Seit dem Stichtag der EU-DSGVO haben zahlreiche deutsche Landesdatenschutzbehörden hinter vorgehaltener Hand ihre jeweilige Blacklist im Zusammenhang mit der Datenschutz-Folgenabschätzung veröffentlicht. Hier finden Sie eine Übersicht.
Werden Rechte und Freiheiten einer oder mehrerer Personen einem hohen Risiko durch die Verarbeitung ihrer Daten ausgesetzt, greift Art. 35 DSGVO. Demnach ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) unerlässlich. Absatz 4 desselben Artikels verpflichtet die Aufsichtsbehörden darüber hinaus dazu, eine sog. Blacklist (“Muss-Liste”) auf Basis von Artikel 29-Datenschutzgruppe zu erstellen. Das Veröffentlichen von sog. Whitelists1 steht dagegen im Ermessen der Datenschutzaufsichtsbehörden.
Die Notwendigkeit einer Datenschutz-Folgenabschätzung
Die Notwendigkeit einer DSFA für Verarbeitungsvorgänge von Daten basiert pauschal auf der Annahme eines hohen Risikos. Die DSGVO benennt hierzu in Art. 35 Abs. 3 explizit Anwendungsfälle, welche die Durchführung eines DSFA zwingend erfordern:
- Handelt es sich um eine automatisierte Verarbeitung von Daten einschließlich Profiling, welche eine Rechtswirkung auf natürliche Personen entfaltet oder deren Rechte und Freiheiten beeinträchtigt, geht die DSGVO von einem hohen Risiko aus. Dem übergeordnet ist eine umfassende und systematische Bewertung von persönlichen Aspekten des Betroffenen.
- Werden besondere Kategorien von personenbezogenen Daten gemäß Artikel 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO umfangreich verarbeitet, muss von einem hohen Risiko ausgegangen werden.
- Im letzten Fall beschreibt Art. 35 Abs. 3 DSGVO die umfangreiche und zugleich systematische Überwachung von öffentlich zugänglichen Bereichen.
Landesdatenschutzaufsichtsbehörden haben bereits Blacklist veröffentlicht
Zahlreiche Landesdatenschutzaufsichtsbehörden im ganzen Land haben bereits eine Muss-Liste erstellt und auf ihren Webseiten zur Einsicht veröffentlicht. Wenn auch die jeweiligen Unterschiede teilweise geringfügig sein mögen, sollten entsprechende Details von Verantwortlichen nicht unterbewertet werden.
Weitaus auffälliger ist, dass die eine oder andere Aufsichtsbehörde ausschließlich eine Blacklist für den öffentlichen Sektor veröffentlicht hat. Andere Listen beziehen sich wiederum nur auf den nicht-öffentlichen Bereich. Vergleichsweise viele Muss-Listen geben über beide Bereiche eine zusammenfassende Auskunft.
Nach Auskunft einiger Behörden basiert die jeweils erstellte Blacklist auf einer Ausarbeitung der Berliner Datenschutzbeauftragten. Diese orientierten sich wiederum an Mietgliederbeiträgen, welche durch den Arbeitskreis “Grundsatz der Datenschutzkonferenz” die Datenschutz-Folgenabschätzung aufgegriffen haben. Ein erster ursprünglicher Entwurf stammt vom Landesamt für Datenschutzaufsicht aus Bayern.
Update: Die Bundesländer im Einzelnen (inkl. Links)
- Baden-Württemberg: Blacklist für den nicht-öffentlichen Bereich (Link).
- Bayern: Beteiligte sich an der Erstellung der Baden-Württembergischen Blacklist, verlinken inzwischen aber auf gemeinsame (?) Liste für den öffentlichen und nicht-öffentlichen Bereich der DSK (Link).
- Berlin: Eine Liste für den öffentlichen Bereich (Link).
- Brandenburg: Gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
- Bremen: Liste für den nicht-öffentlichen Bereich (Link).
- Hamburg: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
- Hessen: Gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
- Mecklenburg-Vorpommern: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
- Niedersachsen: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
- Nordrhein-Westfalen: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
- Rheinland-Pfalz: Eine Liste für den öffentlichen Bereich (Link) sowie eine für den nicht-öffentlichen Bereich (Link).
- Saarland: Auch hier liegt eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich vor (Link).
- Sachsen: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
- Sachsen-Anhalt: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
- Schleswig-Holstein: Eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich (Link).
- Thüringen: Schließlich liegt auch hier eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich vor (Link).
Muss-Liste: Kleine Unterschiede wecken Abstimmungsbedarf
Aufgrund der geringen – aber dennoch wichtigen – Unterschiede planen die Mitglieder der DSK eine Abstimmung. Während beispielsweise in Baden-Württemberg keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung bei der Verarbeitung von Daten besonderer Kategorien gem. Art. 9 Abs. 1 sowie Art. 10 DSGVO in Drittländern besteht, erachten Hamburg sowie andere Bundesländer dies als ein unbedingtes Muss im Rahmen der DSGVO. Ein weiterer “föderaler Flickenteppich” also, den es zu zeitnah vereinheitlichen gilt…
Update: DSK veröffentlicht Blacklist
Kürzlich legte die Konferenz für unabhängige Datenschutz-Aufsichtsbehörden des Bundes sowie der Länder (DSK) eine abgestimmte Blacklist für den nicht-öffentlichen Bereich vor (Link). Für den öffentlichen Bereich existiert eine abgestimmte Liste noch nicht ausdrücklich, allerdings verweisen einige Landesdatenschutzbehörden auf eine augenscheinlich “gemeinsame” Liste (Link) der DSK, die also keine Einschränkung auf den öffentlichen oder nicht-öffentlichen Bereich vornimmt.
Dementsprechend verlinken einige Landesdatenschutzbehörden – wie z.B. in NRW – nunmehr auf die DSK-Liste, während andere Länder jedoch noch auf ihre eigenen Listen verweisen. Die obige Auflistung der einzelnen Bundesländer wurden entsprechend angepasst.
Bundesdatenschutzbeauftragte Voßhoff verzichtet auf Fallbeispiele
Eine Blacklist wurde von der Bundesdatenschutzbeauftragten Andrea Voßhoff ebenfalls vorgelegt (Link). Im Gegensatz zu den Listen der Länder verzichtet diese jedoch auf eine Konkretisierung durch Fallbeispiele. Die ehemalige Bundestagsabgeordnete berücksichtigt lediglich die Kriterien aus der Artikel 29-Gruppe für die Einordnung von Verarbeitungsvorgängen nach WP 248 (Link).
Erst wenn zwei oder mehr der insgesamt neun Kriterien bei der Verarbeitung von Daten zutreffend sind, ist nach Auffassung von Voßhoff eine DFAS unerlässlich. Zu diesen Merkmalen zählen unter anderem Datenkategorien wie Gesundheitsdaten, Betroffene wie Kinder und Arbeitnehmer oder der jeweilige Umfang der Datenverarbeitung. Medienberichten zufolge hat die Bundesdatenschutzbeauftragte ihre Blacklist bereits an den Europäischen Datenschutzausschuss weitergeleitet, ohne sie vorher mit den Bundesländern abgestimmt zu haben.
Geplant ist jedoch, dass der Europäische Datenschutzausschuss, welcher sich aus den Aufsichtsbehörden der Mitgliedstaaten zusammensetzt, eine EU-weite einheitliche und verbindliche Blacklist beschließt. Wann dieses im Kern richtige Stadium erreicht wird, steht allerdings in den Sternen.
Note: There is a rating embedded within this post, please visit this post to rate it.
Erläuterung: 1Bei einer Whitelist gem. Art. 35 Abs. 5 DSGVO handelt es sich um eine Liste der Arten von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
Quellen: Heise
Bildnachweis: maxkabakov, depositphotos.com