Seit Inkraft­tre­ten der DSGVO am 25. Mai 2018 haben die Daten­schutz­be­hör­den von 22 EU-Mit­glied­staa­ten sog. „black lists“ betref­fend die Kri­te­ri­en zur Durch­füh­rung von Daten­schutz-Fol­gen­ab­schät­zun­gen gemäss Art. 35 DSGVO erstellt. Dar­auf sind Kri­te­ri­en auf­ge­führt, wel­che bei Daten­ver­ar­bei­tun­gen vor­aus­sicht­lich zu einem hohen Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen füh­ren und damit eine Daten­schutz-Fol­gen­ab­schät­zung ver­lan­gen. Hin­sicht­lich gewis­ser Daten­ver­ar­bei­tungs­vor­gän­ge, nament­lich sol­cher, wel­che mit dem Ange­bot von Waren und Dienst­lei­stun­gen an betrof­fe­ne Per­so­nen oder mit einer Ver­hal­tens­be­ob­ach­tung sol­cher Per­so­nen in Zusam­men­hang ste­hen sowie Ver­ar­bei­tun­gen, wel­che den „frei­en Daten­ver­kehr“ erheb­lich ein­schrän­ken könn­ten, sind sol­che Listen vor­ab im Rah­men des Kohä­renz­ver­fah­rens zu prü­fen. Ein sol­ches Ver­fah­ren hat pri­mär den Zweck, dass die Daten­schutz­be­hör­den der Mit­glied­staa­ten in grund­le­gen­den Fra­gen zusam­men­ar­bei­ten, um die ein­heit­li­che Anwen­dung der DGSVO in den ein­zel­nen Mit­glied­staa­ten zu gewähr­lei­sten und damit dem Ziel eines daten­recht­li­chen Bin­nen­markts best­mög­lich Rech­nung zu tragen.

Vor die­sem Hin­ter­grund hat der Euro­päi­sche Daten­schutz­aus­schuss („EDSA“), der sog. Nach­fol­ger der Art. 29-Daten­schutz­grup­pe, die­se „black lists“ geprüft und sei­ne Stel­lung­nah­men zu den ein­zel­nen Listen ver­öf­fent­licht. Eine Über­sicht über die ein­zel­nen Berich­te fin­den Sie hier: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_de. Eige­ne Kri­te­ri­en für eine Risi­ko­ein­schät­zung im Zusam­men­hang mit Daten­schutz-Fol­gen­ab­schät­zun­gen hat der EDSA bis jetzt nicht for­mu­liert. Aus den ein­zel­nen Stel­lung­nah­men las­sen sich aber fol­gen­de Grund­sät­ze ableiten:

  1. All­ge­mei­ne Grundsätze
  • Hin­sicht­lich des Kon­zepts der Daten­schutz-Fol­gen­ab­schät­zung bil­den die Leit­li­ni­en, wel­che von der Art. 29-Daten­schutz­grup­pe im Working Paper 248 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 dazu ent­wickelt wur­den, das Kern­ele­ment, um eine mög­lichst ein­heit­li­che Umset­zung in den ein­zel­nen Mit­glied­staa­ten zu gewähr­lei­sten. Der EDSA hält die Mit­glied­staa­ten dazu an, die­sen Umstand in ihren Listen zu erwäh­nen und fest­zu­hal­ten, dass ihre Listen als aus­füh­ren­de Bestim­mun­gen zu den Leit­li­ni­en zu ver­ste­hen seien.
  • Vor die­sem Hin­ter­grund sol­len ins­be­son­de­re die in den Leit­li­ni­en for­mu­lier­ten Kri­te­ri­en betref­fend die Beur­tei­lung der Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung mass­ge­bend für die wei­te­re Aus­ar­bei­tung der Listen sein. Die sog. “black“ als auch „white“ lists sind dem­nach gestützt auf die­se zu erstel­len, wobei bei Vor­lie­gen zwei­er Kri­te­ri­en grund­sätz­lich eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren ist.
  • Auch wenn die Listen vor dem Hin­ter­grund des Ziels einer mög­lichst ein­heit­li­chen Umset­zung erstellt wer­den sol­len, bedeu­tet dies nicht, dass die­se gleich lau­ten müs­sen; den natio­na­len Daten­schutz­be­hör­den ist bei der Aus­ar­bei­tung ihrer Listen gleich­wohl genü­gend Ermes­sens­spiel­raum ein­zu­räu­men, wenn es dar­um geht, natio­na­le Beson­der­hei­ten zu berück­sich­ti­gen; Ziel soll pri­mär sein, wesent­li­che Inkon­si­sten­zen bei der Umset­zung von Art. 35 DSGVO zu ver­mei­den, wor­aus ein unter­schied­li­cher Schutz der betrof­fe­nen Daten­sub­jek­te resul­tie­ren könnte.

2.  Kri­te­ri­en­spe­zi­fi­sche Grundsätze

  • Gewis­se Daten­ver­ar­bei­tun­gen ver­lan­gen unter gege­be­nen Umstän­den unge­ach­tet der Vor­aus­set­zun­gen von Art. 35 Abs. 3 DSGVO eine Daten­schutz-Fol­gen­ab­schät­zung. Nament­lich ist dies bei Daten­ver­ar­bei­tun­gen im Zusam­men­hang mit bio­me­tri­schen oder gene­ti­schen Daten der Fall. Der EDSA hat in sei­nen Stel­lung­nah­men somit fest­ge­hal­ten, dass bei Vor­lie­gen sol­cher Daten in Ver­bin­dung mit einem ande­ren Kri­te­ri­um für die ent­spre­chen­den Ver­ar­bei­tun­gen eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren ist. 
  • Gewis­se Daten­ver­ar­bei­tungs­vor­gän­ge genü­gen für sich allei­ne aller­dings nie, eine Ver­pflich­tung für eine Daten­schutz-Fol­gen­ab­schät­zung aus­zu­lö­sen. Dies gilt bei­spiels­wei­se für Kon­stel­la­tio­nen von gemein­sam Ver­ant­wort­li­chen, bei wel­chen Daten aus unter­schied­lich zusam­men­ge­führ­ten Quel­len wei­ter­ver­ar­bei­tet wer­den oder wenn Daten­ver­ar­bei­tun­gen in Zusam­men­hang mit inter­faces von per­sön­li­chen elek­tro­ni­schen Gerä­ten stehen.
  • Fer­ner ist bei gewis­sen Daten­ver­ar­bei­tun­gen eine Daten­schutz-Fol­gen­ab­schät­zung nur dann zu prü­fen, wenn nebst der Art der ver­ar­bei­te­ten Daten min­de­stens ein wei­te­res Kri­te­ri­um gege­ben ist. Dies ist bei­spiels­wei­se bei Ver­ar­bei­tun­gen von sog. „Geo-Daten“ („loca­ti­on data“) als auch bei Daten­ver­ar­bei­tun­gen der Fall, wel­che durch Dritt­par­tei­en gesam­melt wor­den sind. Bei­de Kon­stel­la­tio­nen ver­lan­gen min­de­stens ein wei­te­res Kri­te­ri­um, um gege­be­nen­falls eine Daten­schutz-Fol­gen­ab­schät­zung aus­lö­sen zu können.
  • Der EDSA ist zudem der Mei­nung, dass Über­wa­chungs­mass­nah­men von Mit­ar­bei­tern dann eine Daten­schutz-Fol­gen­ab­schät­zung aus­lö­sen kön­nen, wenn die­se das Kri­te­ri­um der „beson­ders schutz­be­dürf­ti­gen Betrof­fe­nen“ sowie das­je­ni­ge der „syste­ma­ti­schen Über­wa­chung“ erfül­len. Er hält die Mit­glied­staa­ten an, die­se bei­den Kri­te­ri­en expli­zit in die Liste auf­zu­neh­men, wenn es um Über­wa­chungs­mass­nah­men hin­sicht­lich Mit­ar­bei­ter geht und betont – um der Kon­si­stenz wil­len -, dass die Aus­le­gung der „syste­ma­ti­schen Über­wa­chung“ gestützt auf die Leit­li­ni­en zu erfol­gen hat.

AI-generierte Takeaways können falsch sein.