Aufsichtsbehörden veröffentlichen Muss-Liste für Datenschutzfolgeabschätzung

Artikel 35 DSGVO sieht vor, dass Unternehmen eine sog. Datenschutzfolgeabschätzung vornehmen müssen, wenn die Verarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“, Art. 35 Abs. 1 Satz 1 DSGVO. Das Unternehmen muss dann den Verarbeitungsprozess dokumentieren, die Risiken für die Rechte und Freiheiten der natürlichen Personen identifizieren und darstellen, welche Abhilfemaßnahmen das Unternehmen trifft. Wenn Abhilfemaßnahmen nicht möglich sind, muss das Unternehmen vor Beginn der Verarbeitung die Aufsichtsbehörden konsultieren. Nach Auffassung der Aufsichtsbehörden liegt ein hohes Risiko dann vor, wenn eine hohe Eintrittswahrscheinlichkeit eines Schadens vorliegt und der Schaden gravierende Ausmaße annehmen kann.

Da die Voraussetzungen für eine Datenschutzfolgeabschätzung sehr unbestimmt sind, sieht Art. 35 Abs. 4 DSGVO vor, dass die Aufsichtsbehörden eine Liste erstellen können, in welchen Fällen Unternehmen immer eine Datenschutzfolgeabschätzung vornehmen müssen. Im Frühsommer 2018 sorgten die 17 deutschen Aufsichtsbehörden etwas für Aufsehen, indem sie insgesamt 14 unterschiedliche solche Muss-Listen veröffentlichten, so dass Unternehmen sehr genau recherchieren mussten, was für sie gilt.

Diese missliche Situation haben die Aufsichtsbehörden nun bereinigt, indem die Datenschutzkonferenz am 25. Juli 2018eine einheitliche Liste veröffentlichte.

Die Liste umfasst 16 verschiedene Fälle, in denen eine Datenschutzfolgeabschätzung stets durchzuführen ist. Die Liste umfasst grobe Beschreibungen der jeweiligen Verarbeitungen, typische Einsatzfälle und Beispiele für die entsprechenden Muss-Fälle. Darunter fallen die Verarbeitung von großen Mengen an Daten, die Berufs- oder anderen Geheimnissen unterliegen, Geolokalisierungsdaten, Scoring-Systeme, bestimmte Überwachungssysteme im Arbeitnehmerumfeld, soziale Netzwerke und Datingplattformen, Big Data-Anwendungsfälle, in bestimmten Fällen die Verwendung künstlicher Intelligenz, Tracking von Personen im Offline-Bereich, der Einsatz von RFID- und NFC-Technologien in bestimmten Fällen, teilweise auch Kundenbindungssysteme, Telemedizin oder bestimmte Anwendungsgebiete von Fitnesstrackern.

Die große Bandbreite der Pflichtanwendungsfälle für eine Datenschutzfolgeabschätzung führt dazu, dass sich Unternehmen dringend damit auseinandersetzen müssen, ob ihre Verarbeitung personenbezogener Daten einem der Muss-Fälle entspricht. Wenn das der Fall ist und keine Datenschutzfolgeabschätzung gemacht wird, besteht das Risiko eines Bußgeldes in Höhe von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes.

Die Durchführung einer Datenschutzfolgeabschätzung hat aber auch noch eine weitere Konsequenz: Selbst wenn das Unternehmen bisher nicht gemäß Art. 37 DSGVO, § 38 Abs. 1 Satz 1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet war, etwa weil es weniger als zehn Beschäftigte hat, ergibt sich gemäß § 38 Abs. 1 Satz 2 BDSG die Pflicht zur Bestellung eines Datenschutzbeauftragten auch dann, wenn eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO durchgeführt werden muss. Daher ist die nun veröffentlichte Muss-Liste der Datenschutzkonferenz ein weiterer Indikator, wann ein Datenschutzbeauftragter bestellt werden muss.