiiert. Die
Auswertung der Listen und Vorbereitung der Stellung‑
nahmen des EDSA erfolgte durch eine Unterarbeitsgrup‑
pe des EDSA. Als wichtigstes Resultat dieses Prozesses
wurde vom EDSA bestätigt, dass das vorhandene Leit‑
liniendokument WP 248 auch für die „Muss-Listen“ der
europäischen Datenschutzaufsichtsbehörden maßgeb‑
lich ist und dass jedes Element einer solchen Liste zwei
der im WP 248 definierten Merkmale aufweisen muss.
Außerdem wurde ein „gemeinsamer Kern“ von Risiko‑
faktoren beschlossen, die jede Datenschutzaufsichtsbe‑
hörde in ihre „Muss-Liste“ aufnehmen muss, um eine
möglichst einheitliche Anwendung der DSGVO in Europa
zu erreichen. Dies betrifft die Verarbeitung biometri‑
scher oder genetischer Daten, jeweils zusammen mit
einem weiteren Kriterium aus dem WP 248.
Die Leitlinien des WP 248 geben zusammen mit den je‑
weiligen „Muss-Listen“ den Verantwortlichen eine relativ
verlässliche Anleitung an die Hand, mit der sie ermitteln
können, ob eine geplante Verarbeitung personenbezoge‑
ner Daten ein hohes Risiko für die Rechte und Freiheiten
der betroffenen Personen darstellt. Trotzdem sei an
dieser Stelle noch einmal darauf hingewiesen, dass für
jede geplante Verarbeitungstätigkeit erneut geprüft wer‑
den muss, ob ein hohes Risiko vorliegt. Es ist durchaus
denkbar, dass auch bei Verarbeitungstätigkeiten, die auf
den ersten Blick keines der Kriterien aus dem WP 248
erfüllen und die auch in keiner „Muss-Liste“ enthalten
sind, ein hohes Risiko vorliegen kann. Die aktuellen
Fassungen der Listen habe ich auf meiner Internetseite
unter www.datenschutz.bund.de veröffentlicht.
Bisher liegen noch keine großen praktischen Erfahrun‑
gen sowohl mit den Kriterien des WP 248 als auch mit
den „Muss-Listen“ vor. Neue technologische Entwicklun‑
gen und Geschäftsmodelle können dazu führen, dass der
Begriff eines möglicherweise hohen Risikos, das eine
Verarbeitung personenbezogener Daten mit sich bringt,
sich verändert. Sowohl das Leitliniendokument WP 248
selbst als auch die auf ihm beruhenden „Muss-Listen“
dürften daher in gewissen Abständen eine Überarbei‑
tung erfahren. Ich werde die Entwicklung auf diesem
Gebiet aufmerksam verfolgen und mich an entsprechen‑
den Überarbeitungsprozessen aktiv beteiligen.