Verarbeitungsvorgänge, für die eine Datenschutz-Folgeabschätzung durchzuführen ist
Nach der "White List" hat die Datenschutzbehörde nunmehr auch die lang ersehnte "Black List" verbindlich als Verordnung erlassen. Damit wird für größere Klarheit gesorgt, wann nun in der Praxis tatsächlich Datenschutzfolgenabschätzungen durchzuführen sind. Wie bereits im von uns analysierten Entwurf sind in der nun fixierten Verordnung keine die Pflicht auslösenden Verarbeitungstätigkeiten abschließend aufgezählt. Vielmehr werden – teilweise auslegungsbedürftige – Kriterien genannt, die die Durchführung einer detaillierten Prüfung erforderlich machen.
Art 35 DSGVO stellt für Verantwortliche das Erfordernis der Durchführung und laufenden Aktualisierung von Datenschutz-Folgenabschätzungen auf, sofern mit der Datenverarbeitung ein "voraussichtlich hohes Risiko" für die Betroffenen verbunden ist. Die Beurteilung, wann ein solches hohes Risiko zu erwarten ist, ist in der Praxis aber mitunter schwierig. Art 35 Abs 5 DSGVO sieht daher vor, dass die Datenschutzbehörden eine Liste mit Verarbeitungsvorgängen erstellen, für die eine Folgenabschätzung jedenfalls erforderlich ist ("Black List"). Damit sollen die schwammigen Kriterien für Verantwortliche und Auftragsverarbeiter greifbarer gemacht werden und sollen diese Listen gleichzeitig als Auslegungsstütze dienen.
Nachdem vor einigen Wochen ein erster Entwurf der österreichischen Behörde kursiert ist, erfolgte nun am 9.11. 2018 die Kundmachung der entsprechenden Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist ("DSFA-V"). Wie bereits von den DORDA Datenschutzexperten erläutert, ist dies die Ergänzung zur bereits bestehenden österreichischen White List, die seit 25.5.2018 in die andere Richtung bestimmte Verarbeitungen von der Pflicht einer Datenschutz-Folgenabschätzung ausnimmt.
Zusammenfassend unterscheidet die nun erlassene Black List zwischen solchen Verarbeitungsvorgängen, bei denen bereits bei Vorliegen eines Kriteriums eine Datenschutz-Folgenabschätzung durchzuführen ist und solchen, bei denen mindestens zwei unterschiedliche Kriterien kumulativ vorliegen müssen, um diese Pflicht auszulösen. Von der Folgeabschätzung ausdrücklich ausgenommen sind jedoch Datenverarbeitungen, die bereits in der White List enthalten sind. Damit wird eine sinnvolle Verknüpfung der beiden Listen geschaffen. In der Praxis sind bei der Beurteilung der Notwendigkeit einer Datenschutz-Folgeabschätzung zukünftig daher stets beide Verordnungen abzugleichen.
Die nun erlassene Black List entspricht weitgehend dem zuvor veröffentlichten Entwurf der Datenschutzbehörde. Zu begrüßen ist, dass die Kritik des europäischen Datenschutzausschusses – der ebenfalls unter der Leitung von Frau Dr Jelinek steht – am Entwurf berücksichtigt wurde: So wurde zu Recht das bloße Vorliegen einer gemeinsamen Verantwortlichkeit als Auslöser einer Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen gestrichen.
Konkret führen nun folgende Kriterien jeweils für sich alleine zur Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung:
- Bewertungen oder Einstufungen (einschließlich des Erstellens von Profilen und Prognosen), sofern potentiell nachteilig;
- Profiling und automatisierte Entscheidungsfindung;
- Beobachtung, Überwachung oder Kontrolle von Betroffenen – insbesondere im öffentlichen Raum;
- Datenverarbeitung unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischen Lösungen – insbesondere durch Einsatz von künstlicher Intelligenz oder Verarbeitung biometrischer Daten;
- Zusammenführen und/oder Abgleich von Datensätzen aus mehreren Verarbeitungen, sofern daraus nachteilige Entscheidungen getroffen werden können;
- Datenverarbeitung im höchstpersönlichen Bereich – auch mit Einwilligung.
Im Zusammenhang mit Beschäftigungsverhältnissen ist eine (sinnvolle) Ausnahme für Verarbeitungen, die durch eine Betriebsvereinbarung oder die Zustimmung der Personalvertretung legitimiert sind. Dem liegt wohl der zu begrüßende Ansatz zu Grunde, dass in solchen Fällen durch die Hinzuziehung der konkreten Interessensvertretung der Betroffenen eine Kontrolle der Maßnahmen und ein ausreichender Interessensausgleich stattgefunden hat, der keine weitere Prüfung erfordert.
Bei Vorliegen von mindestens zwei der folgenden Parameter ist ebenfalls eine Datenschutz-Folgeabschätzung vorzunehmen:
- Umfangreiche Verarbeitung von besonderen Kategorien von personenbezogenen Daten;
- Umfangreiche Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten;
- Erfassung von Standortdaten iSd TKG;
- Verarbeitung von Daten zu schutzbedürftigen Personen (zB unmündige Minderjährige, Arbeitnehmer, Patienten, psychisch Kranke und Asylwerber);
- Zusammenführen und/oder Abgleich von Datensätzen aus mehreren Verarbeitungen, sofern diese für andere als ursprüngliche Zwecke verarbeitet werden.
Weiterhin nicht geklärt ist, was unter einer "umfangreichen" Verarbeitung zu verstehen ist. ErwG 91 trifft dazu lediglich die bekannte Negativabgrenzung, dass eine Datenverarbeitung durch einen einzelnen Arzt oder Anwalt nicht "umfangreich" ist. Im Umkehrschluss lässt sich daraus aber nicht gewinnen, ab wann die Schwelle der umfangreichen Verarbeitung überschritten ist.
Der Erlass beider Verordnungen – Black und White List – schafft in Summe größere Klarheit, wann und unter welchen Umständen eine Datenschutz-Folgeabschätzung erforderlich ist. Dennoch verbleiben in der Praxis aufgrund der teilweise nur grob skizzierten Zwecke und Parameter Auslegungsspielräume und Unsicherheiten. Es wird daher an der Praxisübung und vor allem den Entscheidungen der nationalen Datenschutzbehörden sowie insbesondere des EuGH liegen, hier für schärfere Abgrenzungen zu sorgen.