Die Datenschutz-Folgenabschätzung

A. Was ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO?

Als Neuerung bringt die Datenschutz-Grundverordnung die sog. „Datenschutz-Folgenabschätzung“. Sie ersetzt die „Vorabkontrolle“ der alten EG-Datenschutzrichtlinie, in Bayern als „datenschutzrechtliche Freigabe“ bekannt. Während eine „Datenschutz-Folgenabschätzung“ nur in besonderen Fällen vorzunehmen ist, war die „datenschutzrechtliche Freigabe“ grundsätzlich bei allen automatisierten Ver­fahren erforderlich.

Die neue Datenschutz-Folgenabschätzung ist durchzuführen, wenn Verarbeitungsvor­gänge beabsichtigt sind, die aufgrund ihrer Art, ihres Umfangs, ihrer Um­stände und ihrer Zwecke wahrscheinlich ein ho­hes Risiko für die Rechte und Frei­heiten natürlicher Personen mit sich bringen (Art. 35 Abs. 1 Satz 1 am Anfang DSGVO). Zu sol­chen Arten von Verarbeitungsvorgängen gehören insbesondere auch sol­che, bei de­nen neue Technologien eingesetzt werden (Erwägungsgrund 89).

Mit der Datenschutz-Folgenabschätzung sollen Ursache, Art, Besonderheit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen evaluiert werden (Erwägungsgrund 84). Ergo: Die Da­tenschutz-Folgenabschätzung ist eine Risikobewer­tung (Risikoevaluation) (siehe auch Art. 35 Abs. 7 Buchst. b und c DSGVO).

Die Risikobewertung (Risikoevaluation) bildet Abwägungsmaterial für die Beantwor­tung der Frage, ob bzw. unter welchen Bedingungen eine Datenverarbeitung tatsächlich durchgeführt wird. Dabei soll sie vor allem auch einer Minimierung der Risiken dienen.

B. Unterschied zur bisherigen Freigabe (Art. 26 BayDSG)

Die Datenschutz-Folgenabschätzung steht am Anfang des Entscheidungsprozesses.

Die bisherige datenschutzrechtliche Freigabe, die mit dem 24.05.2018 entfällt, stellt dagegen den Schlusspunkt des Entscheidungsprozesses dar. Ihr Gegenstand war die abschießende Rechtmäßigkeitskontrolle im Sinne einer Vorabkon­trolle unmittelbar vor dem Verfahrenseinsatz (vgl. dazu auch Art. 20 Abs. 1 DS-RL: „diese Verarbei­tungen vor ihrem Beginn geprüft werden“). Um transparent zu ma­chen, unter welchen Randbedingungen genau der Einsatz rechtmäßig ist, musste die Freigabe die in Art. 26 Abs. 2 BayDSG aufgeführten Angaben enthalten.

Folgenabschätzung und Freigabe unterscheiden sich daher. Die Datenschutz-Folgenabschätzung bereitet die (zukünftig nicht mehr formalisierte) Prüfung der Rechtmäßigkeit der Verarbeitungsvorgänge vor. Die Freigabe ist (war) die formalisierte Rechtmäßigkeitskontrolle.

C. Ablauf der Datenschutz-Folgenabschätzung

1. Schritt: Vorprüfung der Datenschutz-Folgen (Tatbestand des Art. 35 Abs. 1 Satz 1 DSGVO)

Zu prüfen ist: Kann eine Form der Verarbeitung, insbesondere bei Verwendung neuer Tech­nologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung überhaupt ein hohes Risiko für die Rechte und Freiheiten natürli­cher Personen zur Folge haben? Es ist also eine Grobabschät­zung der bloßen Möglichkeit ei­nes Risikos durchzuführen.

Für diese Vorprüfung der Frage, ob ein hohes Risiko besteht, liefern die Regelbeispiele in Art. 35 Abs. 3 Buchst. a), b) und c) DSGVO Anhaltspunkte, indem sie Fälle benennen, in denen die DSGVO ein solches hohes Risiko ohne weite­res unterstellt. Ein hohes Risiko im Sinne von Art. 35 Abs. 1 am Anfang DSGVO ist anzunehmen, wenn Fälle vorliegen, die mit denen in Art. 35 Abs. 3 Buchst. a), b) und c) vergleichbar sind. Maßstab ist also etwa die „systematische um­fangreiche Überwachung öffentlich zugänglicher Bereiche“ durch Videoüberwa­chung oder die „umfangrei­che“ Verarbeitung sensibler Daten nach Art. 9 Abs. 1 DSGVO.

Aber was ist in diesem Sinne konkret vergleichbar? Der rechtstheoretische Ansatz hilft in der Praxis nicht recht weiter. Der Rechtsanwender sollte die Beantwortung der Frage der Vergleichbarkeit deshalb zunächst einmal den Aufsichtsbe­hörden überlassen, die nach Art. 35 Abs. 4 DSGVO eine Liste der Verarbei­tungsvorgänge erstellen (d.h. zu erstellen haben), für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch wenn die Erstellung oder Nichterstellung dieser Liste nach Art. 35 Abs. 4 DSGVO den Verantwortli­chen formal nicht von seiner eigenständig zu beurteilenden Ver­pflichtung nach Art. 35 Abs. 1 DSGVO befreit, werden die Behörden und öffentlichen Stellen außerhalb der in Art. 35 Abs. 3 Buchst. a), b) und c) DSGVO genannten Fälle im Regelfall auf dieseListen der Aufsichtsbehörden warten können, bevor Folgenabschätzungsverfahren eingeleitet werden. Handlungsbedarf besteht aber jedenfalls in den erwähnten Fällen des Art. 35 Abs. 3 Buchst. a), b) und c) DSGVO. Hier ist es aber sicherlich vertretbar, etwa die Videoüberwachung eines Eingangsbereiches nicht schon als „umfang­reiche, systematische Überwachung“ in Sinne des Art. 35 Abs. 3 Buchst. c) DSGVO anzusehen.

2. Schritt: Wenn die Vorprüfung ein mögliches hohes Risiko ergibt oder ein Fall des Art. 35 Abs. 3 Buchst. a), b) oder c) DSGVO vorliegt, ist als Rechtsfolge des Art. 35 Abs. 2 Satz 1 die eigentliche Datenschutz-Folgenabschätzung durchzuführen.

Der Inhalt der Datenschutzfolgenabschätzung ergibt sich aus Art. 35 Abs. 7 DSGVO. Erforderlich ist

• eine Beschreibung der Verarbeitungsvorgänge (Art. 35 Abs. 7 Buchst. a DSGVO),
  
  
• eine Bewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge (Art. 35 Abs. 7 Buchst. b DSGVO),
  
  
• eine Risikobewertung im engeren Sinn (Art. 35 Abs. 7 Buchst. c DSGVO) und
  
  
• eine Beschreibung geplanter Abhilfemaßnahmen (Art. 35 Abs. 7 Buchst. d DSGVO).

Sinn macht eine Datenschutz-Folgenabschätzung damit umso eher, je höher der Abstraktionsgrad der Rechtsgrundlagen der Datenverarbeitung ist, also etwa im Rahmen der Anwendung des Art. 6 Abs. 1 Buchst. b) und f) DSGVO (Erfüllung eines Vertrages, berechtigte Interessen). Ist der Verantwortliche dagegen durch bereichsspezifische Rechtsgrundlagen (vgl. Art. 6 Abs. 2, Abs. 3 Sätze 1 und 3 DSGVO) zur Datenverarbeitung berechtigt oder gar verpflichtet, so sinkt sein Spielraum für die oben im zweiten und dritten Spiegelpunkt erwähnten Bewertungen. Es kann sich im Einzelfall dann durchaus die Frage stellen: Was sollen diese Bewertungen dann noch?

Der Verordnungsgeber hat dies zumindest ansatzweise auch erkannt, indem er dem nationalen Normgeber in Art. 35 Abs. 10 DSGVO die Möglichkeit eröffnet hat, bei Verarbeitungen auf der Rechtsgrundlage des Art. 35 Abs. 1 Buchst. c) und e) DSGVO (die Nichterwähnung des Art. 35 Abs. 2 DSGVO ist sicher ein Redaktionsversehen) die Datenschutz-Folgenabschätzung schon im Gesetzgebungsverfahren durchzuführen. Das wird umso eher funktionieren, je konkreter die materiellen Verarbeitungstatbestände und die Datensicherungsmaßnahmen ausformuliert werden können. Wichtig erscheint, dass der Normgeber im Normtext oder wenigstens in der Normbegründung eindeutig klarstellt, dass er die Folgenabschätzung durchgeführt hat.

3. Schritt: Ist Ergebnis der Datenschutz-Folgenabschätzung ein hohes Risiko, so sind (über Art. 35 Abs. 7 Buchst. d) DSGVO hinausgehende) zusätzliche technisch-organisatorische Maßnahmen zu erwägen, mit denen das Risiko eingedämmt wird (vgl. Art. 35 Abs. 1 am Ende DSGVO).

Sollte als Resultat des dritten Schrittes eine Eindämmung des Risikos nicht möglich oder beabsichtigt sein, hat der Verantwortliche die Aufsichtsbehörde zu kon­sultieren (Art. 36 Abs. 1 DSGVO). Diese kann Empfehlungen geben bzw. in letz­tere Konse­quenz eine Verarbeitung auch verbieten. Schweigen der Aufsichtsbe­hörde gilt als Zustimmung (vgl. Art. 36 Abs. 2 am Anfang DSGVO).

D. Wer führt die Datenschutz-Folgenabschätzung durch?

Die Durchführung sämtlicher Schritte obliegt dem Verantwortlichen (Art. 4 Nr. 7 DSGVO), d. h. nach Art. 4 Abs. 7 DSGVO der Behörde, mithin deren Leitung. Diese kann die Durchführung – selbstverständlich – delegieren. Die Frage ist, ob und in welchem Umfang diese Delegation auch an den behördlichen Datenschutzbeauftragten erfolgen kann. Nach Art. 35 Abs. 2 DSGVO hat der Verant­wortliche den „Rat“ des Datenschutzbeauftragten einzuholen. Man wird dies aber – wohl – so zu verstehen haben, dass die Behördenleitung bei der Durchführung der Datenschutz-Folgenabschätzung nicht lediglich „nur“ den Rat des Daten­schutzbeauftragten einholen darf (also ein Trennungsgebot beachten muss), son­dern vielmehr „mindestens“ den Rat einzuholen hat. Für letzteres spricht, dass die Durchführung der Folgenabschätzung durch den Datenschutzbeauftragten nicht zu Interessenkonflikten führen kann, die es nach Art. 38 Abs. 6 DSGVO zu ver­meiden gilt. Mithin ist davon auszugehen, dass die Vorbereitung und ggf. die Durchführung der Folgenab­schätzung dem Datenschutzbeauftragten behördenin­tern übertragen werden können. Über die Konsequenz aus der Datenschutz-Folgenabschätzung, nämlich den Einsatz, entscheidet aber jedenfalls der Verantwort­liche im Sinne des Art. 4 Nr. 7 DSGVO.

E. Fazit

Angesichts nur rudimentärer materieller Reglungen will die DSGVO den Daten­schutz insbesondere auch durch Verfahrensregelungen sicherstellen. Hierbei ist die Datenschutz-Folgenabschätzung ein zentraler Baustein, wie insbesondere auch die Geldbußenandrohung (vgl. Art. 83 Abs. 4 DSGVO) unterstreicht. Etwas überspitzt ausgedrückt kann man durchaus sagen: Die Datenschutz-Folgenabschätzung ist die Übertragung der bekannten europarechtlich bestimmten Rechtsinstitute der Umweltverträglichkeitsprüfung und der Prüfung der Verträg­lichkeit von Infrastrukturvorhaben mit europäischen Naturschutzgebieten auf das Datenschutzrecht. Aus den dortigen Erfahrungen sei die Prognose gewagt, dass Art. 35 DSGVO eine der Spielwiesen absteckt, auf denen sich der EuGH noch tummeln wird.

Marcus Niese

Mitautor Datenschutz in Bayern