Der EDÖB hat am 30. August 2023, kurz vor dem Inkrafttreten des neuen DSG, ein Merkblatt zu Datenschutz-Folgenabschätzungen (DSFA) veröffentlicht. Anhang 2 enthält einen Vorschlag für den Inhalt bzw. die Struktur einer DSFA.
DSFA sind bekanntlich die Umweltverträglichkeitsprüfungen des Datenschutzrechts: Wenn eine Projekt, eine Applikation, eine andere Bearbeitungstätigkeit ein bestimmtes Risikopotential hat, sollen die wirklichen Risiken – für die Betroffenen, nicht das Unternehmen – strukturiert und dokumentiert eingeschätzt werden, als Grundlage für die weiteren Entscheidungen des Verantwortlichen.
Dabei stellen sich zahlreiche Fragen, z.B.:
- Was ist eine “Bearbeitung”, die Gegenstand einer DSFA sein kann? Das beantwortet Art. 22 Abs. 1 DSG teilweise, indem eine DSFA “mehrere ähnliche Bearbeitungsvorgänge” betreffen kann – massgebend ist also nicht der Begriff der Bearbeitung bzw. des Bearbeitungsvorgangs (auch hier ist die Terminologie des DSG nicht klar), sondern das Risikoprofil. Der Verantwortliche ist aber frei, den Gegenstand einer DSFA sinnvoll zu beschreiben und abzugrenzen, insbesondere etwa von allgemein verwendeter Infrastruktur, auf der eine heiklere Applikation läuft. Und selbstverständlich kann man auch bei nicht-personenbezogenen Daten DSFA durchführen, und klar ist auch, dass auch Auftragsbearbeiter eine DSFA durchführen können, wenn sie datenbezogene Produkte dadurch besser vermarkten können.
- Wann sind Risiken potentiell hoch? Welche Faktoren erscheinen ex ante als so heikel, dass sie eine DSFA verlangen? Nach Art. 22 Abs. 2 DSG sind das die “umfangreiche Bearbeitung besonders schützenswerter Personendaten” und die “systematische Überwachung umfangreicher öffentlicher Bereiche”. Unklar ist insbesondere, wann eine Bearbeitung “umfangreich” ist. Einen relativen Ansatz – ein grösserer Anteil einer bestimmten Population wie etwa bei den “Massen-Kundendaten” von Banken – kann man kaum vertreten, sonst wären Kunden kleiner Unternehmen besser geschützt als solche grosser. Man muss wohl von absoluten Zahlen ausgehen, wobei die Schwelle von 5’000, die unter der DSGVO zuweilen angegeben wird, keine ausreichende Grundlage hat. Eine Zahl von 1’000 ist willkürlich, aber wohl dennoch naheliegender. Unklar ist bei der Überwachung, was “öffentliche Bereiche” sind, aber mit Blick auf die Botschaft sind wohl nur physische Bereiche gemeint, also Bahnhöfe, öffentliche Parkplätze usw. (und nicht etwa das Internet). – Hohe Risiken können auch bei anderen Vorgängen vorliegen, Art. 22 Abs. 2 DSG ist nicht abschliessend. Im Zweifel wird man zu DSFA neigen, weil sie im Grunde ein sehr sinnvolles Instrument sind, und auch weil Behörden – der EDÖB – bei heikleren Projekten wohl standardmässig nach einer DSFA fragen wird.
- Wie kontrolliert ein Unternehmen, dass DSFA durchgeführt oder, vorgelagert, dass Projekte auf Datenschutzrisiken geprüft werden? Das DSG gibt dazu keine Antwort – es ist ausschliesslich eine Frage der Wirksamkeit unternehmensinterner Prozesse. Bei allen Bearbeitungen im Bearbeitungsverzeichnis bestimmte Risiken festzuhalten, kann sinnvoll sein, sofern ein Bearbeitungsverzeichnis geführt wird, in einem funktionierenden Prozess eingebunden ist und von einer ausreichenden Qualität ist. Bei Unternehmen mit wenigen typischen Risiken kann auch eine ad hoc-Prüfung ausserhalb standardisierter Prozesse ausreichen, etwa bei kleineren Unternehmen im Gesundheitsbereich.
- Wie soll eine DSFA durchgeführt werden? Auch hier gibt das DSG wenig vor. Art. 22 Abs. verlangt nur “eine Beschreibung der geplanten Bearbeitung”, sodann eine “Bewertung der Risiken” für Betroffene und der “Massnahmen” zu ihrem Schutz. Üblich ist ein Vorgehen, bei dem der Gegenstand der DSFA bestimmt und beschrieben wird (z.B. Datenarten und ‑flüsse), eine Verhältnismässigkeitsprüfung der Bearbeitung durchgeführt wird (denn eine überschiessende Bearbeitung muss nicht nach Risiken geprüft, sondern eingeschränkt werden) und anschliessend eine ein- oder mehrstufige Prüfung der Risiken, der Schutzmassnahmen und des Risikos, das sich aus dem Zusammenwirken von Risiken und Massnahmen ergibt. Nicht zwingend ist eine generelle Compliance-Prüfung auf Einhaltung des Datenschutzrechts, aber zumindest dann, wenn hohe Restrisiken akzeptiert werden sollen, wird der Verantwortliche eine solche Bewertung i.d.R. vornehmen, weil der EDÖB diese Frage stellen wird (s. unten zum Vorgehen des EDÖB bei einer Vorlage).
Das ist keine abschliessende Liste, aber dies vorausgeschickt: Das Merkblatt des EDÖB beantwortet diese Fragen nur teilweise, was sicher richtig ist, weil der EDÖB in die Gestaltungsfreiheit der Verantwortlichen nicht ohne Not eingreifen will und kann. Einige Punkte sind aber bemerkenswert:
- Der EDÖB unterscheidet zurecht zwischen Risiken, die immer eine DSFA verlangen (er nennt dies “absolute Kriterien”) und zwischen Faktoren, die im Rahmen der offeneren Prüfung des Bruttorisikos eine Rolle spielen und dabei je nachdem eine DSFA verlangen können (man könnte sie “relative Kriterien” nennen). Als absolute Kriterien nennt der EDÖB nur die Fälle von Art. 22 Abs. 2 (umfangreiche Bearbeitung besonders schützenswerter Personendaten und systematische Überwachung umfangreicher öffentlicher Bereiche), nicht aber das Profiling mit hohem Risiko. Letzteres “kann typischerweise ein hohes Risiko mit sich ziehen”, tut es aber offenbar nicht immer. Das ist nicht unbedingt falsch, aber überraschend. – Die weiteren Risikofaktoren im Sinne relativer Kriterien entsprechen mehr oder weniger, aber nicht ganz jenen des Europäischen Datenschutz-Ausschusses, und im Zweifel sei eine DSFA durchzuführen:
-
Profiling mit hohem Risiko
-
automatisierte Einzelentscheidung
-
neue Technologien, inkl. künstliche Intelligenz
-
geheime Beschaffung von Personendaten [der EDSA nennt dies nicht als besonderen Risikofaktor]
-
grosse Menge von Daten
-
grosse Anzahl von Personen
-
in zeitlicher oder geographischer Hinsicht umfangreiche Bearbeitung
-
Verknüpfung oder Abgleich von Datenbeständen
-
Bekanntgabe von Personendaten an Dritte [der EDSA nennt dies nicht als besonderen Risikofaktor]
-
Überwachung betroffener Personen
-
Betroffene Personen werden daran gehindert, ein Recht auszuüben, eine Dienstleistung zu nutzen oder einen Vertrag zu erfüllen
-
- Der EDSA nennt seinerseits folgende Kriterien:
-
Evaluation or scoring [EDÖB: Profiling für sich genommen nicht]
-
Automated-decision making with legal or similar significant effect
-
Systematic monitoring
-
Sensitive data or data of a highly personal nature [heikle Daten nennt der EDÖB nicht]
-
Data processed on a large scale
-
Matching or combining datasets
-
Data concerning vulnerable data subjects [dies nennt der EDÖB nicht]
-
Innovative use or applying new technological or organisational solutions
-
When the processing in itself “prevents data subjects from exercising a right or using a service or a contract”
-
- Die Bekanntgabe ins Ausland kann ein Risikofaktor sein. Hier sei eine besondere Prüfung erforderlich; gemeint ist damit das “Transfer Impact Assessment”. Das Ergebnis sei in die DSFA zu integrieren, bspw. wenn “aufgrund faktischer Handlungsmöglichkeiten fremder Behörden unter fremdem Recht potenzielle Persönlichkeits- und Grundrechtsverletzungen drohen” und der Verantwortliche dieses Risiko nicht “rechtssicher beeinflussen kann und er die Eintrittswahrscheinlichkeit und Schwere der drohenden Verletzung demzufolge auch nach Planung und Ausweisung entsprechender Massnahmen in der DSFA nicht verlässlich einzuschätzen vermag”. Das ist im Ansatz sicher nicht falsch. Dass ein nicht verlässlich einzuschätzendes Risiko tendenziell als hoch zu veranschlagen ist, ist aber nicht richtig; als Vorsichtsmassnahme kann der Verantwortliche entsprechend vorgehen, aber er muss es nicht. Er kann viele Risiken nicht verlässlich einschätzen, aber das muss er auch nicht – Art. 2 DSV verlangt ein den Risiken angemessenes Sicherheitsniveau, was eine Einschätzung der absehbaren Risiken und nicht Science Fiction verlangt; entsprechend muss der Verantwortliche auch im Rahmen der DSFA damit arbeiten, was er annehmen kann, nicht mit Spekulationen. Sicher richtig ist aber folgender Satz: “Zur transparenten Ausweisung derartiger Risikolagen in der DSFA gehört gegebenenfalls die Offenlegung des Umstands, dass sie nicht verlässlich einschätzbar sind”.
- Je nach Ergebnis der DSFA muss sie dem EDÖB vorgelegt werden (Art. 23 DSG). Das kann der Verantwortliche freiwillig tun, wenn die mitigierten, akzeptierten Nettorisiken nicht hoch sind oder bei hohen Risiken wenn ein Datenschutzberater in die DSFA einbezogen war (insgesamt also in 99% der Fälle). Der EDÖB sei aber “nicht gehalten, darauf einzutreten und materiell Stellung zu nehmen. Er kann sich jedoch ausnahmsweise im Rahmen seiner Beratungstätigkeit zu nicht mehr hohen Restrisiken äussern”. Verantwortliche werden dem EDÖB auch mit Blick auf das Öffentlichkeitsgesetz kaum freiwillig DSFA vorlegen, es sei denn aus Reputationsüberlegungen, wenn öffentliche Reaktionen zu erwarten sind.
- Bei einer zwingenden Vorlage bzw. Konsultation geht der EDÖB wie folgt vor:
“Der EDÖB prüft, ob die ihm vorliegende DSFA die ausgewiesenen hohen Nettorisiken verständlich, nachvollziehbar und vollständig ausweist und herleitet. Weiter prüft er, ob die geplante Bearbeitung unter Berücksichtigung der auszuweisenden Risiken mit den Vorgaben der Datenschutzgesetzgebung als Ganzes vereinbar ist, indem sie sich hinsichtlich des geplanten Umfangs und der Intensität als für die Betroffenen zumutbar und somit insgesamt als vertretbar erweist.
Innert der in Art. 23 Abs. 2 DSG genannten Ordnungsfrist von zwei Monaten teilt der EDÖB dem Verantwortlichen allfällige Einwände mit. Die Stellungahme des EDÖB ist gebührenpflichtig (Art. 59 DSG). Sie kann sich auf die geplanten Datenbearbeitung beziehen oder auch auf die Ausgestaltung der DSFA”
[…]Weigert sich ein Verantwortlicher, wichtige Einwände und Anregungen des EDÖB zu befolgen, kann Letzterer eine Untersuchung eröffnen und angeregte Ergänzungen oder Änderungen bis hin zum Verbot der Bearbeitung zu gegebener Zeit formell verfügen.