DA+

Aufsatz : Hohes Risiko oder doch nicht? : aus der RDV 6/2020, Seite 297 bis 302

Ein Vorschlag zur Risikobestimmung innerhalb der Vorprüfung nach Art. 35 Abs. 1 DS-GVO zur Erforderlichkeit einer Datenschutz-Folgenabschätzung

Kerstin LiesemArchiv RDV
Lesezeit 21 Min.

Zentrales Element einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ist die Risikoprognose. Der europäische Normgeber ordnet sie sowohl innerhalb der Vorprüfung nach Art. 35 Abs. 1 S. 1 DS-GVO als auch im Rahmen der eigentlichen Datenschutz-Folgenabschätzung (Art. 35 Abs. 7 lit c DS-GVO) an. Somit stellt sich für den Verantwortlichen die Frage, ob und wenn ja, wie sich diese beiden Risikoprognosen voneinander unterscheiden. Der Beitrag nimmt die Risikoabschätzung innerhalb der Vorprüfung in den Blick. Er plädiert dafür, bei der Schwellwertanalyse innerhalb des Art. 35 Abs. 1 S. 1 DS-GVO die Determinante Eintrittswahrscheinlichkeit außen vor zu lassen, da diese lediglich in Relation zu den geplanten technischen und organisatorischen Maßnahmen zu bestimmen ist. Stattdessen schlägt er vor, ausschließlich die Schwere der Auswirkungen zu berücksichtigen. Die Determinante Eintrittswahrscheinlichkeit in Abhängigkeit von den technischen und organisatorischen Maßnahmen bliebe der Risikoprognose innerhalb der eigentlichen Datenschutz-Folgenabschätzung vorbehalten. Dieser Vorschlag würde zu einer trennscharfen Abgrenzung der Risikoabschätzungen innerhalb der Vorprüfung und der eigentlichen Datenschutz-Folgenabschätzung führen. Schlagworte: hohes Risiko, Risikoprognose, Risikoabschätzung, Risikoniveau, Schwellwertanalyse, Datenschutz-Folgenabschätzung.

I. Einleitung

Mit der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 Datenschutzgrundverordnung (DS-GVO) hat der europäische Gesetzgeber ein neues Instrument geschaffen, das den Schutz personenbezogener Daten bei hoch riskanten Datenverarbeitungsvorgängen, insbesondere bei der Verwendung neuer Technologien, sicherstellen soll.[1] Als „eine der wenigen echten regulatorischen Innovationen der DS-GVO“[2] ist die DSFA als eine Ausformung der Technikfolgenabschätzung zu qualifizieren, deren Ziel es ist, die Auswirkungen neuer Technologien auf Umwelt und Gesellschaft zu beobachten und zu analysieren. Die DSFA dient als „Frühwarnmechanismus“[3] und hat deshalb schon vor Ingangsetzung des geplanten Datenverarbeitungsvorgangs zu erfolgen.[4] Art. 35 DS-GVO ist vom Grundgedanken durchdrungen, dass ein angemessenes Datenschutzregime nur dann etabliert werden kann, wenn auch die Folgen von Datenverarbeitungsvorgängen für die Rechte und Freiheiten[5] der betroffenen Personen frühzeitig in den Blick genommen werden. Denn erst die kontinuierliche Analyse möglicher Konsequenzen ermöglicht es dem Verantwortlichen, risikominimierende Gegenmaßnahmen zu ergreifen.[6] Die DSFA ist das Instrument innerhalb der DS-GVO, das den Verantwortlichen zu einer aktiven und kontinuierlichen Risikobewertung und -steuerung der eigenen Datenverarbeitungsvorgänge verpflichtet.[7] Sie ist ein zentrales Element des risikobasierten Ansatzes[8] der DS-GVO, wonach der Verantwortliche verpflichtet wird, dem Risiko für die Rechte und Freiheiten natürlicher Personen adäquate technische und organisatorische Maßnahmen (TOMs) entgegenzusetzen. Entscheidend ist dabei der Blickwinkel der betroffenen Personen, nicht der Organisation. Mithin kann auch vermeintlich geringfügigen datenschutzrechtlichen Verstößen Relevanz zukommen.[9] Ziel der DSFA ist es, Datenverarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen und damit nach Erwägungsgrund[10] (ErwG) 2 S. 1 insbesondere für das Grundrecht auf den Schutz personenbezogener Daten mit sich bringen, bereits vor Beginn der Datenverarbeitung zu identifizieren. Die Ergebnisse der Prognose sollen nach ErwG 84 berücksichtigt werden, wenn darüber entschieden wird, welche risikominimierende Maßnahmen der Verantwortliche implementieren muss.

Aus der Konstruktion des Art. 35 DS-GVO ergibt sich für den Verantwortlichen eine zweistufige Prüfpflicht: Diese besteht auf der ersten Stufe in einer Vorprüfung nach Art. 35 Abs. 1 S. 1 DS-GVO zur Ermittlung der Erforderlichkeit einer DSFA. In ihrem Mittelpunkt steht die Frage, ob die Relevanzschwelle überschritten ist und damit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt („Schwellwertanalyse“).

Erst wenn die Erforderlichkeit einer DSFA festgestellt ist, muss der Verantwortliche eine DSFA nach Maßgabe des Art. 35 DS-GVO durchführen (zweite Stufe). Bei genauer Betrachtung der Anforderungen, die auf beiden Stufen an den Verantwortlichen gestellt werden, fällt eine Besonderheit ins Auge: Sowohl im Rahmen der Schwellwertanalyse (Art. 35 Abs. 1 S. 1 DS-GVO) als auch im Rahmen der eigentlichen DSFA (Art. 35 Abs. 7 Ziff. c) obliegt dem Verantwortlichen eine Prognose hinsichtlich des Risikoniveaus des beabsichtigten Datenverarbeitungsvorgangs. Auf beiden Stufen muss er nämlich – noch vor Beginn des Datenverarbeitungsvorgangs – abschätzen, ob voraussichtlich eine Hochrisikodatenverarbeitung vorliegt.

Aus dieser zweistufigen Konstruktion des Art. 35 DS-GVO erwachsen zwei Herausforderungen, mit denen der Verantwortliche bei seiner praktischen Arbeit konfrontiert ist: Erstens muss er eigenständig beurteilen, ob sein geplanter Datenverarbeitungsvorgang voraussichtlich zu einem „hohen Risiko“ für Rechte und Freiheiten von natürlichen Personen führt oder ob das Risiko als „normal“ einzustufen ist. Diese Risikoabschätzung wird in der Praxis umso schwerer fallen, als weder die DS-GVO selbst eine Legaldefinition enthält, wann ein hohes Risiko anzunehmen ist,[11] noch der europäische Gesetzgeber klargestellt hat, wo die Trennlinie zwischen einem „normalem Risiko“, das jeder Verarbeitung personenbezogener Daten innewohnt,[12] und einem „hohen Risiko“ zu ziehen ist.[13]

Zweitens bleibt für den Verantwortlichen unklar, ob und wenn ja, wie sich die Risikoprognose in der Vorprüfung (Art. 35 Abs. 1 S. 1 DS-GVO) von der von ihm geforderten Abschätzung im Rahmen der eigentlichen DSFA (Art. 35 Abs. 7 Ziff. c DS-GVO) unterscheidet. In der Praxis stellt sich somit die Frage nach den Anforderungen an die jeweiligen Risikoabschätzungen, insbesondere im Hinblick auf ihre Determinanten.

Diese beiden Fragen beleuchtet der vorliegende Beitrag. Dabei nimmt er insbesondere die Risikobestimmung innerhalb der Vorprüfung in den Blick und entwirft einen praxisorientierten Vorschlag für eine trennscharfe Abgrenzung von der Risikoprognose innerhalb der eigentlichen DSFA.

II. Die Risikoprognose im Rahmen der Vorprüfung

Nach Art. 35 Abs. 1 S. 1 DS-GVO steht die Risikoprognose des Verantwortlichen im Zentrum der Vorprüfung. Sie ist – bildlich gesprochen – das Nadelöhr, das zur eigentlichen DSFA führt. Allerdings definiert die DS-GVO nicht legal, wann von einem „hohen Risiko“ auszugehen ist.

1. Regelbeispielskatalog nach Art. 35 Abs. 3 DS-GVO

Immerhin nennt die DS-GVO in Art. 35 Abs. 3 DS-GVO drei Regelbeispiele,[14] bei deren Vorliegen eine DSFA obligatorisch ist. Das bedeutet, dass der europäische Gesetzgeber bei den in lit a – c beschriebenen drei Typen von Verarbeitungstätigkeiten generell hohe Risiken sieht, und zwar unabhängig vom konkreten Einzelfall und den dafür bereits geplanten risikominimierenden Maßnahmen. Aus der Zusammenschau von Art. 35 Abs. 3 DS-GVO und ErwGr 91 S. 2 ergibt sich, dass eine DSFA in folgenden Fallkonstellationen obligatorisch ist:

Erstens bei systematischen und umfassenden Bewertungen natürlicher Personen, die auf automatisierten Verarbeitungen und Profilbildungsmaßnahmen gründen und rechtliche oder ähnlich intensive Folgen für den Betroffenen haben (Art. 35 Abs. 3 DS-GVO lit a i.V.m. ErwG 91 S. 2 Var. 1). Zweitens bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 (Art. 35 Abs. 3 lit b DS-GVO i.V.m. ErwG 91 S. 2 Var. 2).

Daneben erachtet der europäische Normgeber eine DSFA in Fällen systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche als zwingend. Dies geht aus Art. 35 Abs. 3 lit c DS-GVO i.V.m. ErwG 91 S. 3 Var. 1 hervor.

Die Regelbeispiele des Art. 35 Abs. 3 DS-GVO bilden ErwG 91 S. 1 ab, in dem es heißt: „Dies [die Durchführung einer Datenschutz-Folgenabschätzung] sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen […]. Allerdings ist Art. 35 Abs. 3 DS-GVO nicht abschließend. Das bedeutet, dass auch außerhalb dieser Fallkonstellationen DSFAs erforderlich sein können.

2. Negativ- und Positivlisten der Aufsichtsbehörden

Außerhalb des Regelbeispielskatalogs nach Art. 35 Abs. 3 DS-GVO überträgt der europäische Normgeber die Konkretisierungsbefugnis bzw. -pflicht den Aufsichtsbehörden. So eröffnet Art. 35 Abs. 5 DS-GVO den Aufsichtsbehörden die Möglichkeit, selbst eine Liste der Arten von Verarbeitungsvorgängen zu erstellen und zu veröffentlichen, für die keine DSFA erforderlich ist (so genannte „Negativlisten“ oder „Whitelists“). Das bedeutet: Die Aufsichtsbehörden können selbst Verarbeitungstätigkeiten definieren, bei denen sie generell keine hohen Risiken sehen. Allerdings haben die Aufsichtsbehörden in Deutschland – anders als beispielsweise in Österreich[15] – (derzeit) noch keinen Gebrauch von dieser Möglichkeit gemacht.[16]

Daneben bestimmt Art. 35 Abs. 4 DS-GVO, dass die Aufsichtsbehörde eine Liste von Verarbeitungsvorgängen zu erstellen habe, für die eine DSFA zwingend erforderlich ist (so genannte „Positivliste“ oder „Blacklist“). Sowohl Positiv- als auch Negativlisten sollen zur Rechtssicherheit und -klarheit beitragen.[17]

Während die Erstellung von Negativlisten nach Art. 35 Abs. 5 DS-GVO fakultativ ist, ist die Vorlage von Positivlisten für die Aufsichtsbehörden verpflichtend. So hat die Datenschutzkonferenz (DSK) eine gemeinsame Liste aller Aufsichtsbehörden[18] in Deutschland für den nichtöffentlichen Bereich[19] verabschiedet, in der auch das Working Paper 248 rev.01 „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) (WP 248) der Art. 29-Gruppe der Europäischen Kommission berücksichtigt wurde. Diese gemeinsame Liste enthält 16 Verarbeitungstätigkeiten, für die eine DSFA obligatorisch ist. Das bedeutet, dass die Aufsichtsbehörden der Bundesländer für diese Verarbeitungstätigkeiten generell ein hohes Risiko annehmen. Diese gemeinsame Liste enthält die maßgebliche Beschreibung der Tätigkeit, typische Einsatzfelder und Beispiele. Allerdings ist auch diese Liste nicht abschließend und somit lediglich als „ausdifferenzierte Exemplifizierung solcher Verarbeitungsvorgänge, die in jedem Fall einer Datenschutz-Folgenabschätzung unterliegen“[20] zu verstehen. Auch wenn sie durch die Beschreibung von Typologien zur Rechtssicherheit und -klarheit[21] beiträgt, so entbindet sie den Verantwortlichen dennoch nicht von einer eigenständigen Risikoprognose, zumindest in den Fällen, die nicht in der Positivliste aufgeführt sind.[22]

3. Eigene Risikoprognose des Verantwortlichen

Ist die vom Verantwortlichen konkret geplante Verarbeitungstätigkeit weder im Regelbeispielskatalog des Art. 35 Abs. 3 DS-GVO noch auf der Liste der Aufsichtsbehörden nach Art. 35 Abs. 4 DS-GVO enthalten, so kommt der Verantwortliche nicht umhin, eine eigene Risikoabschätzung hinsichtlich der Rechte und Freiheiten natürlicher Personen vorzunehmen. An dieser Stelle wird der Verantwortliche wieder mit dem Ausgangsproblem konfrontiert. Er muss den unbestimmten Rechtsbegriff „hohes Risiko“ definieren und für die eigene datenschutzrechtliche Tätigkeit operationalisieren. Denn die DS-GVO definiert nicht legal, was unter einem „hohen Risiko“ zu verstehen ist. Auch die Erwägungsgründe enthalten lediglich abstrakte Hinweise, wie eine Risikobestimmung zu erfolgen habe. So lässt sich aus ErwG 75 entnehmen, dass der europäische Gesetzgeber für die Bestimmung des Risikos die Determinanten Eintrittswahrscheinlichkeit und Schwere (der Auswirkungen) herangezogen wissen wollte. Risiko im Sinne der DS-GVO kann also als das Produkt aus Eintrittswahrscheinlichkeit und Schwere der Auswirkungen für substanzielle Freiheitsrechte natürlicher Personen verstanden werden.[23] Auch wenn die Determinanten für die Risikobestimmung aus den Erwägungsgründen zur DS-GVO hervorgehen, so schweigen sich jedoch auch die Erwägungsgründe darüber aus, welche graduellen Abstufungen die Determinanten haben und ab welchen Stufen von einem „hohen Risiko“ ausgegangen werden muss.

a) Die Leitlinien der Art. 29-Datenschutzgruppe als Orientierungshilfe

Obgleich eine verbindliche Auslegung des unbestimmten Rechtsbegriffs „hohes Risiko“ endgültig nur vom Europäischen Gerichtshof[24] vorgenommen werden kann – was bisher noch nicht geschehen ist – versuchen an dieser Stelle die Beauftragten für den Datenschutz der Länder Handreichungen und Orientierungshilfen zu geben.[25] Als Auslegungshilfe des unbestimmten Rechtsbegriffs „hohes Risiko“ verweisen sie auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) im WP 248 Rev. 01 der europäischen Datenschutzgruppe nach Art. 29.[26] Danach sind bei der Beurteilung der Frage, ob ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko mit sich bringt, folgende neun Kriterien[27] zu berücksichtigen:

  1. Bewertung und Einstufung,
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung,
  3. Systematische Überwachung,
  4. Vertrauliche Daten oder höchst persönliche Daten,
  5. Datenverarbeitung in großem Umfang,
  6. Abgleichen oder Zusammenführen von Datensätzen,
  7. Daten zu schutzbedürftigen Betroffenen (Erwägungsgrund 75 DS-GVO),
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen,
  9. Fälle, in denen die Verarbeitung an sich „die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert“ (Art. 22 und ErwG 91 DS-GVO).

Zur Illustration hat die Art. 29-Datenschutzgruppe eine Liste[28] mit Beispielen für hochriskante Verarbeitungstätigkeiten erstellt und diese unter oben genannte neun Kriterien subsumiert. Flankierend gibt sie den Verantwortlichen für die eigene Risikoprognose folgende Orientierungshilfen[29] an die Hand: Erfüllt ein Verarbeitungsvorgang mindestens zwei der oben genannten neun Kriterien, so müsse der Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist. Dabei nehme die Wahrscheinlichkeit, dass ein Verarbeitungsvorgang ein hohes Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringt und somit eine DSFA erforderlich ist (und zwar unabhängig von den Maßnahmen, die der für die Verarbeitung Verantwortliche ins Auge fasst), im Allgemeinen immer weiter zu, je mehr Kriterien der Verarbeitungsvorgang erfüllt. Allerdings gilt diese Orientierungshilfe nach Ansicht der Art. 29-Datenschutzgruppe nicht uneingeschränkt. So könne es auch Fälle geben, in denen der Verantwortliche bei Erfüllung nur eines Kriteriums von der Notwendigkeit einer DSFA ausgehen müsse. Andererseits könne es auch vorkommen, dass ein Verantwortlicher einen Verarbeitungsvorgang, der den vorgenannten Kriterien entspricht, nicht als Vorgang bewertet, der „wahrscheinlich ein hohes Risiko mit sich bringt“. In einem solchen Fall müsse er begründen und dokumentieren, warum er keine DSFA durchführt und dabei den Standpunkt des Datenschutzbeauftragten mit einbeziehen bzw. festhalten.

Aus diesen einschränkenden Anmerkungen wird ersichtlich, dass das Vorliegen von zwei oder mehreren der von der Art. 29-Datenschutzgruppe benannten Kriterien allenfalls als Indiz für die Wahrscheinlichkeit eines hohen Risikos gelten kann. Absolut setzen sollte der Verantwortliche nach Meinung der europäischen Datenschutzgruppe diese Orientierungshilfe jedoch nicht. Damit wird ihm die eigene Risikoprognose allenfalls erleichtert, jedoch keinesfalls abgenommen. Mit der Darstellung der Vorschläge der Art. 29-Datenschutzgruppe enden auch die Orientierungshilfen der Beauftragten für den Datenschutz der Länder.

b) Die selbstgestaltete Risikomatrix als Leitplanke

Der Verantwortliche bleibt weiterhin mit der Aufgabe konfrontiert, für jeden konkreten Einzelfall eine eigenständige Risikoprognose durchzuführen. Aus ErwG 75 kann er entnehmen, dass sich das Risikoniveau aus dem Verhältnis von Schwere der Auswirkungen auf den Betroffenen und Eintrittswahrscheinlichkeit ergibt. Nun kann er sich die – im Risikomanagement verwendete – Risikomatrix zu Nutze machen und auf der Abszisse die „Eintrittswahrscheinlichkeit“ und auf der Ordinate die „Schwere der Auswirkungen“ abtragen. Nun muss er die graduellen Abstufungen der Eintrittswahrscheinlichkeit (hier beispielhaft: gering, mittel, groß) als auch der Schwere der Auswirkungen (hier beispielhaft: vernachlässigbar, begrenzt, wesentlich und maximal) selbst bestimmen. Außerdem muss der Verantwortliche selbst die Risikoniveaus definieren.

In dieser Matrix wird in den folgenden drei Fällen von einem hohen Risiko ausgegangen:

  1. Eintrittswahrscheinlichkeit MITTEL und Auswirkungen MAXIMAL,
  2. Eintrittswahrscheinlichkeit GROSS und Auswirkungen MAXIMAL,
  3. Eintrittswahrscheinlichkeit GROSS und Auswirkungen WESENTLICH.

Nun obliegt es dem Verantwortlichen, den jeweiligen Schweregrad der Auswirkungen sowie die Eintrittswahrscheinlichkeit inhaltlich mit Leben zu füllen. Bei Ersterem kann er sich an der Definition des Schweregrads der Auswirkungen des Privacy Impact Assessments (PIA)[30]orientieren. Da in oben aufgeführter Risikomatrix ein hohes Risiko nur vorliegen kann, wenn die Auswirkungen entweder wesentlich oder maximal sind, beschränken sich die hiesigen Ausführungen auf diese beiden Abstufungen. Nach PIA sind Auswirkungen dann als wesentlich zu qualifizieren, wenn Betroffene eventuell signifikante Konsequenzen erleiden, die sie nur mit ernsthaften Schwierigkeiten überwinden können. Als Beispiele nennt PIA den Entgang nicht wiederkehrender Möglichkeiten (z.B. hinsichtlich der Kreditvergabe, der Zulassung zum Studium, des Praktikums, der Arbeitsstelle oder der Prüfungszulassung). Als maximal stuft PIA Auswirkungen ein, wenn Betroffene eventuell signifikante oder sogar unumkehrbare Konsequenzen erleiden, die sie nicht überwinden können.

Nach der Definition der einzelnen Abstufungen des Schweregrads der Auswirkungen muss der Verantwortliche nun den jeweiligen Grad der Eintrittswahrscheinlichkeit im Einzelfall definieren. Er muss also festlegen, wann geringe, mittlere oder große Eintrittswahrscheinlichkeiten anzunehmen sind. Auch wenn abstrakte Definitionen möglich sind (etwa geringe Eintrittswahrscheinlichkeit = Eintritt einmal im Jahr; mittlere Eintrittswahrscheinlichkeit = zwei- bis fünfmal im Jahr; große Eintrittswahrscheinlichkeit = mehr als fünfmal pro Jahr), so stellt die konkrete Bestimmung der Eintrittswahrscheinlichkeit den Verantwortlichen vor große Herausforderungen. Denn während er den Schweregrad der Auswirkungen der Datenverarbeitung – beispielsweise mithilfe der Abstufungssystematik von PIA (vernachlässigbar, begrenzt, wesentlich, maximal) – auch ohne Berücksichtigung der konkret getroffenen risikominimierenden Maßnahmen prognostizieren kann, gelingt ihm dies hinsichtlich der Eintrittswahrscheinlichkeiten nicht. Denn konkrete Eintrittswahrscheinlichkeiten lassen sich grundsätzlich erst dann bestimmen, wenn die Ereignisse, die zu Auswirkungen der Datenverarbeitung führen können, mit den geplanten Abhilfemaßnahmen in Beziehung gesetzt sowie bewertet worden sind.[31] Denn für die Eintrittswahrscheinlichkeit macht es durchaus einen Unterschied, ob beispielsweise Krankenakten in Sicherheitsschränken in mit Alarmanlagen und Sicherheitskameras versehenen abgeschlossenen Räumen verwahrt werden oder offen im Regal in für jedermann zugänglichen Räumen stehen.

Berücksichtigt jedoch der Verantwortliche bereits bei der Risikoprognose im Rahmen der Vorprüfung die vorgesehenen risikominimierenden technischen und organisatorischen Maßnahmen (TOMs), dann nimmt er die Risikoprognose im Rahmen der eigentlichen DSFA nach Art. 35 Abs. 7 lit c DS-GVO vorweg. Eine gesonderte Risikoabschätzung im Rahmen der DSFA wäre somit redundant.[32] Fraglich ist, ob dieses Ergebnis der Intention des europäischen Normgebers entspricht. Aus dem Normtext des Art. 35 Abs. 3 DS-GVO lässt sich keine konkrete Antwort entnehmen. So wendet sich der Blick zu den Fallkonstellationen nach Art. 35 Abs. 3 DS-GVO, für die der europäische Gesetzgeber exemplarisch hohe Risiken für die Rechte und Freiheiten natürlicher Personen angenommen hat. Hier hat sich der Normgeber eine generelle Sichtweise zu Eigen gemacht. So stellt er bei der Beurteilung, ob ein hohes Risiko vorliegt, ausschließlich auf potentiell schwerwiegende Auswirkungen ab. Keine Rolle bei der Beurteilung spielt hingegen, ob risikominimierende Maßnahmen vorgesehen waren.

Auch beim Blick auf die Positivlisten der Aufsichtsbehörden zeigt sich im Grunde dasselbe Bild. Auch hier werden Beispiele aufgeführt, die nach Ansicht der Aufsichtsbehörden generell zu gravierenden Konsequenzen für die Rechte und Freiheiten der Betroffenen führen können. Somit läge die Idee nahe, sich dieser Vorgehensweise auch bei der eigenen Risikoprognose im Rahmen der Vorprüfung zu bedienen. Damit müsste der Verantwortliche bei der Prüfung der Frage, ob eine Verarbeitung voraussichtlich mit einem hohen Risiko einhergeht, ausschließlich das Kriterium heranziehen, ob mittels der Verarbeitung maximale/wesentliche Auswirkungen für den Betroffenen zu befürchten sind. Die Eintrittswahrscheinlichkeit, die ohnehin nur in Verbindung mit den konkret geplanten TOMs prognostiziert werden könnte, bliebe im Rahmen der Vorprüfung unberücksichtigt. Sie würde erst auf der Ebene der eigentlichen DSFA bewertet werden. Die Fokussierung auf das Bruttorisiko[33] der Datenverarbeitungsvorgänge im Rahmen der Vorprüfung und auf das Nettorisiko im Rahmen der eigentlichen DSFA würde zu einer trennscharfen Abgrenzung der beiden Risikobestimmungen führen. Daneben würde diese Vorgehensweise in der Praxis zu einer leichteren Handhabung des ohnehin komplex angelegten Art. 35 DS-GVO führen. Und schließlich würde sich die vorgeschlagene Risikobestimmung auf der Linie der vom europäischen Normgeber in Art. 35 Abs. 3 DSGVO, der Positivlisten der nationalen Aufsichtsbehörden sowie der Orientierungshilfe der Art. 29-Datenschutzgruppe zum Vorschein gekommenen Intention bewegen.[34] Auch die Gefahr, dass die Vorprüfung ihrer Filterwirkung nicht gerecht würde, besteht nicht. Vielmehr ist eher das Gegenteil der Fall: Das Nadelöhr des Art. 35 Abs. 1 S. 1 DS-GVO würde weiter, stellte man bei der Vorprüfung auf das Bruttorisiko ab.

III. Fazit und Ausblick

Im Zentrum der Prüfung, ob eine DSFA erforderlich ist, steht die Frage, ob es sich bei dem beabsichtigten Datenverarbeitungsvorgang um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen handelt. Diese Einschätzung obliegt zuvörderst dem Verantwortlichen. In der Praxis kann die Risikoprognose zur Herausforderung werden, insbesondere, weil die DS-GVO selbst keine Legaldefinition des unbestimmten Rechtsbegriffs „hohes Risiko“, sondern allenfalls Beispiele enthält, die jedoch nicht abschließend sind. Aus ErwG 75 geht jedoch hervor, dass sich das Risiko aus dem Produkt der Determinanten „Schwere der Auswirkungen“ und „Eintrittswahrscheinlichkeit“ zusammensetzen soll. Wie das Risikoniveau konkret graduell bestimmt werden soll, darüber schweigen sich die DS-GVO und die Erwägungsgründe jedoch aus.

Jedoch hat der europäische Normgeber in Art. 35 Abs. 3 DS-GVO drei Fallkonstellationen bezeichnet, bei denen er generell, das bedeutet, unabhängig vom konkreten Einzelfall, ein hohes Risiko annimmt. Das bedeutet, dass der Normgeber ausschließlich darauf abstellt, ob der geplante Datenverarbeitungsvorgang potenziell schwerwiegende Auswirkungen für die Rechte und Freiheiten natürlicher Personen hat. Dabei ist die Eintrittswahrscheinlichkeit für die Annahme eines hohen Risikos unerheblich. Auch wenn der Verantwortliche – wegen geplanter risikominimierender TOMs – von einer geringen Eintrittswahrscheinlichkeit ausginge, die das Risiko auf ein Normalmaß reduzierte, so müsste er nach dem Willen des europäischen Gesetzgebers dennoch eine DSFA durchführen.

Ebenfalls ausschließlich auf potenziell schwerwiegende Auswirkungen stellen die Positivliste der Datenschutzbeauftragten der Länder sowie die Orientierungshilfe im Working Paper 248 der Art. 29-Datenschutzgruppe ab.

Vor diesem Hintergrund plädiert der vorliegende Beitrag dafür, bei der Risikobestimmung innerhalb der Vorprüfung nach Art. 35 Abs. 1 DS-GVO die Determinante „Eintrittswahrscheinlichkeit“ außen vor zu lassen und sich ausschließlich auf die Determinante „Schwere der Auswirkungen“ zu fokussieren. Dieses Vorgehen entspricht der Linie, die der europäische Normgeber in Art. 35 Abs. 3 DS-GVO vorgegeben hat und würde zu einer trennscharfen Abgrenzung der Risikoprognosen innerhalb der Vorprüfung (Art. 35 Abs. 1 S. 1 DS-GVO) und der eigentlichen DSFA (Art. 35 Abs. 7 DS-GVO) führen.

Prof. Dr. Kerstin Liesem ist Professorin an der Hochschule für Polizei und öffentliche Verwaltung NRW

[1] Jandt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 1

[2] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 2.

[3] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 8.

[4] Laufende Datenverarbeitungsvorgänge hingegen sind nur dann einer DSFA zu unterziehen, wenn sich die Risiken aus den Verarbeitungsvorgängen ändern (Art. 35 Abs. 11 DS-GVO). Eine Veränderung der Risiken ist beispielsweise möglich durch Zweckänderungen oder Erweiterungen von Technologien, z.B. durch neue Funktionalitäten, Reibach, in: Taeger/Gabel, DS-GVO/BDSG, 3. Aufl. 2019, DS-GVO Art. 35 Rn. 28. Lässt sich keine Risikoveränderung konstatieren, dann bleiben gemäß ErwG 171 S. 3 die nach der Richtlinie 95/46/EG, Datenschutzrichtlinie (DSRL), getroffenen Entscheidungen in Kraft, bis sie geändert, ersetzt oder aufgehoben werden

[5] Mit Rechten und Freiheiten für den Betroffenen meint die DS-GVO vor allem das Recht auf Datenschutz, daneben jedoch auch andere in ErwG 4 S. 2 genannte Grundrechte wie Rede- und Gedankenfreiheit, Freizügigkeit, Benachteiligungsverbot, Recht auf Freiheit, Gewissens- und Religionsfreiheit.

[6] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 6.

[7] Damit unterscheidet sich die DSFA deutlich von der Vorabkontrolle nach Art. 20 Abs. 1 DS-RL, die durch die DS-GVO abgelöst wurde. Denn die DS-RL hatte die Mitgliedstaaten in die Pflicht genommen, konkrete Verarbeitungsvorgänge zu benennen, die wegen ihrer spezifischen Risiken für die Rechte und Freiheiten von Personen vorab überprüft werden mussten.

[8] Ausführlich zum risikobasierten Ansatz: Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 24 Rn. 19 ff.; Entstehungsgeschichte und Bewertung des risikobasierten Ansatzes, Schröder, ZD 2019, 503 (503 ff.)

[9] Die DSFA ist also keine Maßnahme des Risikomanagements, deren Ziel es ist, Risiken für die Organisation so weit zu senken, dass der mit ihnen verbundene Schaden noch als hinnehmbar eingestuft werden kann, Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, DSG-VO Art. 35 Rn. 4.

[10] Zwar entfalten die Erwägungsgründe keine rechtsverbindliche Wirkung, allerdings spielen sie eine wichtige Rolle bei der Ermittlung des objektiven Telos der Vorschriften der DS-GVO, Ehmann/Selmayr, in: Ehmann/Selmayr, Datenschutzgrundverordnung, 2. Aufl. 2018, Einführung, Rn. 97.

[11] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 15 a.

[12] Piltz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 24 Rn. 45 mit Verweis auf Ratsdokument 12312/1/14 REV 1 v. 17.9.2014, S. 2. Der EuGH betont in ständiger Rechtsprechung, dass jede Verarbeitung von personenbezogenen Daten eine Beeinträchtigung des Grundrechts auf Datenschutz nach Art. 8 GRCh darstellt, die jedoch nach Art. 52 GRCh gerechtfertigt sein kann (EuGH v. 09.11.2010 – C-92/09 und C-93/09 (Schecke und Eifert). Damit kann in jeder Verarbeitung von personenbezogenen Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen gesehen werden, Bieker/Hansen/Friedewald, RDV 2016, 188 (190). Voraussetzung für eine Rechtfertigung ist, dass die Beeinträchtigung durch entsprechende Abhilfemaßnahmen auf ein Maß reduziert wird, das ein angemessenes Schutzniveau sicherstellt, Bieker/Bremert, ZD 2020, 7 (8).

[13] Eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“ wird lediglich in ErwG 76 S. 2 kurz angerissen.

[14] Zu den Schwierigkeiten bei der Auslegung der Tatbestandsmerkmale, Krings, DSB 2019, 193 (193)

[15] Österreich hat im Mai 2018 eine Whitelist vorgelegt, abrufbar unter: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/ BGBLA_2018_II_108.pdfsig.

[16] Kritisch zu Whitelists: Hansen, DuD 2016, 587 (588).

[17] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 38.

[18] Positivliste der DSK, abrufbar unter: https://www.lda.bayern.de/media/ dsfa_muss_liste_dsk_de.pdf.

[19] Für den öffentlichen Bereich gibt es noch keine gemeinsame Liste der Aufsichtsbehörden der Länder, so dass es den einzelnen Bundesländern obliegt, eigene Listen vorzuhalten. Exemplarisch für den öffentlichen Bereich: Der Bayerische Landesbeauftragte für den Datenschutz, Datenschutz-Folgenabschätzung – Orientierungshilfe, Version 2.0, Stand: März 2019, abrufbar unter: https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf.

[20] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 37

[21] Kritisch dazu: Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DSGVO Art. 35 Rn. 37.

[22] Jandt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 17.

[23] So auch Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, DS-GVO Art. 35 Rn. 15 b.

[24] Über die Auslegung der DS-GVO als Bestandteil des Unionsrechts entscheidet letztverbindlich allein der EuGH (Art. 267, 344 AEUV). Dieser hat eine autonome Auslegungsmethode entwickelt, bei der das Primat der teleologischen Auslegung gilt, Ehmann/Selmayr, in: Ehmann/Selmayr, Datenschutzgrundverordnung, 2. Aufl. 2018, Einführung, Rn. 91.

[25] Exemplarisch für den öffentlichen Bereich: Der Bayerische Landesbeauftragte für den Datenschutz, Datenschutz-Folgenabschätzung – Orientierungshilfe, Version 2.0, Stand: März 2019, abrufbar unter: https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf; für den nicht-öffentlichen Bereich: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Handreichung zur DatenschutzFolgenabschätzung (DS-FA) nicht-öffentlicher Bereich, Art. 35 DS-GVO, Stand: September 2019, abrufbar unter: https://www.tlfdi.de/mam/tlfdi/datenschutz/handreichung_ds-fa.pdf.

[26] Die Leitlinien sind in deutscher Sprache beispielsweise abrufbar unter: https://www.datenschutz-bayern.de/technik/orient/wp248.pdf.

[27] Ausführliche Beschreibung der Kriterien in den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) im WP 248 Rev. 01 der Art. 29-Datenschutzgruppe, S. 10 ff.

[28] WP 248 Rev. 01, S. 13 ff.

[29] WP Paper 248 Rev. 01, S. 12 f

[30] Privacy Impact Assessment, S. 4 f., abrufbar unter: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf.

[31] Insofern ist der Argumentation von Syckor, Strufe und Rönsberg zuzustimmen (Syckor/Struve/Rönsberg, ZD 2019, 390 (391).

[32] Diese Ansicht vertreten auch Syckor, Strufe und Rönsberg (Syckor/ Struve/Rönsberg, ZD 2019, 390 (391).

[33] Von Brutto- und Nettorisiken spricht auch Jung, CB 2018, 170 (173).

[34] Auch Jung, CB 2018, 170 (174) konstatiert, dass der Verordnungsgeber bei Art. 35 Abs. 3 DS-GVO den ansonsten eingeschlagenen Pfad der Bestimmung des Risikoniveaus durch Eintrittswahrscheinlichkeit und Schaden verlassen hat und eine absolute Festlegung trifft. In derselben Absolutheit wirkten auch die Positivlisten nach Art. 35 Abs. 4 DS-GVO.