Die Artikel-29-Datenschutzgruppe hat zu dieser Frage die am besten anwendbaren Leitlinien vorgelegt^[1]. Auf dieser Grundlage haben viele Aufsichtsbehörden spezifischere Leitlinien in ihrer Landessprache herausgegeben, die sich auf ihre nationalen Belange konzentrieren.

Der Leitfaden enthält ein Verfahren, mit dem festgestellt werden kann, ob eine Verarbeitungstätigkeit „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt“, d. h. ob eine Datenschutz-Folgenabschätzung erforderlich ist. Es besteht aus neun Kriterien für die Verarbeitungstätigkeit. Für jedes Kriterium muss der Verantwortliche entscheiden (und dokumentieren), ob es für die betreffende Verarbeitungstätigkeit relevant ist. Die Leitlinien der Artikel-29-Datenschutzgruppe enthalten Beispiele, die dies veranschaulichen.

Die neun Kriterien beziehen sich insbesondere auf folgende Punkte:

1. Bewertung oder Benotung
2. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher Bedeutung
3. Systematische Überwachung
4. Sensible Daten oder Daten von höchstpersönlicher Natur
5. In großem Umfang verarbeitete Daten
6. Abgleich oder Kombination von Datensätzen
7. Daten über schutzbedürftige Personen
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
9. Verhinderung, dass die betroffenen Personen ein Recht ausüben oder eine Dienstleistung oder einen Vertrag in Anspruch nehmen können

Auf der Grundlage der Bewertung dieser Kriterien wird entschieden, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko führt: „Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist.“^[2] Dies ist jedoch nur ein Richtwert, und ein Verantwortlicher kann entscheiden, dass:

• eine Verarbeitung, die nur eines dieser Kriterien erfüllt, erfordert eine DSFA;^[3]
• eine Verarbeitung, die (mindestens) zwei Kriterien erfüllt, ist immer noch nicht mit einem hohen Risiko verbunden^[4].

Im letzteren Fall muss der Verantwortliche diese Entscheidung begründen. Zum Nachweis der Einhaltung der Bestimmungen (Artikel 5 Absatz 2 DSGVO) sollte das Verfahren zur Feststellung, ob eine Datenschutz-Folgenabschätzung erforderlich ist, in jedem Fall dokumentiert werden.

Als zusätzliche Orientierungshilfe müssen die (nationalen) Aufsichtsbehörden eine Liste der Verarbeitungsvorgänge veröffentlichen, für die eine Datenschutz-Folgenabschätzung erforderlich ist (Artikel 35 Absatz 4 DSGVO), und sie können auch eine Liste der Vorgänge veröffentlichen, für die eine Datenschutz-Folgenabschätzung nicht erforderlich ist (Artikel 35 Absatz 5 DSGVO). Diese Listen werden dem Europäischen Datenschutzbeauftragten vorgelegt und auf EU-Ebene veröffentlicht^[5]; in der Praxis können diese Veröffentlichungen als zugängliche Sammlung von DSFA-Anforderungen und Erwartungen auf nationaler Ebene dienen.

Wir raten dazu, entweder das nationale Verfahren oder das von der Artikel-29-Datenschutzgruppe vorgesehene Verfahren zu befolgen und es zu dokumentieren, selbst wenn sich herausstellt, dass eine DSFA nicht erforderlich ist.

 

References

---

¹Siehe wp248rev.01, Abschnitt III.B, Seiten 8–13. Der Download-Link ist in der Fußnote 227 enthalten. ↑

²wp248rev.01, Abschnitt III.B., Seite 11, 2. Absatz, Hervorhebung von den Autoren hinzugefügt. ↑

³wp248rev.01, Abschnitt III.B., Seite 11, 3. Absatz. ↑

⁴wp248rev.01, Abschnitt III.B., Seite 12, 2. Absatz ↑

⁵ Siehe https://edpb.europa.eu/our-work-tools/our-documents/topic/data-protection-impact-assessment-dpia_en ↑