Die DSGVO sieht in Art. 35 vor, dass eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA; Pri­va­cy Impact Assess­ment, PIA) durch­zu­füh­ren ist, wenn eine Daten­ver­ar­bei­tung “vor­aus­sicht­lich ein hohes Risi­ko” zur Fol­ge hat. Die Arti­kel-29-Arbeits­grup­pe hat nun den Ent­wurf des Arbeits­pa­piers 248 zur DSFA (PDF) ver­öf­fent­licht mit ver­schie­de­nen Klar­stel­lun­gen zu Art. 35 DSGVO. Die­ses Arbeits­pa­pier ist des­halb von beson­de­rer Bedeu­tung, weil sich die Arti­kel-29-Arbeits­grup­pe (die mit der DSGVO durch den Euro­päi­schen Aus­schuss nach Art. 68 DSGVO abge­löst wird) aus Ver­tre­tern der Auf­sichts­be­hör­den der Mit­glied­staa­ten zusam­men­setzt – also der­je­ni­gen Behör­den, die durch Posi­tiv- und Nega­tiv­li­sten klar­stel­len sol­len, wann eine DSFA durch­zu­füh­ren ist.

Bis am 23. Mai 2017 kön­nen Kom­men­ta­re zum Ent­wurf vor­ge­legt werden.

Wann ist eine DSFA vorzunehmen?

Eine DSFA ist immer dann durch­füh­ren, wenn eine Verarbeitung

  • vor­aus­sicht­lich zu einem hohen Risi­ko führt,
  • noch nicht Gegen­stand einer DSFA war,
  • und nicht auf einer gesetz­li­chen Grund­la­ge basiert, bei deren Erlass bereits eine all­ge­mei­ne Fol­gen­ab­schät­zung erfolgt ist.

Auf­greif­kri­te­ri­en: “vor­aus­sicht­lich hohes Risiko”

Die Arbeits­grup­pe äussert sich u.a. zur Fra­ge, wann eine DSFA durch­zu­füh­ren ist, d.h. wann mit einem hohen Risi­ko zu rech­nen ist. Dabei sei­en (v.a. gestützt auf Art. 35 Abs. 3 DSGVO) fol­gen­de Umstän­de als Indi­zi­en für ein hohes Risi­ko zu berück­sich­ti­gen:

  • Scoring, Pro­fil­ing, Eva­lua­ti­on, z.B. Ein­schät­zung der Kre­dit­wür­dig­keit durch eine Bank, Beha­vi­oral Mar­ke­ting etc.,
  • auto­ma­ti­sier­te Ein­zel­fall­ent­schei­dun­gen (ein eige­nes Arbeits­pa­pier zum The­ma Pro­fil­ing soll hier Klar­stel­lun­gen enthalten),
  • syste­ma­ti­sche Überwachung,
  • Ver­ar­bei­tung sen­si­ti­ver Daten,
  • umfang­rei­che Daten­ver­ar­bei­tun­gen (dabei ist auf die Zahl betrof­fe­ner Per­so­nen zu ach­ten, fer­ner auf die Men­ge ver­ar­bei­te­ter Daten und die Anzahl von Daten­ka­te­go­rien, dann auf die Dau­er der Ver­ar­bei­tung und ihre geo­gra­phi­sche Ausdehnung),
  • das Zusam­men­füh­ren oder Abglei­chen von Daten­be­stän­den, sofern damit nicht zu rech­nen ist,
  • die Vear­bei­tung von Daten beson­ders schutz­be­dürf­ti­ger Personen,
  • Neu­ar­tig­keit von Ver­ar­bei­tungs­vor­gän­gen, Ver­wen­dung neu­er Tech­no­lo­gien (bspw. Fin­ger­ab­druck­sen­so­ren oder Gesichtserkennung),
  • Über­mitt­lung von Per­so­nen­da­ten an Emp­fän­ger ausser­halb der EU,
  • Ver­ar­bei­tun­gen, die es betrof­fe­nen Per­so­nen erschwe­ren, ihre Rech­te aus­zu­üben oder eine Lei­stung in Anspruch zu neh­men, bspw. die Beur­tei­lung der Kre­dit­wür­dig­keit durch eine Bank vor der Ver­ga­be eines Darlehens.

Als Faust­re­gel sei eine DSFA erfor­der­lich, wenn min­de­stens zwei der genann­ten Punk­te zusam­men­tref­fen (beson­de­re Umstän­de vorbehalten).

Fol­gen­de Bei­spie­le wer­den genannt für Ver­ar­bei­tun­gen, bei denen eine DSFA erfor­der­lich sei:

  • A hos­pi­tal pro­ce­s­sing its pati­ents’ gene­tic and health data (hos­pi­tal infor­ma­ti­on system)
  • The use of a came­ra system to moni­tor dri­ving beha­vi­or on high­ways. The con­trol­ler envi­sa­ges to use an intel­li­gent video ana­ly­sis system to sin­gle out cars and auto­ma­ti­cal­ly reco­gnize licen­se plates.
  • A com­pa­ny moni­to­ring its employees’ acti­vi­ties, inclu­ding the moni­to­ring of the employees’ work sta­ti­on, inter­net acti­vi­ty, etc.
  • The gathe­ring of public social media pro­files data to be used by pri­va­te com­pa­nies gene­ra­ting pro­files for cont­act directories.

Dage­gen sei hier kei­ne DSFA erfor­der­lich:

  • An online maga­zi­ne using a mai­ling list to send a gene­ric dai­ly digest to its subscribers.
  • An e‑commerce web­site dis­play­ing adverts for vin­ta­ge car parts invol­ving limi­t­ed pro­fil­ing based on past purcha­ses beha­viour on cer­tain parts of its website.

Frei­lich ist ein Ver­ant­wort­li­cher immer gehal­ten, die Risi­ken einer Ver­ar­bei­tung im Blick zu haben (Art. 32 DSGVO) und auch zu doku­men­tie­ren (Art. 30 Abs. 1 lit. g DSGVO). Das gilt auch bei nicht hohen Risiken.

Über­gangs­recht

Nach dem Wort­laut von Art. 35 DSGVO besteht eine Pflicht zur DSFA nur für zukünf­ti­ge Ver­ar­bei­tun­gen. Über­gangs­recht­lich kann die Pflicht zur DSFA des­halb nur Ver­ar­bei­tun­gen betref­fen, mit denen am 25. Mai 2018 noch nicht begon­nen wur­de. Aller­dings:

  • Das Arbeits­pa­pier emp­fieht “stron­gly”, auch für bereits lau­fen­de Ver­ar­bei­tun­gen eine DSFA vor­zu­neh­men. Dabei stützt sich die Arbeits­grup­pe u.a. auf Art. 35 Abs. 11 DSGVO, wonach ein Ver­ant­wort­li­cher ggf. zu kon­trol­lie­ren hat, ob eine Ver­ar­bei­tung gemäss der DSFA erfolgt.
  • Lau­fen­de Ver­ar­bei­tun­gen, die nach dem 25. Mai 2018 erheb­lich geän­dert wer­den, sei­en fer­ner als neue Ver­ar­bei­tun­gen zu betrach­ten, für die ggf. eine DSFA durch­zu­füh­ren sei.
  • Das­sel­be gel­te wenn sich das Risi­ko einer lau­fen­den Ver­ar­bei­tung nach dem 25. Mai 2018 durch den Kon­text der Ver­ar­bei­tung erhö­he.

Durch­füh­rung einer DSFA

Zeit­punkt

Eine DSFA ist ggf. durch­zu­füh­ren, bevor die ris­kan­te Ver­ar­bei­tung begon­nen wird (Art. 35 Abs. 1 DSGVO, “vor­ab”). Das Arbeits­pa­pier emp­fiehlt dabei, die DSFA so früh wie mög­lich durch­zu­füh­ren, und zwar auch dann, wenn noch nicht alle Ein­zel­hei­ten der Ver­ar­bei­tung fest­ste­hen. Bei Ände­run­gen der Ver­ar­bei­tung sei die DSFA anzu­pas­sen. Aus Sicht der Arbeits­grup­pe ist eine DSFA dem­zu­fol­ge nicht punk­tu­ell durch­zu­füh­ren, son­dern ein Instru­ment der lau­fen­den Risi­ko­be­ob­ach­tung und ‑gestal­tung:

In some cases the DPIA will be an on-going pro­cess, for exam­p­le whe­re a pro­ce­s­sing ope­ra­ti­on is dyna­mic and sub­ject to ongo­ing chan­ge. Car­ry­ing out a DPIA is a con­ti­nu­al pro­cess, not a one-time exercise.

Ver­ant­wort­lich­keit

Die Pflicht zur DSFA trifft den Ver­ant­wort­li­chen (Art. 35 Abs. 1 DSGVO), der die DSFA selbst­ver­ständ­lich nicht per­sön­lich durch­füh­ren muss. Beim Ver­ant­wort­li­chen ist die Stel­lung­nah­me des Daten­schutz­be­auf­trag­ten ein­zu­ho­len (Abs. 2), der die DSFA auch über­wacht. Ein Auf­trags­be­ar­bei­ter, der bei der frag­li­chen Ver­ar­bei­tung betei­ligt ist, soll­te den Ver­ant­wort­li­chen dabei unterstützen.

Nach Art. 35 Abs. 9 ist zudem “gege­be­nen­falls der Standpunkt der betrof­fe­nen Per­so­nen oder ihrer Ver­tre­ter” ein­zu­ho­len. Dazu emp­fiehlt die Arbeits­grup­pe, zu doku­men­tie­ren, ob der Stand­punkt ein­ge­holt wur­de, was das Ergeb­nis ist und wel­che Über­le­gun­gen ggf. dazu geführt haben, die­sem Stand­punkt nicht zu fol­gen. Der Stand­punkt kön­ne fer­ner nicht nur durch eine Umfra­ge erho­ben wer­den, son­dern auch z.B. durch eine Studie. 

Vor­ge­hen und Inhalt

Die DSGVO ent­hält kei­ne genau­en Vor­ga­ben, auf wel­che Art und Wei­se eine DSFA durch­zu­füh­ren ist. Art. 35 Abs. 7 ent­hält ledig­lich fol­gen­de Anfor­de­run­gen an den Inhalt der DSFA:

a) eine syste­ma­ti­sche Beschrei­bung der geplan­ten Ver­ar­bei­tungs­vor­gän­ge und der Zwecke der Ver­ar­bei­tung, gege­be­nen­falls ein­schließ­lich der von dem Ver­ant­wort­li­chen ver­folg­ten berech­tig­ten Interessen;

b) eine Bewer­tung der Not­wen­dig­keit und Ver­hält­nis­mä­ßig­keit der Ver­ar­bei­tungs­vor­gän­ge in Bezug auf den Zweck;

c) eine Bewer­tung der Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen gemäß Absatz 1 und

d) die zur Bewäl­ti­gung der Risi­ken geplan­ten Abhil­fe­maß­nah­men, ein­schließ­lich Garan­tien, Sicher­heits­vor­keh­run­gen und Ver­fah­ren, durch die der Schutz per­so­nen­be­zo­ge­ner Daten sicher­ge­stellt und der Nach­weis dafür erbracht wird, dass die­se Ver­ord­nung ein­ge­hal­ten wird, wobei den Rech­ten und berech­tig­ten Inter­es­sen der betrof­fe­nen Per­so­nen und son­sti­ger Betrof­fe­ner Rech­nung getra­gen wird.

Metho­disch erfor­de­re die DSFA folgendes:

  • Ein­schät­zung der Eigen­art der betref­fen­den Ver­ar­bei­tung, ihres Umfangs, Kon­tex­tes und Zwecke;
  • Ein­schä­tung der Risi­ken, insb. Ein­tre­tens­wahr­schein­lich­keit und Schwe­re der mög­li­chen Verletzung;
  • Risi­ko­mi­ni­mie­rung, Sicher­stel­lung der EIn­hal­tung der DSGVO und Dokumentation.

Dabei kön­ne die DSFA typi­scher­wei­se in fol­gen­den Schrit­ten ablaufen:

Das kon­kre­te Vor­ge­hen ist aller­dings weit­ge­hend ins Ermes­sen des Ver­ant­wort­li­chen gestellt. Wesent­lich ist folgendes:

Howe­ver, wha­te­ver its form, a DPIA must be a genui­ne assess­ment of risks, allo­wing con­trol­lers to take mea­su­res to address them.

Anhang 2 des Arbeits­pa­piers ent­hält eine Zusam­men­stel­lung des erfor­der­li­chen Inhalts einer DSFA in Form einer Check­li­ste.

Ver­öf­fent­li­chung der DSFA

Die DSGVO sieht kei­ne Pflicht vor, die DSFA oder ihr Ergeb­nis zu ver­öf­fent­li­chen. Die Arbeits­grup­pe emp­fiehlt jedoch, die Ver­öf­fent­li­chung ganz oder in Tei­len zumin­dest in Betracht zu zie­hen, beson­ders dann, wenn Risi­ken für die Öffent­lich­keit bestehen.

Wie­der­ho­lung und Überprüfung

Die Arbeits­grup­pe emp­fiehlt, eine DSFA wenig­stens alle drei Jah­re zu wie­der­ho­len. Eine ech­te Pflicht stellt dies aller­dings nicht dar, sofern seit der letz­ten DSFA nicht rele­van­te risi­ko­er­hö­hen­de Umstän­de ein­ge­tre­ten sind.

Kon­sul­ta­ti­on der Aufsichtsbehörde

Aus Art. 36 DSGVO folgt, dass vor der Ver­ar­bei­tung die Auf­sichts­be­hör­de zu kon­sul­tie­ren ist, falls die DSFA ergibt, dass trotz Risi­ko­min­de­rungs­mass­nah­men ein hohes Risi­ko ver­bleibt. Die Bestim­mung ist unklar, wird in ErwG 84 und 94 aber prä­zi­siert. Die Arbeits­grup­pe hält eben­so fest:

It is in cases whe­re the iden­ti­fi­ed risks can­not be suf­fi­ci­ent­ly addres­sed by the data con­trol­ler (i.e. the resi­du­al risks remains high) then the data con­trol­ler must con­sult the super­vi­so­ry authority.

Inter­na­tio­na­ler Anwen­dungs­be­reich von Art. 35 DSGVO

Kei­ne Anga­ben fin­den sich zum inter­na­tio­na­len Anwen­dungs­be­reich von Art. 35 DSGVO. Es bleibt daher offen, ob aus­län­di­sche Ver­ant­wort­li­che, die der DSGVO gestützt auf Art. 3 Abs. 2 unter­ste­hen, zur Durch­füh­rung einer DSFA nach der DSGVO ver­pflich­tet sind.

Hand­lungs­an­lei­tung

Die Arbeits­grup­pe fasst die Pflich­ten des Ver­ant­wort­li­chen nach Art. 35 und 36 DSGVO wie folgt zusammen:

Whe­re a likely high risk pro­ce­s­sing is plan­ned, the data con­trol­ler must:

  • choo­se a DPIA metho­do­lo­gy (examp­les given in Annex 1) that satis­fies the cri­te­ria in Annex 2, or spe­ci­fy and imple­ment a syste­ma­tic DPIA pro­cess that 
    • is com­pli­ant with the cri­te­ria in Annex 2;
    • is inte­gra­ted into exi­sting design, deve­lo­p­ment, chan­ge, risk and ope­ra­tio­nal review pro­ce­s­ses in accordance with inter­nal pro­ce­s­ses, con­text and culture;
    • invol­ves the appro­pria­te inte­re­sted par­ties and defi­ne their respon­si­bi­li­ties cle­ar­ly (con­trol­ler, DPO, data sub­jects or their repre­sen­ta­ti­ves, busi­ness, tech­ni­cal ser­vices, pro­ces­sors, infor­ma­ti­on secu­ri­ty offi­cer, etc.);
  • pro­vi­de the DPIA report to the com­pe­tent super­vi­so­ry aut­ho­ri­ty when requi­red to do so;
  • con­sult the super­vi­so­ry aut­ho­ri­ty when they have fai­led to deter­mi­ne suf­fi­ci­ent mea­su­res to miti­ga­te the high risks;
  • peri­odi­cal­ly review the DPIA and the pro­ce­s­sing it asses­ses, at least when the­re is a chan­ge of the risk posed by pro­ce­s­sing the operation;
  • docu­ment the decis­i­ons taken.

Schwei­ze­ri­sche Rege­lung: Art. 16 VE-DSG

Der Vor­ent­wurf des revi­dier­ten schwei­ze­ri­schen DSG sieht in Art. 16 eine ana­lo­ge Pflicht vor. Aller­dings soll eine DSFA nach der schwei­ze­ri­schen Rege­lung bereits dann erfor­der­lich sein, wenn die rele­van­ten Risi­ken “erhöht” sind, und der EDÖB soll bei jeder DSFA zu infor­mie­ren sein, also auch dann, wenn die DSFA ergibt, dass die Risi­ken durch Sicher­heits­mass­nah­men soweit redu­ziert wer­den kön­nen, dass kei­ne erhöh­ten Rest­ri­si­ken mehr bestehen (eine ent­spre­chen­de Pflicht besteht nach der DSGVO nur bei immer noch hohen Rest­ri­si­ken; Art. 36 DSGVO ist jedoch unklar for­mu­liert, was den Vor­ent­wurf beein­flusst haben dürf­te). Zudem ist unklar, wer eine DSFA durch­füh­ren hat (“der Ver­ant­wort­li­che oder der Auftragsbearbeiter”).

Trotz die­ser Abwei­chun­gen (die im Ver­nehm­las­sungs­ver­fah­ren stark kri­ti­siert wur­den) ist damit zu rech­nen, dass sich schwei­ze­ri­sche Unter­neh­men am EU-Stan­dard für DSFA aus­rich­ten werden.