Die ersten europäischen Datenschutzbehörden haben von ihrem Recht nach Art. 35 Abs. 4 und 5 DSGVO Gebrauch gemacht und Black- und Whitelists für Datenschutzfolgenabschätzungen erstellt. Dementsprechend können sie Verarbeitungsverfahren benennen, für die zwingend eine Datenschutz-Folgenabschätzung zu erfolgen hat (Blacklist) oder bei denen keine Datenschutz-Folgenabschätzung nötig ist (Whitelist).

Gesetzliche Grundlage für die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Eine Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO durchzuführen, wenn eine Verarbeitung voraussichtlich aufgrund neuer Technologien, der Art, des Umfangs, der Umstände und der Zwecke ein hohes Risiko für die Rechte und Freiheiten der Betroffenen hat. Außerdem sind in Art. 35 Abs. 3 DSGVO noch drei Regelbeispiele genannt, bei denen eine Datenschutz-Folgenabschätzung verpflichtend vorzunehmen ist. Dazu gehört die systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling, die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten und die systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Da diese Regelbeispiele dem europäischen Gesetzgeber nicht gereicht haben, bzw. sie noch weiter konkretisiert werden können, hat er in Art. 35 Abs. 4 und 5 DSGVO die Möglichkeit für Datenschutzbehörden eingebaut, noch weitere Verarbeitungstätigkeiten zu listen, bei denen eine Datenschutz-Folgenabschätzung zu erfolgen hat oder auch nicht.

Blacklist der polnischen Datenschutzbehörde

Die polnische Datenschutzbehörde hat zunächst nur eine Blacklist für Verarbeitungen herausgegeben, bei denen eine Datenschutz-Folgenabschätzung stattfinden soll. Die Erstellung einer Whitelist ist momentan noch in Erwägung.

Die interessantesten und wahrscheinlich praxisrelevantesten Verfahren, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, sind unter anderem diese:

• Verfahren, bei denen Profiling, vor allem Verhaltensanalysen, zur Erstellung von Prognosen genutzt wird, was negative Folgen (physisch, finanziell, rechtlich) auf natürliche Personen haben kann. Dabei ist an Datenverarbeiter zu denken, die aus Datenprofilen Prognosen erstellen, aufgrund dessen sie handeln. Beispiele dafür sind soziale Netzwerke, die Nutzerprofile auswerten, um gezielte Werbung zu schalten, Banken, die Profiling nutzen um die Kreditwürdigkeit von Kunden einzuschätzen oder auch Versicherungen, die aufgrund des Lebenswandels von Kunden (Alkohol, Extremsport, Rauchen) ihre Beiträge festsetzen.
• Automatisierte Verfahren, die Entscheidungen mit rechtlichen oder finanziellen Konsequenzen treffen. Beispielsweise Systeme zur Straßenüberwachung, um Geschwindigkeitsüberschreitungen und andere Delikte aufzuklären
• Systeme, die biometrische Daten von Kunden oder Arbeitnehmern zur Identifizierung erfassen, beispielsweise Arbeitszeiterfassungssysteme oder Eingangskontrollsysteme
• Überwachung von Mitarbeitern bei der Internet und E-Mail-Nutzung durch automatisierte Systeme
• Das automatisierte Sammeln und Nutzen von Daten durch mobile Geräte, speziell auch solche, die in Kleidung integriert sind
• Automatisierte Datenverarbeitung, die in großem Umfang im Hinblick auf die Anzahl der Betroffenen, die Reichweite der Verarbeitung oder die Größe des geografischen Gebiets für das Daten verarbeitet werden, stattfindet. Beispielsweise die Speicherung medizinischer Daten durch Krankenhäuser, die große Anzahl an Daten, die soziale Netzwerke oder Browser sammeln, aber auch die Überwachung der Produktivität von Mitarbeitern durch die verbrachte Zeit am Computer
• Verfahren, bei denen Betroffene aufgrund von bestimmten Merkmalen wie Geschlecht oder Alter klassifiziert werden und aufgrund dieser Klassifizierung werden dann Angebote gemacht. Beispielsweise Dienste, die Jobangebote aufgrund von Interessen der Betroffenen machen

Black- und Whitelist der belgischen Datenschutzbehörde

Auch die belgische Datenschutzbehörde hat eine Blacklist für Verfahren erstellt, für die eine Datenschutz-Folgenabschätzung erfolgen soll.

Die Verfahren, die dazu gehören sind unter anderem:

• Die umfangreiche Verarbeitung von personenbezogenen Daten, wenn diese Daten zu einem anderen Zweck verarbeitet werden, als den, für den sie eigentlich erhoben wurden
• Der systematische Austausch von Kategorien besonderer personenbezogener Daten zwischen mehreren Verantwortlichen für die Verarbeitung
• Die Identifizierung von Personen durch die Nutzung biometrischer Daten im öffentlichen Raum
• Verarbeitung von Daten durch Dritte um Prognosen hinsichtlich der persönlichen Interessen, der Gesundheit oder der wirtschaftlichen Situation zu treffen

Außerdem gibt es eine Whitelist, die Verfahren nennt, welche nicht einer Datenschutz-Folgenabschätzung unterliegen sollen.

Fazit

Festzuhalten bleibt, dass sich die ersten Datenschutzbehörden mit dem Thema der Datenschutz-Folgenabschätzung auseinander gesetzt haben. Die polnische Datenschutzbehörde ist bei der Auflistung konkreter geworden als die Kollegen in Belgien. Hier sind Beispiele für Verarbeitungen gegeben, die ein hohes Risiko für die Rechte und Freiheiten von Betroffenen haben können und mit konkreten Branchen und Verarbeitungsvorgängen hinterlegt. Dies ist für Verantwortliche von Vorteil, denn je genauer die Verfahren benannt werden, die einer Folgenabschätzung unterliegen, desto mehr Rechtssicherheit haben sie.

 Besonders auf den Schutz von Mitarbeiterdaten wird wertgelegt, wenn diese in automatisierter Art und Weise überwacht werden. Hier lässt sich vielleicht schon der erste Trend für die Verpflichtung zu Datenschutz-Folgenabschätzungen erkennen: Die Mitarbeiterüberwachung.

Ansonsten ist die Behörde sehr praxisorientiert auf die datenschutzrechtlichen Probleme der fortschreitenden Digitalisierung eingegangen. Beispiele hierfür sind die Digitalisierung des Alltags (Smart Watches etc.) oder auch das Smart Metering, für das eine Datenschutz-Folgenabschätzung erfolgen soll.

Interessanterweise wurde sich auch mit zukunftsweisenden Themen wie dem autonomen Fahren beschäftigt. Hier soll es Datenschutzfolgenabschätzungen geben, wenn Fahrzeuge beispielsweise automatisch mit ihrer Umgebung interagieren (z. Bsp. Auto zu Auto oder Auto zu Straße)

Die belgische Behörde bleibt hingegen wesentlich allgemeiner in ihren Ausführungen. Hier werden vor allem die Regelbeispiele aus Art. 35 Abs. 3 DSGVO weiter konkretisiert.

Es wird sich zeigen, ob noch weitere Behörden bis zum 25.05.2018 folgen und Black- und Whitelists herausgeben. Für Datenverarbeiter wäre dies zumindest enorm von Vorteil, da diese Listen für mehr Rechtssicherheit im Umgang mit Datenschutz-Folgenabschätzungen sorgen. Dabei gilt: Je konkreter die Listen Verarbeitungsverfahren beschreiben, desto mehr Rechtssicherheit haben Verantwortliche.

Eine Orientierung an den Black- und Whitelists von Belgien und Polen kann eine Hilfe sein. Es sollte sich aber nicht konkret darauf bezogen werden, denn diese Listen haben für Datenverarbeitungen in Deutschland keine Gültigkeit. Es bleibt abzuwarten, ob die deutschen Datenschutzbehörden irgendwann nachziehen werden.