Die „Blacklist“ für Datenschutz-Folgenabschätzungen ist da!

Datenverarbeitung und Risiko – ein untrennbares Paar: Birgt eine Verarbeitung personenbezogener Daten ein hohes Risiko für betroffene Personen muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Durch die „Blacklist“ wird die Pflicht zur DSFA konkretisiert.

Nach Artikel 35 Abs 5 DSGVO ist es Aufsichtsbehörden, in Österreich der Datenschutzbehörde, freigestellt eine Liste mit Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung erforderlich ist, zu erstellen und zu veröffentlichen. Diese „Whitelist“ ist bereits am 25. Mai 2018 veröffentlicht worden und in Kraft getreten. Daneben sieht Artikel 35 Abs 4 DSGVO die Erstellung und Veröffentlichung einer weiteren Liste vor, welche Verarbeitungsvorgänge enthält, für die eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen ist. Jene „Blacklist“ wurde am 9. November2018 mit der „Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)“, mit BGBl. II Nr. 278/2018 veröffentlicht und ist am 10. November 2018 in Kraft getreten.

Die Verpflichtung zur Durchführung einer DSFA hängt von dem Vorliegen eines oder mehrerer festgelegter Kriterien ab.

DSFA-Pflicht nach § 2 Abs 2 DSFA-V

Eine DSFA ist durchzuführen, wenn

1. eine Verarbeitung die Bewertung oder Einstufung für bestimmte Zwecke umfasst und ausschließlich auf automatisierter Verarbeitung beruht und negative Auswirkungen für die betroffene Person haben kann (z.B. automatisierte Preisgestaltung anhand eines „Kunden-Scorings“) ;
2. eine Verarbeitung zur Bewertung des Verhaltens und persönlicher Aspekte dient und von Dritten für automatisierte Entscheidungsfindung eingesetzt werden kann, wobei diese mit Rechtswirkungen oder ähnlichen erheblichen Beeinträchtigungen für die bewertete Person verbunden ist;
3. Verarbeitungsvorgänge die Beobachtung, Überwachung betroffener Personen, insbesondere mittels Bild- und Tonverarbeitung, zum Ziel haben auf bestimmte, in der „Blacklist“ näher definierte Weise erfolgen;
4. eine Verarbeitung unter Einsatz neuer Technologie erfolgt und die Auswirkungen auf die betroffene Person und die gesellschaftlichen Folgen schwer abschätzbar sind (z.B. künstliche Intelligenz, Verarbeitung biometrischer Daten);
5. eine Zusammenführung bzw. ein Abgleich von Daten aus mehreren Verarbeitungen zu unterschiedlichen Zwecken bzw. von verschiedenen Verantwortlichen erfolgt, wenn die betroffene Person eine solche Verarbeitung üblicherweise nicht erwarten kann und durch Entscheidungen, die von Algorithmen getroffen wurden, erheblich beeinträchtigt wird;
6. Verarbeitungsvorgänge im höchstpersönlichen Bereich einer Person, ungeachtet einer Einwilligung.

Die Zulässigkeit einer Verarbeitung im Sinne des Punktes 5 erscheint im Hinblick auf das Transparenzgebot fraglich, da die Verarbeitung für betroffene Personen nachvollziehbar sein muss. Auffallend ist auch, dass die Bedeutung des Betriebsrates bzw. der Personalvertretung gestärkt wird: Denn eine DSFA muss bei Vorliegen obiger Kriterien nicht durchgeführt werden, sofern eine Betriebsvereinbarung oder eine Zustimmung der Personalvertretung vorliegt.

DSFA-Pflicht nach § 2 Abs 3 DSFA-V

Eine DSFA-Pflicht besteht darüber hinaus, wenn eine Verarbeitung zwei oder mehrere der folgenden Kriterien erfüllt:

1. Umfangreiche Verarbeitung besonderer Datenkategorien nach Artikel 9 DSGVO (Gesundheitsdaten, Religion, etc.);
2. Umfangreiche Verarbeitung strafrechtsbezogener Daten nach Artikel 10 DSGVO;
3. Erfassung von Standortdaten (§ 92 Abs 3 Z 6 TKG 2003);
4. Verarbeitung von Daten schutzwürdiger Personen (Personen unter 14 Jahren, Arbeitnehmer, Patienten)
5. Zusammenführung bzw. Abgleich von Daten aus mehreren Verarbeitungen zu unterschiedlichen Zwecken bzw. von verschiedenen Verantwortlichen, wenn die betroffene Person diese Verarbeitung üblicherweise nicht erwarten kann und die Verarbeitung für Zwecke erfolgt, für welche die Daten nicht direkt bei der betroffenen Person erhoben wurden.

In diesem Zusammenhang ist zu berücksichtigen, dass gemäß Artikel 35 Abs 3 lit b DSGVO – welcher der DSFA-V im Range vorgeht! – bereits dann eine DSFA durchzuführen ist, wenn eine umfangreiche Verarbeitung personenbezogener Daten gemäß Artikel 9 DSGVO ODER Artikel 10 DSGVO erfolgt.

Die „Blacklist“ bietet nunmehr eine weitere Hilfestellung für die Beurteilung, ob eine DSFA durchzuführen ist. Die genaue Prüfung bleibt dennoch eine Herausforderung, da die teilweise nicht weiter definierten Kriterien jenen entsprechen, die in der DSFA Guideline des Europäischen Datenschutz-Ausschusses (wp248.rev01) allgemein beschrieben werden. Darauf ist insbesondere deshalb zu achten, da weder auf eine Verarbeitungstätigkeit noch auf eine Verarbeitung, sondern infolge Relevanz bestimmter Kriterien auf die Ausgestaltung der Verarbeitung bzw. Verarbeitungstätigkeit abgestellt wird