Nachdem die Artikel-29-Datenschutzgruppe bereits im Dezember 2016 drei Leitlinien und FAQs zur Anwendung der neuen EU-Datenschutz-Grundverordnung (wirksam ab Mai 2018) veröffentlicht hatte, kommt nun mit dem Working Paper (WP) 248 eine weitere Leitlinie hinzu, die bis Ende Mai 2017 zur Kommentierung steht.

Sie beschäftigt sich mit der sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO.

Nach deutschem Recht entspricht bisher die sog. Vorabkontrolle nach § 4d Abs. 5 und Abs. 6 S. 1 des Bundesdatenschutzgesetzes (BDSG) der Regelung wonach bestimmte Datenverarbeitungen vor ihrer Einführung einer datenschutzrechtlichen Evaluation unterzogen werden müssen. Der Datenschutzbeauftragte ist nach geltendem Recht einzubinden. Die Vorabkontrolle setzt "besondere Risiken" für die Rechte und Freiheiten der Betroffenen voraus und nennt beispielhaft als Anwendungsfall die Verarbeitung besonderer personenbezogener Daten (§ 3 Abs. 9 BDSG) oder Verarbeitungen die dazu bestimmt sind die Persönlichkeit zu bewerten.

Die Datenschutz-Folgenabschätzung nach DS-GVO verlangt in ähnlicher Weise "hohe Risiken" für die Rechte und Freiheiten natürlicher Personen und nennt beispielhaft ebenfalls die Bewertung der Persönlichkeit in systematischer Form (vgl. Art. 35 Abs. 3 lit. a) DS-GVO und als weiteren Katalogfall die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 oder Art. 10 DS-GVO (vgl. Art. 35 Abs. 3 lit. b) DS-GVO. Dies entspricht weitestgehend dem Anwendungsbereich nach dem derzeitigen BDSG.

Neu hinzu kommt das Beispiel für die Annahme eines "hohen Risikos" bei der "systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche" (Art. 35 Abs. 3 lit. c) DS-GVO. Der Datenschutzbeauftragte wird als Ratgeber von dem Verantwortlichen hinzugezogen.

Die Artikel-29-Datenschutzgruppe stellt in ihrer neuesten Leitlinie zehn Kriterien auf, bei deren Erfüllung hohe Risiken für die Rechte und Freiheiten natürlicher Personen bestehen sollten, wiederholt dabei allerdings teilweise die Katalogtatbestände des Art. 35 DS-GVO.

Die Kriterien für die Bewertung "hoher Risiken" sind nach WP 248:

  1. Bewertung und Scoring, einschließlich Profiling oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person (Erwägungsgründe 71 und 91),
  2. Automatisierte Verarbeitung, die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (vgl. Art. 35 Abs. 3 lit. a),
  3. Systematische Überwachung einschließlich der systematischen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 lit. c),
  4. Sensible Daten einschließlich der besonderen Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO,
  5. Umfangreiche Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten und eine große Zahl von Personen betreffen könnten (Erwägungsgrund 91),
  6. Abgleich oder Zusammenführung von Datenbanken, die zu unterschiedlichen Zwecken von unterschiedlichen verantwortlichen Stellen erhoben wurden, mit denen die Betroffenen nicht rechnen mussten,
  7. Datenverarbeitung mit personenbezogenen Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern (Erwägungsgrund 75),
  8. Verarbeitungsvorgängen bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat, wie z.B. Kombination aus Fingerabdruck und Gesichtserkennung bei der Zutrittskontrolle (Erwägungsgründe 89 und 91)
  9. Grenzüberschreitender Datenverkehr in anderes Land außerhalb der Union (Erwägungsgrund 116),
  10. Verarbeitungsvorgänge, bei denen den betroffenen Personen die Ausübung ihrer Rechte erschwert wird (Art. 22 DS-GVO und Erwägungsgrund 91).

Die Auslegungshilfe der Artikel-29-Datenschutzgruppe geht im weiteren Verlauf auf Beispiele ein und nennt ausführlicher als in Art. 35 Abs. 7 DS-GVO beschrieben, die Erwartung der konkreten Inhalte für eine Datenschutz-Folgenabschätzung.

Handlungsempfehlung für die Praxis Die neueste Leitlinie der Artikel-29-Datenschutzgruppe WP 248 ist nicht bindend und ist momentan zur Kommentierung veröffentlicht. Als Auslegungs- und Orientierungshilfe wird sie nach der Kommentierung in einer finalen Version gelten können.

Die neue Leitlinie der Artikel-29-Datenschutzgruppe kann in englischer Sprache nachfolgend heruntergeladen werden. Leitlinien zur Datenschutz-Folgenabschätzung