Seit Inkrafttreten der DSGVO am 25. Mai 2018 haben die Datenschutzbehörden von 22 EU-Mitgliedstaaten sog. „black lists“ betreffend die Kriterien zur Durchführung von Datenschutz-Folgenabschätzungen gemäss Art. 35 DSGVO erstellt. Darauf sind Kriterien aufgeführt, welche bei Datenverarbeitungen voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen und damit eine Datenschutz-Folgenabschätzung verlangen. Hinsichtlich gewisser Datenverarbeitungsvorgänge, namentlich solcher, welche mit dem Angebot von Waren und Dienstleistungen an betroffene Personen oder mit einer Verhaltensbeobachtung solcher Personen in Zusammenhang stehen sowie Verarbeitungen, welche den „freien Datenverkehr“ erheblich einschränken könnten, sind solche Listen vorab im Rahmen des Kohärenzverfahrens zu prüfen. Ein solches Verfahren hat primär den Zweck, dass die Datenschutzbehörden der Mitgliedstaaten in grundlegenden Fragen zusammenarbeiten, um die einheitliche Anwendung der DGSVO in den einzelnen Mitgliedstaaten zu gewährleisten und damit dem Ziel eines datenrechtlichen Binnenmarkts bestmöglich Rechnung zu tragen.
Vor diesem Hintergrund hat der Europäische Datenschutzausschuss („EDSA“), der sog. Nachfolger der Art. 29-Datenschutzgruppe, diese „black lists“ geprüft und seine Stellungnahmen zu den einzelnen Listen veröffentlicht. Eine Übersicht über die einzelnen Berichte finden Sie hier: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_de. Eigene Kriterien für eine Risikoeinschätzung im Zusammenhang mit Datenschutz-Folgenabschätzungen hat der EDSA bis jetzt nicht formuliert. Aus den einzelnen Stellungnahmen lassen sich aber folgende Grundsätze ableiten:
- Allgemeine Grundsätze
- Hinsichtlich des Konzepts der Datenschutz-Folgenabschätzung bilden die Leitlinien, welche von der Art. 29-Datenschutzgruppe im Working Paper 248 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 dazu entwickelt wurden, das Kernelement, um eine möglichst einheitliche Umsetzung in den einzelnen Mitgliedstaaten zu gewährleisten. Der EDSA hält die Mitgliedstaaten dazu an, diesen Umstand in ihren Listen zu erwähnen und festzuhalten, dass ihre Listen als ausführende Bestimmungen zu den Leitlinien zu verstehen seien.
- Vor diesem Hintergrund sollen insbesondere die in den Leitlinien formulierten Kriterien betreffend die Beurteilung der Notwendigkeit einer Datenschutz-Folgenabschätzung massgebend für die weitere Ausarbeitung der Listen sein. Die sog. “black“ als auch „white“ lists sind demnach gestützt auf diese zu erstellen, wobei bei Vorliegen zweier Kriterien grundsätzlich eine Datenschutz-Folgenabschätzung durchzuführen ist.
- Auch wenn die Listen vor dem Hintergrund des Ziels einer möglichst einheitlichen Umsetzung erstellt werden sollen, bedeutet dies nicht, dass diese gleich lauten müssen; den nationalen Datenschutzbehörden ist bei der Ausarbeitung ihrer Listen gleichwohl genügend Ermessensspielraum einzuräumen, wenn es darum geht, nationale Besonderheiten zu berücksichtigen; Ziel soll primär sein, wesentliche Inkonsistenzen bei der Umsetzung von Art. 35 DSGVO zu vermeiden, woraus ein unterschiedlicher Schutz der betroffenen Datensubjekte resultieren könnte.
2. Kriterienspezifische Grundsätze
- Gewisse Datenverarbeitungen verlangen unter gegebenen Umständen ungeachtet der Voraussetzungen von Art. 35 Abs. 3 DSGVO eine Datenschutz-Folgenabschätzung. Namentlich ist dies bei Datenverarbeitungen im Zusammenhang mit biometrischen oder genetischen Daten der Fall. Der EDSA hat in seinen Stellungnahmen somit festgehalten, dass bei Vorliegen solcher Daten in Verbindung mit einem anderen Kriterium für die entsprechenden Verarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen ist.
- Gewisse Datenverarbeitungsvorgänge genügen für sich alleine allerdings nie, eine Verpflichtung für eine Datenschutz-Folgenabschätzung auszulösen. Dies gilt beispielsweise für Konstellationen von gemeinsam Verantwortlichen, bei welchen Daten aus unterschiedlich zusammengeführten Quellen weiterverarbeitet werden oder wenn Datenverarbeitungen in Zusammenhang mit interfaces von persönlichen elektronischen Geräten stehen.
- Ferner ist bei gewissen Datenverarbeitungen eine Datenschutz-Folgenabschätzung nur dann zu prüfen, wenn nebst der Art der verarbeiteten Daten mindestens ein weiteres Kriterium gegeben ist. Dies ist beispielsweise bei Verarbeitungen von sog. „Geo-Daten“ („location data“) als auch bei Datenverarbeitungen der Fall, welche durch Drittparteien gesammelt worden sind. Beide Konstellationen verlangen mindestens ein weiteres Kriterium, um gegebenenfalls eine Datenschutz-Folgenabschätzung auslösen zu können.
- Der EDSA ist zudem der Meinung, dass Überwachungsmassnahmen von Mitarbeitern dann eine Datenschutz-Folgenabschätzung auslösen können, wenn diese das Kriterium der „besonders schutzbedürftigen Betroffenen“ sowie dasjenige der „systematischen Überwachung“ erfüllen. Er hält die Mitgliedstaaten an, diese beiden Kriterien explizit in die Liste aufzunehmen, wenn es um Überwachungsmassnahmen hinsichtlich Mitarbeiter geht und betont – um der Konsistenz willen -, dass die Auslegung der „systematischen Überwachung“ gestützt auf die Leitlinien zu erfolgen hat.