datenrecht.ch

EDÖB: Merk­blatt zu Datenschutz-Folgenabschätzungen

Der EDÖB hat am 30. August 2023, kurz vor dem Inkraft­tre­ten des neu­en DSG, ein Merk­blatt zu Daten­schutz-Fol­gen­ab­schät­zun­gen (DSFA) ver­öf­fent­licht. Anhang 2 ent­hält einen Vor­schlag für den Inhalt bzw. die Struk­tur einer DSFA.

DSFA sind bekannt­lich die Umwelt­ver­träg­lich­keits­prü­fun­gen des Daten­schutz­rechts: Wenn eine Pro­jekt, eine Appli­ka­ti­on, eine ande­re Bear­bei­tungs­tä­tig­keit ein bestimm­tes Risi­ko­po­ten­ti­al hat, sol­len die wirk­li­chen Risi­ken – für die Betrof­fe­nen, nicht das Unter­neh­men – struk­tu­riert und doku­men­tiert ein­ge­schätzt wer­den, als Grund­la­ge für die wei­te­ren Ent­schei­dun­gen des Verantwortlichen.

Dabei stel­len sich zahl­rei­che Fra­gen, z.B.:

  • Was ist eine “Bear­bei­tung”, die Gegen­stand einer DSFA sein kann? Das beant­wor­tet Art. 22 Abs. 1 DSG teil­wei­se, indem eine DSFA “meh­re­re ähn­li­che Bear­bei­tungs­vor­gän­ge” betref­fen kann – mass­ge­bend ist also nicht der Begriff der Bear­bei­tung bzw. des Bear­bei­tungs­vor­gangs (auch hier ist die Ter­mi­no­lo­gie des DSG nicht klar), son­dern das Risi­ko­pro­fil. Der Ver­ant­wort­li­che ist aber frei, den Gegen­stand einer DSFA sinn­voll zu beschrei­ben und abzu­gren­zen, ins­be­son­de­re etwa von all­ge­mein ver­wen­de­ter Infra­struk­tur, auf der eine heik­le­re Appli­ka­ti­on läuft. Und selbst­ver­ständ­lich kann man auch bei nicht-per­so­nen­be­zo­ge­nen Daten DSFA durch­füh­ren, und klar ist auch, dass auch Auf­trags­be­ar­bei­ter eine DSFA durch­füh­ren kön­nen, wenn sie daten­be­zo­ge­ne Pro­duk­te dadurch bes­ser ver­mark­ten können. 
  • Wann sind Risi­ken poten­ti­ell hoch? Wel­che Fak­to­ren erschei­nen ex ante als so hei­kel, dass sie eine DSFA ver­lan­gen? Nach Art. 22 Abs. 2 DSG sind das die “umfang­rei­che Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten” und die “syste­ma­ti­sche Über­wa­chung umfang­rei­cher öffent­li­cher Berei­che”. Unklar ist ins­be­son­de­re, wann eine Bear­bei­tung “umfang­reich” ist. Einen rela­ti­ven Ansatz – ein grö­sse­rer Anteil einer bestimm­ten Popu­la­ti­on wie etwa bei den “Mas­sen-Kun­den­da­ten” von Ban­ken – kann man kaum ver­tre­ten, sonst wären Kun­den klei­ner Unter­neh­men bes­ser geschützt als sol­che gro­sser. Man muss wohl von abso­lu­ten Zah­len aus­ge­hen, wobei die Schwel­le von 5’000, die unter der DSGVO zuwei­len ange­ge­ben wird, kei­ne aus­rei­chen­de Grund­la­ge hat. Eine Zahl von 1’000 ist will­kür­lich, aber wohl den­noch nahe­lie­gen­der. Unklar ist bei der Über­wa­chung, was “öffent­li­che Berei­che” sind, aber mit Blick auf die Bot­schaft sind wohl nur phy­si­sche Berei­che gemeint, also Bahn­hö­fe, öffent­li­che Park­plät­ze usw. (und nicht etwa das Inter­net). – Hohe Risi­ken kön­nen auch bei ande­ren Vor­gän­gen vor­lie­gen, Art. 22 Abs. 2 DSG ist nicht abschlie­ssend. Im Zwei­fel wird man zu DSFA nei­gen, weil sie im Grun­de ein sehr sinn­vol­les Instru­ment sind, und auch weil Behör­den – der EDÖB – bei heik­le­ren Pro­jek­ten wohl stan­dard­mä­ssig nach einer DSFA fra­gen wird. 
  • Wie kon­trol­liert ein Unter­neh­men, dass DSFA durch­ge­führt oder, vor­ge­la­gert, dass Pro­jek­te auf Daten­schutz­ri­si­ken geprüft wer­den? Das DSG gibt dazu kei­ne Ant­wort – es ist aus­schliess­lich eine Fra­ge der Wirk­sam­keit unter­neh­mens­in­ter­ner Pro­zes­se. Bei allen Bear­bei­tun­gen im Bear­bei­tungs­ver­zeich­nis bestimm­te Risi­ken fest­zu­hal­ten, kann sinn­voll sein, sofern ein Bear­bei­tungs­ver­zeich­nis geführt wird, in einem funk­tio­nie­ren­den Pro­zess ein­ge­bun­den ist und von einer aus­rei­chen­den Qua­li­tät ist. Bei Unter­neh­men mit weni­gen typi­schen Risi­ken kann auch eine ad hoc-Prü­fung ausser­halb stan­dar­di­sier­ter Pro­zes­se aus­rei­chen, etwa bei klei­ne­ren Unter­neh­men im Gesundheitsbereich. 
  • Wie soll eine DSFA durch­ge­führt wer­den? Auch hier gibt das DSG wenig vor. Art. 22 Abs. ver­langt nur “eine Beschrei­bung der geplan­ten Bear­bei­tung”, sodann eine “Bewer­tung der Risi­ken” für Betrof­fe­ne und der “Mass­nah­men” zu ihrem Schutz. Üblich ist ein Vor­ge­hen, bei dem der Gegen­stand der DSFA bestimmt und beschrie­ben wird (z.B. Daten­ar­ten und ‑flüs­se), eine Ver­hält­nis­mä­ssig­keits­prü­fung der Bear­bei­tung durch­ge­führt wird (denn eine über­schie­ssen­de Bear­bei­tung muss nicht nach Risi­ken geprüft, son­dern ein­ge­schränkt wer­den) und anschlie­ssend eine ein- oder mehr­stu­fi­ge Prü­fung der Risi­ken, der Schutz­mass­nah­men und des Risi­kos, das sich aus dem Zusam­men­wir­ken von Risi­ken und Mass­nah­men ergibt. Nicht zwin­gend ist eine gene­rel­le Com­pli­ance-Prü­fung auf Ein­hal­tung des Daten­schutz­rechts, aber zumin­dest dann, wenn hohe Rest­ri­si­ken akzep­tiert wer­den sol­len, wird der Ver­ant­wort­li­che eine sol­che Bewer­tung i.d.R. vor­neh­men, weil der EDÖB die­se Fra­ge stel­len wird (s. unten zum Vor­ge­hen des EDÖB bei einer Vorlage).

Das ist kei­ne abschlie­ssen­de Liste, aber dies vor­aus­ge­schickt: Das Merk­blatt des EDÖB beant­wor­tet die­se Fra­gen nur teil­wei­se, was sicher rich­tig ist, weil der EDÖB in die Gestal­tungs­frei­heit der Ver­ant­wort­li­chen nicht ohne Not ein­grei­fen will und kann. Eini­ge Punk­te sind aber bemerkenswert: 

  • Der EDÖB unter­schei­det zurecht zwi­schen Risi­ken, die immer eine DSFA ver­lan­gen (er nennt dies “abso­lu­te Kri­te­ri­en”) und zwi­schen Fak­to­ren, die im Rah­men der offe­ne­ren Prü­fung des Brut­to­ri­si­kos eine Rol­le spie­len und dabei je nach­dem eine DSFA ver­lan­gen kön­nen (man könn­te sie “rela­ti­ve Kri­te­ri­en” nen­nen). Als abso­lu­te Kri­te­ri­en nennt der EDÖB nur die Fäl­le von Art. 22 Abs. 2 (umfang­rei­che Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und syste­ma­ti­sche Über­wa­chung umfang­rei­cher öffent­li­cher Berei­che), nicht aber das Pro­fil­ing mit hohem Risi­ko. Letz­te­res “kann typi­scher­wei­se ein hohes Risi­ko mit sich zie­hen”, tut es aber offen­bar nicht immer. Das ist nicht unbe­dingt falsch, aber über­ra­schend. – Die wei­te­ren Risi­ko­fak­to­ren im Sin­ne rela­ti­ver Kri­te­ri­en ent­spre­chen mehr oder weni­ger, aber nicht ganz jenen des Euro­päi­schen Daten­schutz-Aus­schus­ses, und im Zwei­fel sei eine DSFA durchzuführen: 
    • Pro­fil­ing mit hohem Risiko

    • auto­ma­ti­sier­te Einzelentscheidung

    • neue Tech­no­lo­gien, inkl. künst­li­che Intelligenz

    • gehei­me Beschaf­fung von Per­so­nen­da­ten [der EDSA nennt dies nicht als beson­de­ren Risikofaktor] 

    • gro­sse Men­ge von Daten

    • gro­sse Anzahl von Personen

    • in zeit­li­cher oder geo­gra­phi­scher Hin­sicht umfang­rei­che Bearbeitung 

    • Ver­knüp­fung oder Abgleich von Datenbeständen

    • Bekannt­ga­be von Per­so­nen­da­ten an Drit­te [der EDSA nennt dies nicht als beson­de­ren Risikofaktor] 

    • Über­wa­chung betrof­fe­ner Personen

    • Betrof­fe­ne Per­so­nen wer­den dar­an gehin­dert, ein Recht aus­zu­üben, eine Dienst­lei­stung zu nut­zen oder einen Ver­trag zu erfüllen

  • Der EDSA nennt sei­ner­seits fol­gen­de Kriterien: 
    • Eva­lua­ti­on or scoring [EDÖB: Pro­fil­ing für sich genom­men nicht] 

    • Auto­ma­ted-decis­i­on making with legal or simi­lar signi­fi­cant effect

    • Syste­ma­tic monitoring

    • Sen­si­ti­ve data or data of a high­ly per­so­nal natu­re [heik­le Daten nennt der EDÖB nicht] 

    • Data pro­ce­s­sed on a lar­ge scale

    • Matching or com­bi­ning datasets

    • Data con­cer­ning vul­nerable data sub­jects [dies nennt der EDÖB nicht] 

    • Inno­va­ti­ve use or app­ly­ing new tech­no­lo­gi­cal or orga­ni­sa­tio­nal solutions

    • When the pro­ce­s­sing in its­elf “pre­vents data sub­jects from exer­cis­ing a right or using a ser­vice or a contract”

  • Die Bekannt­ga­be ins Aus­land kann ein Risi­ko­fak­tor sein. Hier sei eine beson­de­re Prü­fung erfor­der­lich; gemeint ist damit das “Trans­fer Impact Assess­ment”. Das Ergeb­nis sei in die DSFA zu inte­grie­ren, bspw. wenn “auf­grund fak­ti­scher Hand­lungs­mög­lich­kei­ten frem­der Behör­den unter frem­dem Recht poten­zi­el­le Per­sön­lich­keits- und Grund­rechts­ver­let­zun­gen dro­hen” und der Ver­ant­wort­li­che die­ses Risi­ko nicht “rechts­si­cher beein­flus­sen kann und er die Ein­tritts­wahr­schein­lich­keit und Schwe­re der dro­hen­den Ver­let­zung dem­zu­fol­ge auch nach Pla­nung und Aus­wei­sung ent­spre­chen­der Mass­nah­men in der DSFA nicht ver­läss­lich ein­zu­schät­zen ver­mag”. Das ist im Ansatz sicher nicht falsch. Dass ein nicht ver­läss­lich ein­zu­schät­zen­des Risi­ko ten­den­zi­ell als hoch zu ver­an­schla­gen ist, ist aber nicht rich­tig; als Vor­sichts­mass­nah­me kann der Ver­ant­wort­li­che ent­spre­chend vor­ge­hen, aber er muss es nicht. Er kann vie­le Risi­ken nicht ver­läss­lich ein­schät­zen, aber das muss er auch nicht – Art. 2 DSV ver­langt ein den Risi­ken ange­mes­se­nes Sicher­heits­ni­veau, was eine Ein­schät­zung der abseh­ba­ren Risi­ken und nicht Sci­ence Fic­tion ver­langt; ent­spre­chend muss der Ver­ant­wort­li­che auch im Rah­men der DSFA damit arbei­ten, was er anneh­men kann, nicht mit Spe­ku­la­tio­nen. Sicher rich­tig ist aber fol­gen­der Satz: “Zur trans­pa­ren­ten Aus­wei­sung der­ar­ti­ger Risi­ko­la­gen in der DSFA gehört gege­be­nen­falls die Offen­le­gung des Umstands, dass sie nicht ver­läss­lich ein­schätz­bar sind”. 
  • Je nach Ergeb­nis der DSFA muss sie dem EDÖB vor­ge­legt wer­den (Art. 23 DSG). Das kann der Ver­ant­wort­li­che frei­wil­lig tun, wenn die miti­gier­ten, akzep­tier­ten Net­to­ri­si­ken nicht hoch sind oder bei hohen Risi­ken wenn ein Daten­schutz­be­ra­ter in die DSFA ein­be­zo­gen war (ins­ge­samt also in 99% der Fäl­le). Der EDÖB sei aber “nicht gehal­ten, dar­auf ein­zu­tre­ten und mate­ri­ell Stel­lung zu neh­men. Er kann sich jedoch aus­nahms­wei­se im Rah­men sei­ner Bera­tungs­tä­tig­keit zu nicht mehr hohen Rest­ri­si­ken äussern”. Ver­ant­wort­li­che wer­den dem EDÖB auch mit Blick auf das Öffent­lich­keits­ge­setz kaum frei­wil­lig DSFA vor­le­gen, es sei denn aus Repu­ta­ti­ons­über­le­gun­gen, wenn öffent­li­che Reak­tio­nen zu erwar­ten sind.
  • Bei einer zwin­gen­den Vor­la­ge bzw. Kon­sul­ta­ti­on geht der EDÖB wie folgt vor:
    Der EDÖB prüft, ob die ihm vor­lie­gen­de DSFA die aus­ge­wie­se­nen hohen Net­to­ri­si­ken ver­ständ­lich, nach­voll­zieh­bar und voll­stän­dig aus­weist und her­lei­tet. Wei­ter prüft er, ob die geplan­te Bear­bei­tung unter Berück­sich­ti­gung der aus­zu­wei­sen­den Risi­ken mit den Vor­ga­ben der Daten­schutz­ge­setz­ge­bung als Gan­zes ver­ein­bar ist, indem sie sich hin­sicht­lich des geplan­ten Umfangs und der Inten­si­tät als für die Betrof­fe­nen zumut­bar und somit ins­ge­samt als ver­tret­bar erweist.

    Innert der in Art. 23 Abs. 2 DSG genann­ten Ord­nungs­frist von zwei Mona­ten teilt der EDÖB dem Ver­ant­wort­li­chen all­fäl­li­ge Ein­wän­de mit. Die Stel­lun­ga­h­me des EDÖB ist gebüh­ren­pflich­tig (Art. 59 DSG). Sie kann sich auf die geplan­ten Daten­be­ar­bei­tung bezie­hen oder auch auf die Aus­ge­stal­tung der DSFA”

    […]

    Wei­gert sich ein Ver­ant­wort­li­cher, wich­ti­ge Ein­wän­de und Anre­gun­gen des EDÖB zu befol­gen, kann Letz­te­rer eine Unter­su­chung eröff­nen und ange­reg­te Ergän­zun­gen oder Ände­run­gen bis hin zum Ver­bot der Bear­bei­tung zu gege­be­ner Zeit for­mell ver­fü­gen.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter

News abonnieren →