Bayerische Blacklist zur Datenschutz-Folgenabschätzung für den öffentlichen Bereich

Am 7. März 2019 hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) seine „Bayerische Blacklist“ für die Datenschutz-Folgenabschätzung (DSFA) bereitgestellt. Die Liste wird durch eine Fallstudie¹ ergänzt, welche die Methodik der Datenschutz-Folgenabschätzung verdeutlichen soll.

Das Informationsmaterial vervollständigt die bereits zu einem früheren Zeitpunkt veröffentlichte Orientierungshilfe² zur Datenschutz-Folgenabschätzung und die Empfehlung zu ihrer Durchführung mit Hilfe einer von der französischen Datenschutzaufsichtsbehörde CNIL entwickelten Software³.

Mit seiner „Blacklist“ für den bayerischen öffentlichen Bereich kommt der BayLfD seiner Verpflichtung nach, Verarbeitungsvorgänge zu benennen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (Art. 35 Abs.4 DSGVO). Sie sind nach Art. 35 Abs. 1 DSGVO vorab einer Abschätzung der Folgen für den Schutz personenbezogener Daten zu unterziehen.


Für DSFA-pflichtige Verarbeitungen, die am 25. Mai 2018 bereits eingeleitet waren und die ohne wesentliche Änderungen fortgeführt werden, gilt eine Prüfpflicht weiterhin erst drei Jahre nach Beginn der Geltung der DSGVO (so weiterhin die Arbeitshilfen des Bayer. Innenministeriums⁴).


Mit 44 Konstellationen aus 21 Fachbereichen ist der Umfang der Bayerischen Blacklist beachtlich. Trotzdem erhebt sie nicht den Anspruch, sämtliche im öffentlichen Bereich denkbaren DSFA-pflichtigen Vorgänge abschließend zu beschreiben. Der Praxis vermittelt die Liste gleichwohl in vielen Fällen zumindest erste Leitlinien, unter welchen Gegebenheiten ein „hohes Risiko“ im Sinne von Art. 35 Abs. 1 DSGVO angenommen werden sollte.


Im Detail überlässt die Liste den Verantwortlichen in vielen Fällen noch erhebliche Beurteilungsspielräume und damit erhebliche Konkretisierungsarbeit:

• Bei der Fallgruppe „umfangreiche Verarbeitung besonders geschützter Daten“ steht für die Beurteilung der DSFA-Pflicht im Bereich der Beihilfe ein klarer Maßstab bereit. Er ergibt sich aus der Vergleichbarkeit mit den Datenvolumina des Landesamts für Finanzen oder der Landeshauptstadt München.
  
  
• Weniger konkret stellt sich die Liste aber bei der DSFA-Pflicht für die Fallgruppe der Verarbeitung „umfangreicher Gesundheitsdaten“ dar. Hier werden so heterogen strukturierte Stellen wie „Gesundheitsamt“ bzw. „Kassenärztliche Vereinigung“ oder „Krankenhaus“ und „Krebsregister“ parallel als DSFA-pflichtig identifiziert. Die Praxis steht damit vor der nahezu unlösbaren Aufgabe, solche Verarbeitungen von Gesundheitsdaten zwischen diesen unklaren Referenzpunkten zuverlässig einzuordnen.

Die zeitgleich veröffentlichte, 35-seitige Einführung in die Methodik der Datenschutzfolgenabschätzung (einschließlich eines Fallbeispiels einer Folgenabschätzung zur Verarbeitungstätigkeit „Personal verwalten“) macht deutlich, dass die DSFA nicht leichtfertig als bloße Nachfolgerin der früheren datenschutzrechtlichen Freigabe unterschätzt werden sollte. Ihre komplexe Methodik kennzeichnet sie vielmehr als Ausnahmevorgang, für dessen Handhabung in der Datenschutzpraxis der öffentlichen Stellen in Bayern noch zahlreiche Fragen zu klären sein werden.

Dr. Eugen Ehmann, Regierungspräsident Unterfranken   

Michael Will, Ministerialrat im Bayerischen Staatsministerium des Innern, für Sport und Integration