Die Bedeutung der Auswirkungsanalyse (PIA oder AIPD oder DPIA)

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Es ist möglich, dass die Datenschutz-Folgenabschätzung (DPIA) zum Symbol der DSGVO wird (auf Englisch sprechen wir von DPIA, Data Protection Impact Assessment, oder kurz PIA, Privacy Impact Assessment). In jedem Fall ist sie das gewählte Instrument, um Unternehmen zur Verantwortung zu ziehen und zu verhindern, dass sie zum Nachteil der Verbraucher handeln. Indem sie vor jeder Datenverarbeitung Vorarbeiten und gegebenenfalls die Konsultation der Aufsichtsbehörde erfordert, bietet sie eine ernsthafte Garantie für die Wahrung der Privatsphäre. 

Eine Folgenabschätzung ist vor der Verarbeitung erforderlich, „wenn eine Form der Verarbeitung, insbesondere durch den Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“ (Art. 35-1). Es wird präzisiert, dass sich eine Analyse auf mehrere ähnliche Verarbeitungsvorgänge beziehen kann, die dieselben hohen Risiken bergen. Aus diesen Bestimmungen lässt sich ableiten, dass eine Analyse nicht zwingend erforderlich ist, wenn kein „hohes Risiko“ vorliegt und/oder bereits für ähnliche Vorgänge eine Analyse durchgeführt wurde (ebenso, wenn die Verarbeitung mit einer Aufgabe im öffentlichen Interesse verbunden ist; Ausnahme bereits erwähnt).

Der Begriff „hohes Risiko“ ist nicht ausdrücklich definiert, die CNIL präzisiert jedoch den Begriff „Risiko für die Privatsphäre“. Dabei handelt es sich um „ein Szenario, das ein befürchtetes Ereignis (unbefugter Zugriff, unerwünschte Veränderung oder Verlust von Daten und dessen mögliche Auswirkungen auf die Rechte und Freiheiten von Personen) sowie alle Bedrohungen beschreibt, die dessen Eintreten ermöglichen könnten. Die Einschätzung erfolgt nach Schweregrad und Wahrscheinlichkeit. Der Schweregrad muss für die betroffenen Personen und nicht für die Organisation beurteilt werden.“ Diese Definition ist vage und weit gefasst, um davon auszugehen, dass das hohe Risiko für die Privatsphäre bei vielen Verarbeitungsvorgängen besteht.

Artikel 35-4 sieht vor, dass die Aufsichtsbehörde eine Liste der Vorgänge veröffentlicht, für die eine Analyse erforderlich ist. Mittlerweile hat die G29 verschiedene Punkte der DSGVO zu einer Liste von 9 Kriterien zusammengefasst (Leitlinien vom 4. April 2017, geändert am 4. Oktober 2017), die darauf hindeuten können, dass ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko birgt:

– „Beurteilung oder Bewertung, einschließlich Profiling oder Vorhersagetätigkeiten, insbesondere in Bezug auf „Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben oder Interessen, der Zuverlässigkeit oder des Verhaltens oder des Aufenthaltsorts und der Ortswechsel der betroffenen Person“ (Erwägungsgründe 71 und 91)“;

– „automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung“;

– „systematische Überwachung“;

– „sensible Daten oder Daten höchstpersönlicher Natur“. Dazu können Informationen über politische Meinungen, strafrechtliche Verurteilungen, medizinische Unterlagen, aber auch, so die G29, E-Mails, Tagebücher und Notizen gehören. Wenn Daten dieser Art von der betroffenen Person öffentlich gemacht wurden, wird dies berücksichtigt;

– „in großem Maßstab verarbeitete Daten“. Der Begriff „in großem Maßstab“ wird nicht näher spezifiziert, die WG29 empfiehlt jedoch, die Zahl der betroffenen Personen, das Datenvolumen, die Dauer und den geografischen Umfang der Verarbeitung zu berücksichtigen;

– „Kreuzen oder Kombinieren von Datensätzen“;

– „Daten über schutzbedürftige Personen (Erwägungsgrund 75)“, d. h. Kinder, Arbeitnehmer, psychisch Kranke, Asylbewerber, ältere Menschen, Patienten usw.;

– „innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen“. Die G29 nennt insbesondere die kombinierte Nutzung von Fingerabdruck- und Gesichtserkennung oder das Internet der Dinge;

– Verarbeitung, die „betroffene Personen daran hindert, ein Recht auszuüben oder von einer Dienstleistung oder einem Vertrag zu profitieren“. Die G29 nennt als Beispiel eine Bank, die ihre Kunden vor der Kreditvergabeentscheidung anhand einer Bonitätsdatenbank überprüft.

Die G29 ist der Ansicht, dass Verarbeitungen, die zwei dieser neun Kriterien erfüllen, eine DSFA erfordern (auch wenn ein einzelnes Kriterium ausreichen kann). Die CNIL nennt ein Beispiel: „Ein Unternehmen führt eine Überwachung der Aktivitäten seiner Mitarbeiter ein. Diese Verarbeitung erfüllt das Kriterium der systematischen Überwachung und das Kriterium der Daten schutzbedürftiger Personen. Daher ist die Durchführung einer DSFA erforderlich.“

Die Analyse muss mindestens Folgendes enthalten: eine Beschreibung der geplanten Vorgänge und der Zwecke der Verarbeitung, eine Angabe der Verhältnismäßigkeit der ersteren im Verhältnis zu den letzteren, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die zur Bewältigung dieser Risiken geplanten Maßnahmen. Die CNIL stützt ihre Folgenabschätzung auf zwei Säulen: eine eher rechtliche Bewertung der „nicht verhandelbaren“ Grundsätze und eine eher technische Studie der geplanten Maßnahmen zum Schutz der Daten. In ihren DPIA-Leitfäden (die derzeit überarbeitet werden) schlägt sie vor, den DSGVO-Plan (siehe Anfang dieses Absatzes) anzuwenden. Nach ihrer Aktualisierung werden sie zweifellos nützliche Werkzeuge für alle sein, die ein solches Dokument erstellen müssen.

Es stellt sich die Frage, ob für Verarbeitungsvorgänge, die bereits am 25. Mai 2018 durchgeführt wurden, eine Folgenabschätzung erforderlich ist. Die DSGVO beantwortet diese Frage nicht, die CNIL jedoch schon. „Eine Folgenabschätzung ist nicht erforderlich für: Verarbeitungsvorgänge, die vor dem 25. Mai 2018 Gegenstand einer vorherigen Formalität mit der CNIL waren; Verarbeitungsvorgänge, die im Register eines Korrespondenten für „Datenschutz und Freiheiten“ eingetragen wurden.“ Nach drei Jahren müssen jedoch regelmäßig durchgeführte Verarbeitungsvorgänge einer Folgenabschätzung unterzogen werden, und zwar immer dann, wenn ein „hohes Risiko“ für die betroffenen Personen besteht.  

Am Ende dieser Leitlinien fügt die CNIL folgenden Satz hinzu: „Die Durchführung einer Datenschutz-Folgenabschätzung stellt in jedem Fall eine bewährte Vorgehensweise dar, die die Einhaltung der in der DSGVO vorgesehenen materiellen Voraussetzungen erleichtert.“ Da die CNIL die Aufsichtsbehörde in Frankreich ist, sollte dieser Ratschlag in Bezug auf bewährte Vorgehensweisen nicht außer Acht gelassen werden. Insbesondere da die G29 feststellt: „Im Zweifelsfall hinsichtlich der Notwendigkeit einer Datenschutz-Folgenabschätzung empfiehlt die G29, eine solche trotzdem durchzuführen, da Datenschutz-Folgenabschätzungen für die Verantwortlichen ein wichtiges Instrument zur Einhaltung der Datenschutzgesetze sind.“ Die europäische Arbeitsgruppe fügt abschließend hinzu, dass die Datenschutz-Folgenabschätzung obligatorisch ist, wenn „sich die damit verbundenen Risiken weiterentwickelt haben“.

Ebenso sind die Angaben zu den Fachleuten, die an der Durchführung der Folgenabschätzung beteiligt sein müssen, nicht nutzlos: der für die Verarbeitung Verantwortliche (der verantwortlich ist), der Unterauftragnehmer, falls vorhanden, der Datenschutzbeauftragte (wir werden sehen, wer das ist), die Projektinhaber und Projektleiter, der Verantwortliche für die Sicherheit der Informationssysteme sowie gegebenenfalls die betroffenen Personen, die mittels eines Fragebogens zu ihrer Meinung befragt werden können.

Der Mindestinhalt einer Folgenabschätzung ist in Artikel 35-7 der DSGVO festgelegt:

– eine systematische Beschreibung der geplanten Vorgänge und der Zwecke der Verarbeitung;

– eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf die Zwecke;

– eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;

– die geplanten Maßnahmen zur Bewältigung der Risiken und zum Nachweis der Einhaltung der Vorschriften.

Die G29 liefert in einem Anhang ihrer Analyse der AIPD methodische Beispiele. Die CNIL hat kürzlich Leitfäden mit einer Methode und einem Katalog bewährter Verfahren sowie Open-Source-PIA-Software veröffentlicht. Es gibt daher keine Ausreden mehr, die neuen Verpflichtungen nicht einzuhalten.

Nach Abschluss der Folgenabschätzung kann entweder mit der Verarbeitung begonnen werden, oder der Verantwortliche muss die Aufsichtsbehörde konsultieren, „wenn eine gemäß Artikel 35 durchgeführte Datenschutz-Folgenabschätzung darauf hindeutet, dass die Verarbeitung ein hohes Risiko bergen würde, wenn der Verantwortliche keine Maßnahmen zur Risikominderung ergreift“ (Art. 36-1). Absatz 2 desselben Artikels sieht vor, dass die Aufsichtsbehörde im Falle einer solchen vorherigen Konsultation acht Wochen (+6 Wochen in komplexen Fällen) Zeit hat, ihre Stellungnahme abzugeben.

Die Veröffentlichung der Folgenabschätzung kann mit dem Ziel erfolgen, das Vertrauen in das Unternehmen zu stärken, ist jedoch keine Pflicht.

Das Unterlassen einer Folgenabschätzung oder eine fehlerhaft durchgeführte Folgenabschätzung kann zu einer Geldbuße von bis zu 10 Millionen Euro oder – für ein Unternehmen – von 2,1 Milliarden Euro seines weltweiten Umsatzes führen, je nachdem, welcher Betrag höher ist.