Datenschutz Folgenabschätzung

Datenschutz-Folgenabschätzung: Behörden veröffentlichen erste Positivlisten


Ihre Kontakte

Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die DSGVO enthält unter bestimmten Voraussetzungen eine neue und zentrale Pflicht zur Durchführung einer sog. Datenschutz-Folgenabschätzung (DSFA). Zur Konkretisierung der Vorschriften müssen die Aufsichtsbehörden Listen der verschiedenen Verarbeitungsvorgänge veröffentlichen, in welchen eine DSFA zu erstellen ist (sog. Positivlisten). Zahlreiche deutsche Behörden sind dieser Verpflichtung nachgekommen und haben kürzlich entsprechende Listen publiziert.

Ausgangslage

Die Datenschutz-Folgenabschätzung erfordert vom Verantwortlichen eine Bewertung der Auswirkungen bestimmter Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen können. DSFAs sind ein Verfahren zur systematischen Analyse, Identifizierung und Minimierung von «risikoreichen» Verarbeitungstätigkeiten einer Verarbeitung, eines Projektes oder eines Prozesses und dienen dem Schutz der Privatsphäre von Personen. Wichtig ist, dass eine DSFA das Risiko aus der Sicht des Betroffenen und nicht aus der Sicht des Unternehmens analysiert und zudem die Wahrscheinlichkeit des Risikoeintritts sowie der Schwere des Risikos umfasst (vgl. zum zwingenden Mindestinhalt Art. 35 Abs. 7).

Datenschutz-Folgenabschätzungen sind ein wesentlicher Bestandteil der Rechenschaftspflicht des Verantwortlichen im Rahmen der DSGVO. DSFAs müssen nicht für jede Verarbeitungsaktivität durchgeführt werden. Sie sind nur dann erforderlich, wenn die Verarbeitungstätigkeit zu einem «hohen Risiko für die Rechte und Freiheiten natürlicher Personen» führen kann (Art. 35 DSGVO).

Wird in diesen Fällen keine Datenschutz-Folgenabschätzung durchgeführt, müssen die für die Verarbeitung der Datenverarbeitung Verantwortlichen mit einer Geldbusse von bis zu 10 Mio. EUR oder 2% des Gesamtjahresumsatzes rechnen (Art. 83 Abs. 4 a) DSGVO).

Artikel 35 Abs. 3 DSGVO liefert einige Beispiele dafür, wann eine Verarbeitung zu hohen Risiken führen kann:

  1. eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, die auf einer automatisierten Verarbeitung, einschliesslich der Erstellung von Profilen, beruht und auf der Entscheidungen beruhen, die rechtliche Auswirkungen auf die natürliche Person haben oder die die natürliche Person in ähnlicher Weise erheblich beeinträchtigen;
  2. die Verarbeitung von in Artikel 9 Absatz 1 genannten besonderen Datenkategorien oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäss Artikel 10 in grossem Umfang oder
  3. eine systematische Überwachung eines öffentlich zugänglichen Gebiets in grossem Umfang.

Aufgrund der gewählten Formulierung im Einleitungssatz von Art. 35 Abs. 3 DSGVO («insbesondere») ist klar, dass es sich hier um keine abschliessende Liste handelt. Es können somit durchaus weitere «risikoreiche» Verarbeitungsverfahren existieren, die nicht in der genannten Liste enthalten sind.

Veröffentlichung erster Positivlisten

Art. 35 DSGVO sieht vor, dass die EU-Aufsichtsbehörden Listen der verschiedenen Verarbeitungsvorgänge veröffentlichen müssen, in welchen eine DSFA zu erstellen ist, sog. «Positivlisten» (auch «Blacklists» oder «Muss-listen» genannt). Diese Listen sind von den Aufsichtsbehörden zwingend zu erstellen und zu veröffentlichen. Darüber hinaus können die Aufsichtsbehörden, auf freiwilliger Basis, auch Listen von Verarbeitungsvorgängen veröffentlichen, in welchen keine Datenschutz-Folgenabschätzung zu erstellen ist, sog. «Negativlisten» (auch «Whitelists» genannt; vgl. als Beispiel hierfür eine Verordnung aus Österreich).

Verschiedene Aufsichtsbehörden haben nun erste Positivlisten veröffentlicht. In Deutschland sind dies die folgenden Aufsichtsbehörden:

Die Veröffentlichung dieser Positivlisten gibt den Verantwortlichen einen guten Überblick und eine hilfreiche Anleitung, welche konkreten Verfahren aus Sicht der deutschen Aufsichtsbehörden zwingend eine Datenschutz-Folgenabschätzung erfordern.

Beispielsweise unterliegen die folgenden Verarbeitungsvorgänge der Forderung nach einer DSFA (nach (1) Massgebliche Beschreibung der Verarbeitungstätigkeit; (2) Typische Einsatzfelder; und (3) Beispiel):

  • (1) Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen, Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten. (2) Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. (3) Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.
  • (1) Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen. (2) Betrieb von Bewertungsportalen. (3) Ein Online-Portal bietet Nutzern die Möglichkeit an, Leistungen von Selbstständigen öffentlich feingranular zu bewerten. Online-Bewertungsportal bspw. für Ärzte, Selbstständige oder Lehrer.
  • (1) Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen. (2) Betrieb von grossen Sozialen Netzwerken. (3) Ein Webportal erstellt Profile der Nutzer um möglichst passende Kontaktvorschläge zu generieren.

Relativierung der Bedeutung von Positivlisten

Allerdings wird die Bedeutung der Positivlisten aus folgenden Gründe relativiert:

  • die Listen können jederzeit geändert werden (sie enthalten folgenden Hinweis: “Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Vorgesehen ist auch eine Abstimmung über die Inhalte der Liste unter den unabhängigen Aufsichtsbehörden des Bundes und der Länder, die sich in der Datenschutzkonferenz (DSK) zusammengeschlossen haben“); und
  • wie ausdrücklich angegeben, besteht keine Gewissheit, dass, wenn ein Verfahren nicht in der Liste enthalten ist, auch keine DSFA durchgeführt werden muss (“Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 Abs. 1 Satz 1 DS-GVO erfüllt.“).

Weitere Informationen:


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.