DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren
Die Datenschutz-Aufsichtsbehörden haben festgelegt, auf welche Datenverarbeitungen sie besonderen Augenmerk legen wollen. Dazu gehören Soziale Netzwerke, Scoring und Fahrzeugdaten. Bund und Länder legten dabei unterschiedliche Listen vor.
(Bild: kb-photodesign / Shutterstock.com)
Die Angst vor hohen Bußgeldern und Abmahnwellen hat viele Website-Betreiber und Blogger dazu gebracht, ihre Blogs zu schließen und Bilder zu löschen. Die Angst dürfte weit überzogen sein, denn die Aufsichtsbehörden schauen zunächst ganz woanders hin. Dies geht aus Listen hervor, die einzelne Datenschutzbehörden von Bund und Ländern in den vergangenen Tagen veröffentlicht haben.
Artikel 35 und 36 der Datenschutzgrundverordnung (DSGVO) verpflichten Unternehmen, Organisationen und Behörden nämlich dazu, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Grundrechtsrisiko mit sich bringt. Die Verordnung nennt bereits einige Fallgruppen, für die eine Folgenabschätzung notwendig ist, etwa Profiling oder "systematische umfangreiche Videoüberwachung". Weitere Fallgruppen können die Datenschutzaufsichtsbehörden festlegen.
Unter verschärfter Beobachtung
Aus der von der baden-württembergischen Aufsichtsbehörde veröffentlichten Liste gehen die betroffenen Branchen und Datenverarbeitungsvorgänge hervor, die jetzt eine Datenschutz-Folgenabschätzung durchführen müssen. Dazu zählen erwartungsgemäß Soziale Netzwerke sowie Dating-, Kontakt- und Bewertungsportale. Auch Mobilitätsdienste sowie die optoelektronische Erfassung öffentlicher Bereiche durch Fahrzeuge, wie es für das vernetzte und autonome Fahren notwendig ist, werden um eine Datenschutzfolgenabschätzung nicht herumkommen.
Auf der Liste stehen überdies Insolvenzverzeichnisse und Inkassodienstleistungen und das Scoring durch Auskunfteien, Banken und Versicherungen. Dazu kommen Big-Data-Analysen von Kundendaten, die mit Drittquellen angereichert werden. Zu den kritischen Datenverarbeitungen zählen das Offline-Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalysen mittels Mobilfunkdaten und die Geolokalisierung von Beschäftigten etwa über Fahrzeuge oder Arbeitsgeräte. Alle RFID-/NFC-Anwendungen durch Apps oder Karten müssen ebenfalls systematisch mit einer Datenschutzfolgenabschätzung durchleuchtet werden.
Die Datenschutz-Folgenabschätzung muss den Datenschutz-Aufsichtsbehörden auf Verlangen vorgelegt werden können. Sprechen die Aufsichtsbehörde daraufhin "Empfehlungen" aus, müssen diese befolgt werden. Außerdem müssen die Betreiber vor der Inbetriebnahme sowie später in regelmäßigen Abständen nachweisen, ob die organisatorisch-technischen Vorkehrungen wirksam sind – etwa mit Hilfe von Zertifizierungen. Damit ist der Schwerpunkt der aufsichtsbehördlichen Prüfungen festgelegt. Eine Negativliste, auf der aufgeführt wird, was keinesfalls unter die Datenschutzfolgenabschätzung fällt, wurde bislang noch nicht erstellt. Die Datenschutzgrundverordnung erlaubt es der Aufsicht aber, auch eine solche Liste zu erstellen.
Bis zum 25. Mai sollten die Aufsichtsbehörden ihre Listen an den neuen Europäischen Datenschutzausschuss melden. Der Ausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, wird dann für alle EU-Mitgliedstaaten eine einheitliche, verbindliche Liste verabschieden. "Ein Termin dafür ist noch nicht bekannt", sagt der Hamburgische Datenschutzbeauftragte Johannes Caspar. Gleichwohl tritt Deutschland im Datenschutzausschuss nicht einheitlich auf: Denn weder konnten sich die Länder untereinander noch die Länder mit dem Bund auf eine gemeinsame Liste einigen.
Uneinheitliche Linie von Bund und Ländern
Daher führt derzeit jede der 18 Aufsichtsbehörden in Deutschland eine eigene "Mussliste". Die Unterschiede im nicht-öffentlichen Bereich, der Unternehmen betrifft, sollen jedoch gering sein, versicherten mehrere Vertreter von Länderbehörden gegenüber heise online. Beispielsweise führt Hamburg 16, Baden-Württemberg aber nur 15 unterschiedliche Fallgruppen an. In Hamburg, nicht aber in Baden-Württemberg, wird demnach eine Datenschutz-Folgenabschätzung für Datenverarbeitungen in einem Drittland verlangt. Das ist beispielsweise dann nötig, wenn eine Schule oder ein Krankenhaus nicht-europäische Dienstleister nutzt. US-Dienste können damit bei besonders sensiblen personenbezogenen Daten nur genutzt werden, wenn entsprechende Sicherungen durchgeführt werden.
Lange umstritten war unter den Aufsichtsbehörden die Frage, ob auch die Personalverwaltung auf die Liste gesetzt werden muss. Weil dann aber nahezu alle Unternehmen betroffen wären, wurde sie noch nicht entschieden. Ebenfalls nicht auf der Liste sind auch sozialwissenschaftliche Erhebungen, die kritische personenbezogene Daten erfassen, sowie die Prüfverfahren in den Aufsichtsbehörden selbst, die sich notwendigerweise mit hochriskanten Datenverarbeitungsvorgängen befassen. Letztlich müssen alle Datenverarbeiter das Risiko für die Grundrechte der Betroffenen bestimmen. Zur Orientierung hat die Datenschutzkonferenz erst vor wenigen Wochen ein Kurzpapier veröffentlicht.
Voßhoff ohne Fallbeispiele
Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat hingegen eine Liste erarbeitet, die ohne konkrete Fallbeispiele auskommt und nach einer anderen Systematik verfährt. Sie listet neun Merkmale auf. Sobald zwei Merkmale auf eine Datenverarbeitung zutreffen, muss eine Folgenabschätzung erstellt werden. Zu den Merkmalen gehören beispielsweise Datenkategorien wie Gesundheitsdaten, Betroffenengruppen wie Kinder und Arbeitnehmer oder der Umfang der Datenverarbeitung.
Voßhoff hat ihre Liste an den Europäischen Datenschutzausschuss übermittelt, ohne sie vorher mit den Ländern noch einmal abzustimmen. Dem Vernehmen nach begründete sie dies damit, dass sie sich am entsprechenden Arbeitspapier der Artiel-29-Gruppe orientiert habe. Das aber wiederum ist vage formuliert und bekennt sich zu keiner Methode, nach der die Datenschutzfolgenabschätzung durchgeführt werden muss. Bislang gibt es nur vom "Forum Privatheit" eine Handreichung in Form eines bereits zum dritten Mal aktualisierten Whitepapers.
Kritik aus den Ländern
Voßhoff kündigte gegenüber heise online an, weiterhin mit den Landesdatenschutzbeauftragten an einer gemeinsamen Liste arbeiten zu wollen. Ihr Vorgehen stieß jedoch in den Ländern auf Kritik, zum Beispiel beim baden-württembergische Landesdatenschützer Stefan Brink: "Sie ist ausgestiegen, dann hat sich das ganze Abstimmungsverfahren aufgelöst." Die nordrhein-westfälische Datenschutzbeauftragte Helga Block, die derzeit den Vorsitz über die Datenschutzkonferenz von Bund und Ländern innehat, erinnerte gegenüber heise online daran, dass die Arbeiten und Abstimmungen "umfangreich und im Detail schwierig" seien.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar, der bisher in der Artikel-29-Gruppe die Länder vertrat, erklärte: "Wenn es unter den 18 deutschen Aufsichtsbehörden zu keiner gemeinsamen Entscheidung kommt, müssen Vertreter und Stellvertreter entscheiden. Die Entscheidung der Bundesdatenschutzbeauftragten kann durch die Mehrheit der Länder gekippt werden, wenn diese Länderfragen betrifft." Er weist aber auch darauf hin, dass der Bundesrat bis jetzt noch keinen Ländervertreter für den Datenschutzausschuss benannt hat. Der Vorschlag der Datenschutzkonferenz, dass Caspar weiterhin die Länder vertreten solle, sei verworfen worden. Gleichwohl hätten sich die verschiedenen Länderbündnisse im Bundesrat auf keinen Vertreter einigen können. "Ich bin vom Föderalismus desillusioniert. Hier hängt einiges noch im Argen", meinte Caspar. (anw)
