Laut der Artikel-29-Datenschutzgruppe ist eine Datenschutz-Folgenabschätzung (DPIA) „ein Verfahren, anhand dessen die Verarbeitung beschrieben, ihre Notwendigkeit und Verhältnismäßigkeit bewertet und die Risiken für die Rechte und Freiheiten natürlicher Personen, die die Verarbeitung personenbezogener Daten mit sich bringt, durch eine entsprechende Risikoabschätzung und die Ermittlung von Gegenmaßnahmen besser kontrolliert werden sollen“[1].
Gemäß Artikel 35 Absatz 1 DSGVO müssen die Verantwortlichen eine Datenschutz-Folgenabschätzung durchführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Daher ist eine Datenschutz-Folgenabschätzung nicht immer zwingend erforderlich. Die Verantwortlichen sind jedoch verpflichtet, vorab stets eine Risikobewertung durchzuführen, um festzustellen, ob die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese vorbereitende Bewertung ist ein integraler Bestandteil des DPIA-Prozesses. Bestimmte Elemente der Datenschutz-Folgenabschätzung sind somit obligatorisch, um zumindest deren Erforderlichkeit zu bestimmen.
Die Risiken für die Rechte und Freiheiten der betroffenen Personen werden in Erwägungsgrund 75 der DSGVO genannt. Dabei handelt es sich um Risiken, die zu einem physischen, materiellen oder immateriellen Schaden für die betroffene Person führen könnten (z. B. die Verweigerung des Zugangs zu einem Dienst nach einer falsch-negativen Identifizierung).
| Beispiele für Risiken für die Rechte und Freiheiten | |
| Diskriminierung | Identitätsdiebstahl oder -betrug |
| Finanzieller Verlust | Rufschädigung |
| Verlust der Vertraulichkeit von dem Berufsgeheimnis | Unbefugte Aufhebung der Pseudonymisierung |
| Wirtschaftliche oder gesellschaftliche Nachteile | Hinderung, personenbezogene Daten zu kontrollieren |
In der DSGVO wird der Begriff „hohes Risiko“ nicht definiert. Die Artikel-29-Datenschutzgruppe hat jedoch eine Liste mit neunKriterien erstellt, anhand derer die Verantwortlichen erkennen können, ob die Verarbeitung als mit einem hohen Risiko behaftet einzustufen ist[2].
| Kriterien einer mit einem hohen Risiko behafteten Verarbeitung | |
| Kriterium 1 | Evaluierung oder Bewertung (z. B. Profiling) |
| Kriterium 2 | Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher signifikanter Wirkung |
| Kriterium 3 | Systematische Überwachung |
| Kriterium 4 | Sensible Daten oder Daten von sehr persönlicher Natur |
| Kriterium 5 | Daten werden in großem Umfang verarbeitet |
| Kriterium 6 | Matching oder Kombination von Datensätzen (über die vernünftigen Erwartungen der betroffenen Person hinaus) |
| Kriterium 7 | Daten zu gefährdeten Personen |
| Kriterium 8 | Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen |
| Kriterium 9 | Die Verarbeitung an sich verhindert, dass betroffene Personen ein Recht ausüben oder eine Dienstleistung oder einen Vertrag in Anspruch nehmen |
Forscher, die Forschungstätigkeiten durchführen, sollten alle diese Kriterien berücksichtigen, um zu verstehen, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Für den Zweck dieses Dokuments sind jedoch insbesondere die Kriterien vier und acht besonders relevant. Kriterium vier ist von Bedeutung, wenn biometrische Daten während der Forschungstätigkeit verarbeitet werden. Kriterium acht ist im Zusammenhang mit der IKT-Forschung wichtig, da bei dieser Tätigkeit möglicherweise neue Datenverarbeitungstechnologien eingeführt werden (z. B. innovative Methoden zur Erfassung und Analyse von Stimmproben).
Gemäß Artikel 35 Absatz 4 DSGVO müssen die nationalen Aufsichtsbehörden die Liste der Verarbeitungsvorgänge veröffentlichen, für die eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist[3]. Dies könnte weitere Anhaltspunkte dafür liefern, was eine Verarbeitung darstellt, die eine Datenschutz-Folgenabschätzung erfordert, wobei die Forscher die Position der zuständigen Aufsichtsbehörden beachten sollten. In Anbetracht der Komplexität der Aufgabe sollten Forscher auch den Datenschutzbeauftragten ihrer Organisation um Rat fragen.
Um die Einhaltung der Vorschriften nachweisen zu können, sollte die Bewertung, ob die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, dokumentiert und aufbewahrt werden.
Quellenangaben
1Artikel-29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, Oktober 2017, 4. ↑
2Artikel 29-Datenschutzgruppe, 9–11. ↑
3In diesem Zusammenhang haben die nationalen Aufsichtsbehörden auf ihren Websites eine entsprechende Liste veröffentlicht. In einigen Fällen hat der EDSA bereits eine Stellungnahme zu den in den einzelnen Listen aufgeführten Tätigkeiten abgegeben. WeitereInformationenfinden Sie unter: European Data Protection Board, Opinion 6/2019 on the Draft List of the Competent Supervisory Authority of Spain Regarding the Processing Operations Subject to the Requirement of a Data Protection Impact Assessment (Article 35.4 GDPR), März 2019. ↑