DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren
Die Datenschutz-Aufsichtsbehörden haben festgelegt, auf welche Datenverarbeitungen sie besonderen Augenmerk legen wollen. Dazu gehören Soziale Netzwerke, Scoring und Fahrzeugdaten. Bund und Länder legten dabei unterschiedliche Listen vor.
(Bild: kb-photodesign / Shutterstock.com)
Die Angst vor hohen Bußgeldern und Abmahnwellen hat viele Website-Betreiber und Blogger dazu gebracht, ihre Blogs zu schließen und Bilder zu löschen. Die Angst dürfte weit überzogen sein, denn die Aufsichtsbehörden schauen zunächst ganz woanders hin. Dies geht aus Listen hervor, die einzelne Datenschutzbehörden von Bund und Ländern in den vergangenen Tagen veröffentlicht haben.
Artikel 35 und 36 der Datenschutzgrundverordnung (DSGVO) verpflichten Unternehmen, Organisationen und Behörden nämlich dazu, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Grundrechtsrisiko mit sich bringt. Die Verordnung nennt bereits einige Fallgruppen, für die eine Folgenabschätzung notwendig ist, etwa Profiling oder "systematische umfangreiche Videoüberwachung". Weitere Fallgruppen können die Datenschutzaufsichtsbehörden festlegen.
Unter verschärfter Beobachtung
Aus der von der baden-württembergischen Aufsichtsbehörde veröffentlichten Liste gehen die betroffenen Branchen und Datenverarbeitungsvorgänge hervor, die jetzt eine Datenschutz-Folgenabschätzung durchführen müssen. Dazu zählen erwartungsgemäß Soziale Netzwerke sowie Dating-, Kontakt- und Bewertungsportale. Auch Mobilitätsdienste sowie die optoelektronische Erfassung öffentlicher Bereiche durch Fahrzeuge, wie es für das vernetzte und autonome Fahren notwendig ist, werden um eine Datenschutzfolgenabschätzung nicht herumkommen.
Auf der Liste stehen überdies Insolvenzverzeichnisse und Inkassodienstleistungen und das Scoring durch Auskunfteien, Banken und Versicherungen. Dazu kommen Big-Data-Analysen von Kundendaten, die mit Drittquellen angereichert werden. Zu den kritischen Datenverarbeitungen zählen das Offline-Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalysen mittels Mobilfunkdaten und die Geolokalisierung von Beschäftigten etwa über Fahrzeuge oder Arbeitsgeräte. Alle RFID-/NFC-Anwendungen durch Apps oder Karten müssen ebenfalls systematisch mit einer Datenschutzfolgenabschätzung durchleuchtet werden.
Die Datenschutz-Folgenabschätzung muss den Datenschutz-Aufsichtsbehörden auf Verlangen vorgelegt werden können. Sprechen die Aufsichtsbehörde daraufhin "Empfehlungen" aus, müssen diese befolgt werden. Außerdem müssen die Betreiber vor der Inbetriebnahme sowie später in regelmäßigen Abständen nachweisen, ob die organisatorisch-technischen Vorkehrungen wirksam sind – etwa mit Hilfe von Zertifizierungen. Damit ist der Schwerpunkt der aufsichtsbehördlichen Prüfungen festgelegt. Eine Negativliste, auf der aufgeführt wird, was keinesfalls unter die Datenschutzfolgenabschätzung fällt, wurde bislang noch nicht erstellt. Die Datenschutzgrundverordnung erlaubt es der Aufsicht aber, auch eine solche Liste zu erstellen.
Bis zum 25. Mai sollten die Aufsichtsbehörden ihre Listen an den neuen Europäischen Datenschutzausschuss melden. Der Ausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, wird dann für alle EU-Mitgliedstaaten eine einheitliche, verbindliche Liste verabschieden. "Ein Termin dafür ist noch nicht bekannt", sagt der Hamburgische Datenschutzbeauftragte Johannes Caspar. Gleichwohl tritt Deutschland im Datenschutzausschuss nicht einheitlich auf: Denn weder konnten sich die Länder untereinander noch die Länder mit dem Bund auf eine gemeinsame Liste einigen.
