Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat auf seiner Homepage eine Liste mit Verarbeitungstätigkeiten veröffentlicht, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist.
Wir haben bereits vor einigen Monaten darüber berichtet, dass verschiedene Datenschutzaufsichtsbehörden damit begonnen haben, eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 Datenschutz-Grundverordnung (DSGVO) stets durchzuführen ist (sogenannte Positivliste). Diese Listen betreffen Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Sollen derartige Verfahren betrieben werden, ist der jeweilig Verantwortlich dazu verpflichtet, vorab eine Abschätzung der Folgen solcher vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.
Gemäß Art. 35 Abs. 4 DSGVO müssen die Aufsichtsbehörden eine Liste der Verarbeitungsvorgänge, für die gemäß Art. 35 Abs. 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellen und diese veröffentlichten.
Nunmehr hat auch die DSK am 17.10.2018 eine derartige Liste für den nichtöffentlichen Bereich veröffentlicht (https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf). Diese Liste ist nicht abschließend zu sehen, sondern soll die in den Absätzen 1 und 3 des Artikels 35 DSGVO enthaltenen allgemeinen Regelungen ergänzen. Sie orientiert sich an der allgemeinen, im Arbeitspapier 248 der Art. 29-Datenschutzgruppe Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ beschriebenen Vorgehensweise. Sie ergänzt und konkretisiert diese allgemeine Vorgehensweise.
Die Positivliste der DSK enthält eine Beschreibung von 17 Verarbeitungstätigkeiten, für die Datenschutz-Folgenabschätzungen durchzuführen sind. Dies sind:
- Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen, die bestimmte Kriterien erfüllen
- Verarbeitung von genetischen Daten im Sinne von Art. 4 Nr. 13 DSGVO, die bestimmte Kriterien erfüllen
- Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen
- Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
- Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengeführten Daten
- Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden
- Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen
- Umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden
- Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen
- Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person
- Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der betroffenen Personen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum
- Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen
- Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffen
- Anonymisierung von besonderen personenbezogenen Daten nach Art. 9 DSGVO nicht nur in Einzelfällen (in Bezug auf die Zahl der betroffenen Personen und die Angaben je betroffener Person) zum Zweck der Übermittlung an Dritte
- Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art. 35 Abs. 3 Buchstabe b) anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden
- Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art. 35 Abs. 3 Buchstabe b) anzusehen ist – sofern die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen
Setzt ein Verantwortlicher ein Verfahren ein, dass auf der Positivliste der DSK aufgeführt ist, ohne zuvor eine erforderliche Datenschutz-Folgenabschätzung durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DSGVO (z. B. eine vorübergehende oder endgültige Beschränkung der Verarbeitung zu verhängen, einschließlich eines Verbots) Gebrauch machen. Zudem kann sie eine Geldbuße gemäß Art. 83 Abs. 4 DSGVO verhängen.