Nach Art. 35 Abs. 1 Satz 1 DSGVO hat der Verantwortliche bei Verarbeitungsvorgängen, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, vorab eine einer Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die DSFA ist also grundsätzlich zwingend (nur) bei sog. (vermuteten) „Hochrisikoverarbeitungen“ erforderlich. Das hohe Risiko kann hierbei aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung resultieren, insbesondere, wenn neue Technologien verwendet werden.
Die Frage, ob ein Verarbeitungsvorgang die Durchführung einer DSFA erfordert, wird sowohl bei der Einführung neuer als auch bei einer wesentlichen Änderung bestehender Verarbeitungsvorgänge relevant. Die Erforderlichkeit zur Durchführung einer DSFA ist dabei nicht mit derjenigen einer datenschutzrechtlichen Freigabe nach Art. 26 Bayerisches Datenschutzgesetz in der bis zum 24. Mai 2018 geltenden Fassung (BayDSG-alt) gleichzusetzen. Im Unterschied zum bisherigen Datenschutzrecht betont die Datenschutz-Grundverordnung (DSGVO) den risikobasierten Ansatz bei der Bewertung der datenschutzgerechten Durchführung einer Datenverarbeitung.
Unter den Voraussetzungen des Art. 14 Bayerisches Datenschutzgesetz in der seit dem 25. Mai 2018 geltenden Fassung (BayDSG) kann eine DSFA unterbleiben. Durch die Regelung entfällt jedoch nicht das Erfordernis einer DSFA als solches. Vielmehr wurde diese bereits im Gesetzgebungsverfahren (Art. 14 Abs. 1 Nr. 2 BayDSG) oder durch eine andere Stelle (Art. 14 Abs. 1 Nr. 1, Abs. 2 BayDSG) durchgeführt.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat als Aufsichtsbehörde über die bayerischen öffentlichen Stellen am 7. März 2019 eine Liste mit Verarbeitungsvorgängen veröffentlicht, bei denen stets eine DSFA durchzuführen ist („Bayerische Blacklist“, Art. 35 Abs. 4 DSGVO, abrufbar unter https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf).
Ist der beabsichtigte Verarbeitungsvorgang einer auf dieser „Blacklist“ enthaltenen Fallgruppe zuzuordnen, ist der Verantwortliche zur Durchführung einer DSFA verpflichtet. Die Beurteilung, ob der Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, ist in diesen Fällen bereits durch die Aufsichtsbehörde erfolgt und wird dem Verantwortlichen insoweit abgenommen.
Mit 44 Konstellationen aus 21 Fachbereichen ist der Umfang der bayerischen Blacklist beachtlich. Trotzdem erhebt sie nicht den Anspruch, sämtliche im öffentlichen Bereich denkbaren DSFA-pflichtigen Vorgänge abschließend zu beschreiben. Für die Praxis vermittelt die Liste gleichwohl in vielen Fällen zumindest erste Leitlinien, unter welchen Gegebenheiten ein „hohes Risiko“ im Sinne von Art. 35 Abs. 1 DSGVO angenommen werden sollte.
Im Detail überlässt die Liste den Verantwortlichen in vielen Fällen noch erhebliche Beurteilungsspielräume und damit erhebliche Konkretisierungsarbeit:
- Bei der Fallgruppe „umfangreiche Verarbeitung besonders geschützter Daten“ steht für die Beurteilung der DSFA-Pflicht im Bereich der Beihilfe ein klarer Maßstab bereit. Er ergibt sich aus der Vergleichbarkeit mit den Daten-Volumina des Landesamtes für Finanzen oder der Landeshauptstadt München.
- Weniger konkret stellt die Liste aber bei der DSFA-Pflicht für die Fallgruppe der Verarbeitung „umfangreicher Gesundheitsdaten“ dar. Hier werden so heterogen strukturierte Stellen wie „Gesundheitsamt“ bzw. „kassenärztliche Vereinigung“ oder „Krankenhaus“ und „Krebsregister“ parallel als DSFA-pflichtig identifiziert. Die Praxis steht damit vor der Herausforderung, solche Verarbeitung von Gesundheitsdaten zwischen diesen unklaren Referenzpunkten zuverlässig einzuordnen.
- Weder Art. 35 Abs. 3 DSGVO noch die „Blacklist“ sind abschließend. Unterfällt ein Verarbeitungsvorgang weder Art. 35 Abs. 3 DSGVO noch der „Blacklist“, hat der Verantwortliche eigenständig abzuschätzen, ob die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt und somit die Pflicht zur Durchführung einer DSFA besteht.
Die „Bayerische Blacklist“ wird im erforderlichen Umfang fortlaufend aktualisiert, so dass ebenfalls eine laufende Beobachtung des Dokumentenstandes geboten ist.
Die zeitgleich veröffentlichte Einführung in die Methodik der DSFA (einschließlich eines Fallbeispiels einer Folgenabschätzung zur Verarbeitungstätigkeit „Personal verwalten“, abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_dsfa_beispiel.pdf) macht deutlich, dass die DSFA nicht leichtfertig als bloße Nachfolgerin der früheren datenschutzrechtlichen Freigabe gesehen werden sollte. Ihre komplexe Methodik kennzeichnet sie vielmehr als Ausnahmevorgang, für dessen Handhabung in der Datenschutzpraxis der öffentlichen Stellen in Bayern noch zahlreiche Fragen zu klären sein werden.
Beide Dokumente vervollständigen die bereits zu einem früheren Zeitpunkt veröffentlichte Orientierungshilfe zur DSFA (https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf) und die Empfehlung zu ihrer Durchführung mithilfe einer von der französischen Datenschutzaufsichtsbehörde CNIL entwickelten Software, dem sogenannten „PIA-Tool“. Dieses ist beim BayLfD inzwischen in einer deutschen Sprachfassung zum Download verfügbar (https://www.datenschutz-bayern.de/technik/pia-tool.html).
Für DSFA-pflichtige Verarbeitungen, die am 25. Mai 2018 bereits eingeleitet waren und die ohne wesentliche Änderungen fortgeführt werden, gilt eine Prüfpflicht weiterhin erst drei Jahre nach Beginn der Geltung der DSGVO (so die Arbeitshilfen des bayerischen Innenministeriums, abrufbar unter https://www.stmi.bayern.de/assets/stmi/sus/datensicherheit/arbeitshilfen_stand_13_3_2019_final.pdf).
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München
