Kriterien zur Datenschutz-Folgeabschätzung
Das Dokument „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der
Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko
mit sich bringt“ (WP 248) nennt die folgenden neun Kriterien dafür, dass eine Verarbeitung per‑
sonenbezogener Daten ein hohes Risiko für die Betroffenen mit sich bringt:
→→
Bewerten oder Einstufen (Scoring)
→→
Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
→→
Systematische Überwachung
→→
Vertrauliche oder höchst persönliche Daten
→→
Datenverarbeitung in großem Umfang
→→
Abgleichen oder Zusammenführen von Datensätzen
→→
Daten zu schutzbedürftigen Betroffenen
→→
Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
→→
Die Verarbeitung an sich hindert Betroffene an der Ausübung eines Rechts oder der Nutzung
einer Dienstleistung bzw. Durchführung eines Vertrags.
Treffen auf eine Verarbeitung zwei dieser Kriterien zu, so muss der Verantwortliche in der Regel
davon ausgehen, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der
Betroffenen mit sich bringt und sollte daher in diesem Fall eine Datenschutz-Folgenabschätzung
durchführen.
Verbindlich sind jedoch die jeweiligen „Muss-Listen“: Ist eine Verarbeitungstätigkeit in der
„Muss-Liste“ der für einen Verantwortlichen zuständigen Datenschutzaufsichtsbehörde aufgeführt,
so ist dieser in jedem Fall verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen.
15.2.4 Neues Verfahren zur Meldung von Datenschutzverletzungen
Für den Datenschutz im Bereich der Telekommunikation hat sich nicht nur der Rechtsrahmen, sondern
auch das Meldeverfahren bei Datenschutzverletzungen
geändert.
Die Pflicht, Datenschutzverletzungen der zuständigen
Datenschutzbehörde zu melden, gab es bereits vor der
DSGVO. Bislang war diese auf EU-Ebene durch zwei
Richtlinien vorgegeben. Die Richtlinie 95/46/EG betraf
den allgemeinen Datenschutz und die Richtlinie 2002/58/
EG den Datenschutz in der elektronischen Kommunikati‑
on. Beide Richtlinien bedurften zunächst der Umsetzung
in nationales Recht. Der deutsche Gesetzgeber hatte
hier mit § 42a und § 1 Absatz 3 BDSG (alt) sowie § 109a
Telekommunikationsgesetz (TKG) eine Lösung gefunden,
wie sich die auf unterschiedlichen Richtlinien beruhen‑
den Meldepflichten widerspruchsfrei in die deutsche
Rechtsordnung einfügen ließen. Die seit dem 25. Mai 2018
anzuwendende DSGVO gilt als EU-Verordnung nunmehr
unmittelbar und damit auch die allgemeine Meldepflicht
nach Artikel 33 DSGVO. Parallel hierzu gilt im Telekom‑
munikationsbereich weiterhin die Richtlinie 2002/58/EG
und die zu ihrer Umsetzung geschaffene Meldepflicht für
Telekommunikationsdiensteanbieter nach § 109a TKG.
Die Meldepflichten im Telekommunikationsbereich sind
von großer praktischer Bedeutung. So gingen im Jahr 2017
knapp 830 Meldungen über Datenschutzverletzungen
nach § 109a TKG bei mir ein, die aufgrund einer Verein‑
barung mit der Bundesnetzagentur (BNetzA) je zur Hälfte
durch mich und die BNetzA bearbeitet wurden. Nun muss
in Abhängigkeit von den vom Datenschutzvorfall betroffe‑
nen Daten seit dem 25. Mai 2018 entweder nach Artikel 33
DSGVO ausschließlich an mich oder nach § 109a TKG an
mich und an die BNetzA gemeldet werden. Dies führte
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
107