Die DSGVO sieht in Art. 35 vor, dass eine Datenschutz-Folgenabschätzung (DSFA; Privacy Impact Assessment, PIA) durchzuführen ist, wenn eine Datenverarbeitung “voraussichtlich ein hohes Risiko” zur Folge hat. Die Artikel-29-Arbeitsgruppe hat nun den Entwurf des Arbeitspapiers 248 zur DSFA (PDF) veröffentlicht mit verschiedenen Klarstellungen zu Art. 35 DSGVO. Dieses Arbeitspapier ist deshalb von besonderer Bedeutung, weil sich die Artikel-29-Arbeitsgruppe (die mit der DSGVO durch den Europäischen Ausschuss nach Art. 68 DSGVO abgelöst wird) aus Vertretern der Aufsichtsbehörden der Mitgliedstaaten zusammensetzt – also derjenigen Behörden, die durch Positiv- und Negativlisten klarstellen sollen, wann eine DSFA durchzuführen ist.
Bis am 23. Mai 2017 können Kommentare zum Entwurf vorgelegt werden.
Wann ist eine DSFA vorzunehmen?
Eine DSFA ist immer dann durchführen, wenn eine Verarbeitung
- voraussichtlich zu einem hohen Risiko führt,
- noch nicht Gegenstand einer DSFA war,
- und nicht auf einer gesetzlichen Grundlage basiert, bei deren Erlass bereits eine allgemeine Folgenabschätzung erfolgt ist.
Aufgreifkriterien: “voraussichtlich hohes Risiko”
Die Arbeitsgruppe äussert sich u.a. zur Frage, wann eine DSFA durchzuführen ist, d.h. wann mit einem hohen Risiko zu rechnen ist. Dabei seien (v.a. gestützt auf Art. 35 Abs. 3 DSGVO) folgende Umstände als Indizien für ein hohes Risiko zu berücksichtigen:
- Scoring, Profiling, Evaluation, z.B. Einschätzung der Kreditwürdigkeit durch eine Bank, Behavioral Marketing etc.,
- automatisierte Einzelfallentscheidungen (ein eigenes Arbeitspapier zum Thema Profiling soll hier Klarstellungen enthalten),
- systematische Überwachung,
- Verarbeitung sensitiver Daten,
- umfangreiche Datenverarbeitungen (dabei ist auf die Zahl betroffener Personen zu achten, ferner auf die Menge verarbeiteter Daten und die Anzahl von Datenkategorien, dann auf die Dauer der Verarbeitung und ihre geographische Ausdehnung),
- das Zusammenführen oder Abgleichen von Datenbeständen, sofern damit nicht zu rechnen ist,
- die Vearbeitung von Daten besonders schutzbedürftiger Personen,
- Neuartigkeit von Verarbeitungsvorgängen, Verwendung neuer Technologien (bspw. Fingerabdrucksensoren oder Gesichtserkennung),
- Übermittlung von Personendaten an Empfänger ausserhalb der EU,
- Verarbeitungen, die es betroffenen Personen erschweren, ihre Rechte auszuüben oder eine Leistung in Anspruch zu nehmen, bspw. die Beurteilung der Kreditwürdigkeit durch eine Bank vor der Vergabe eines Darlehens.
Als Faustregel sei eine DSFA erforderlich, wenn mindestens zwei der genannten Punkte zusammentreffen (besondere Umstände vorbehalten).
Folgende Beispiele werden genannt für Verarbeitungen, bei denen eine DSFA erforderlich sei:
- A hospital processing its patients’ genetic and health data (hospital information system)
- The use of a camera system to monitor driving behavior on highways. The controller envisages to use an intelligent video analysis system to single out cars and automatically recognize license plates.
- A company monitoring its employees’ activities, including the monitoring of the employees’ work station, internet activity, etc.
- The gathering of public social media profiles data to be used by private companies generating profiles for contact directories.
Dagegen sei hier keine DSFA erforderlich:
- An online magazine using a mailing list to send a generic daily digest to its subscribers.
- An e‑commerce website displaying adverts for vintage car parts involving limited profiling based on past purchases behaviour on certain parts of its website.
Freilich ist ein Verantwortlicher immer gehalten, die Risiken einer Verarbeitung im Blick zu haben (Art. 32 DSGVO) und auch zu dokumentieren (Art. 30 Abs. 1 lit. g DSGVO). Das gilt auch bei nicht hohen Risiken.
Übergangsrecht
Nach dem Wortlaut von Art. 35 DSGVO besteht eine Pflicht zur DSFA nur für zukünftige Verarbeitungen. Übergangsrechtlich kann die Pflicht zur DSFA deshalb nur Verarbeitungen betreffen, mit denen am 25. Mai 2018 noch nicht begonnen wurde. Allerdings:
- Das Arbeitspapier empfieht “strongly”, auch für bereits laufende Verarbeitungen eine DSFA vorzunehmen. Dabei stützt sich die Arbeitsgruppe u.a. auf Art. 35 Abs. 11 DSGVO, wonach ein Verantwortlicher ggf. zu kontrollieren hat, ob eine Verarbeitung gemäss der DSFA erfolgt.
- Laufende Verarbeitungen, die nach dem 25. Mai 2018 erheblich geändert werden, seien ferner als neue Verarbeitungen zu betrachten, für die ggf. eine DSFA durchzuführen sei.
- Dasselbe gelte wenn sich das Risiko einer laufenden Verarbeitung nach dem 25. Mai 2018 durch den Kontext der Verarbeitung erhöhe.
Durchführung einer DSFA
Zeitpunkt
Eine DSFA ist ggf. durchzuführen, bevor die riskante Verarbeitung begonnen wird (Art. 35 Abs. 1 DSGVO, “vorab”). Das Arbeitspapier empfiehlt dabei, die DSFA so früh wie möglich durchzuführen, und zwar auch dann, wenn noch nicht alle Einzelheiten der Verarbeitung feststehen. Bei Änderungen der Verarbeitung sei die DSFA anzupassen. Aus Sicht der Arbeitsgruppe ist eine DSFA demzufolge nicht punktuell durchzuführen, sondern ein Instrument der laufenden Risikobeobachtung und ‑gestaltung:
In some cases the DPIA will be an on-going process, for example where a processing operation is dynamic and subject to ongoing change. Carrying out a DPIA is a continual process, not a one-time exercise.
Verantwortlichkeit
Die Pflicht zur DSFA trifft den Verantwortlichen (Art. 35 Abs. 1 DSGVO), der die DSFA selbstverständlich nicht persönlich durchführen muss. Beim Verantwortlichen ist die Stellungnahme des Datenschutzbeauftragten einzuholen (Abs. 2), der die DSFA auch überwacht. Ein Auftragsbearbeiter, der bei der fraglichen Verarbeitung beteiligt ist, sollte den Verantwortlichen dabei unterstützen.
Nach Art. 35 Abs. 9 ist zudem “gegebenenfalls der Standpunkt der betroffenen Personen oder ihrer Vertreter” einzuholen. Dazu empfiehlt die Arbeitsgruppe, zu dokumentieren, ob der Standpunkt eingeholt wurde, was das Ergebnis ist und welche Überlegungen ggf. dazu geführt haben, diesem Standpunkt nicht zu folgen. Der Standpunkt könne ferner nicht nur durch eine Umfrage erhoben werden, sondern auch z.B. durch eine Studie.
Vorgehen und Inhalt
Die DSGVO enthält keine genauen Vorgaben, auf welche Art und Weise eine DSFA durchzuführen ist. Art. 35 Abs. 7 enthält lediglich folgende Anforderungen an den Inhalt der DSFA:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Methodisch erfordere die DSFA folgendes:
- Einschätzung der Eigenart der betreffenden Verarbeitung, ihres Umfangs, Kontextes und Zwecke;
- Einschätung der Risiken, insb. Eintretenswahrscheinlichkeit und Schwere der möglichen Verletzung;
- Risikominimierung, Sicherstellung der EInhaltung der DSGVO und Dokumentation.
Dabei könne die DSFA typischerweise in folgenden Schritten ablaufen:
Das konkrete Vorgehen ist allerdings weitgehend ins Ermessen des Verantwortlichen gestellt. Wesentlich ist folgendes:
However, whatever its form, a DPIA must be a genuine assessment of risks, allowing controllers to take measures to address them.
Anhang 2 des Arbeitspapiers enthält eine Zusammenstellung des erforderlichen Inhalts einer DSFA in Form einer Checkliste.
Veröffentlichung der DSFA
Die DSGVO sieht keine Pflicht vor, die DSFA oder ihr Ergebnis zu veröffentlichen. Die Arbeitsgruppe empfiehlt jedoch, die Veröffentlichung ganz oder in Teilen zumindest in Betracht zu ziehen, besonders dann, wenn Risiken für die Öffentlichkeit bestehen.
Wiederholung und Überprüfung
Die Arbeitsgruppe empfiehlt, eine DSFA wenigstens alle drei Jahre zu wiederholen. Eine echte Pflicht stellt dies allerdings nicht dar, sofern seit der letzten DSFA nicht relevante risikoerhöhende Umstände eingetreten sind.
Konsultation der Aufsichtsbehörde
Aus Art. 36 DSGVO folgt, dass vor der Verarbeitung die Aufsichtsbehörde zu konsultieren ist, falls die DSFA ergibt, dass trotz Risikominderungsmassnahmen ein hohes Risiko verbleibt. Die Bestimmung ist unklar, wird in ErwG 84 und 94 aber präzisiert. Die Arbeitsgruppe hält ebenso fest:
It is in cases where the identified risks cannot be sufficiently addressed by the data controller (i.e. the residual risks remains high) then the data controller must consult the supervisory authority.
Internationaler Anwendungsbereich von Art. 35 DSGVO
Keine Angaben finden sich zum internationalen Anwendungsbereich von Art. 35 DSGVO. Es bleibt daher offen, ob ausländische Verantwortliche, die der DSGVO gestützt auf Art. 3 Abs. 2 unterstehen, zur Durchführung einer DSFA nach der DSGVO verpflichtet sind.
Handlungsanleitung
Die Arbeitsgruppe fasst die Pflichten des Verantwortlichen nach Art. 35 und 36 DSGVO wie folgt zusammen:
Where a likely high risk processing is planned, the data controller must:
- choose a DPIA methodology (examples given in Annex 1) that satisfies the criteria in Annex 2, or specify and implement a systematic DPIA process that
- is compliant with the criteria in Annex 2;
- is integrated into existing design, development, change, risk and operational review processes in accordance with internal processes, context and culture;
- involves the appropriate interested parties and define their responsibilities clearly (controller, DPO, data subjects or their representatives, business, technical services, processors, information security officer, etc.);
- provide the DPIA report to the competent supervisory authority when required to do so;
- consult the supervisory authority when they have failed to determine sufficient measures to mitigate the high risks;
- periodically review the DPIA and the processing it assesses, at least when there is a change of the risk posed by processing the operation;
- document the decisions taken.
Schweizerische Regelung: Art. 16 VE-DSG
Der Vorentwurf des revidierten schweizerischen DSG sieht in Art. 16 eine analoge Pflicht vor. Allerdings soll eine DSFA nach der schweizerischen Regelung bereits dann erforderlich sein, wenn die relevanten Risiken “erhöht” sind, und der EDÖB soll bei jeder DSFA zu informieren sein, also auch dann, wenn die DSFA ergibt, dass die Risiken durch Sicherheitsmassnahmen soweit reduziert werden können, dass keine erhöhten Restrisiken mehr bestehen (eine entsprechende Pflicht besteht nach der DSGVO nur bei immer noch hohen Restrisiken; Art. 36 DSGVO ist jedoch unklar formuliert, was den Vorentwurf beeinflusst haben dürfte). Zudem ist unklar, wer eine DSFA durchführen hat (“der Verantwortliche oder der Auftragsbearbeiter”).
Trotz dieser Abweichungen (die im Vernehmlassungsverfahren stark kritisiert wurden) ist damit zu rechnen, dass sich schweizerische Unternehmen am EU-Standard für DSFA ausrichten werden.