Die Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (kurz: DSFA) wird gemäß Art. 35 Abs. 1 S. 1 der Datenschutz-Grundverordnung (DS-GVO) ab Mai 2018 das bislang nach dem Bundesdatenschutzgesetz (BDSG) bestehende Instrument der Vorabkontrolle ersetzen.
Aufgrund von Art. 35 Abs. 1 S. 1 DS-GVO muss der für die Datenverarbeitung Verantwortliche Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten Betroffener mit sich bringen, vorab auf ihre Folgewirkungen für den Privatsphärenschutz prüfen. Der datenschutzrechtlich Verantwortliche muss also immer dann tätig werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte, indem er vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführt.
Im Unternehmen ist ein gesonderter Prozess für die reibungslose Vorbereitung und Durchführung der Folgenabschätzung zu schaffen. Die nachfolgenden Hinweise sollen aufzeigen, wie sich die neuen Anforderungen möglichst einfach gestalten lassen und gleichzeitig die Zwecke der DSFA erreicht werden können.
Zweck der Datenschutz-Folgenabschätzung
Die DSFA dient vor allem dazu, bereits in einem frühen Stadium, also z.B. bei der Neueinführung eines bestimmten Verarbeitungsvorganges, die voraussichtlichen Risiken für die persönlichen Rechte und Freiheiten natürlicher Personen zu identifizieren. Dasselbe gilt auch für alle wesentlichen Veränderungen an bereits bestehenden Datenverarbeitungsvorgängen oder -systemen. Denn der risikobasierte Ansatz der DS-GVO kommt auch in der Datenschutz-Folgenabschätzung zum Ausdruck. Soweit hohe Risiken bestehen, sollen diese mithilfe der DSFA frühzeitig erkannt werden, um sie durch geeignete (technische und/oder organisatorische) Schutzmaßnahmen präventiv bekämpfen zu können.
Notwendiger Mindestinhalt einer DSFA
Gemäß Art. 35 Abs. 7 DS-GVO hat eine Datenschutz-Folgenabschätzung mindestens die folgenden zwingend vorgeschriebenen Kriterien zu enthalten:
- Die systematische Beschreibung des Vorgangs und seiner Zwecke (ggfs. einschließlich der mit der Verarbeitung verfolgten berechtigten Interessen),
- eine Bewertung hinsichtlich der Notwendigkeit und Verhältnismäßigkeit des Verarbeitungsvorgangs bezogen auf den Zweck,
- eine Risikobewertung in Bezug auf die Rechte und Freiheiten der betroffenen Personen sowie
- geplante Abhilfemaßnahmen zur Bewältigung der Risiken (insb. Garantien, Sicherheitsvorkehrungen und Verfahren), die den Schutz personenbezogener Daten sicherstellen und den Nachweis der Einhaltung der Verordnung erlauben.
Wann muss eine Folgenabschätzung vorgenommen werden?
Einer Datenschutz-Folgenabschätzung bedarf es immer dann, wenn ein bestimmter Datenverarbeitungsvorgang ein besonders hohes Risiko für die Rechte natürlicher Personen beinhaltet.
Nützliche Hinweise zur Datenschutz-Folgenabschätzung werden insbesondere in den Leitlinien zur Folgenabschätzung der „Artikel-29-Datenschutzgruppe“ gegeben. In dem Leitlinienentwurf wird einen Katalog aus zehn Kriterien aufgestellt, die bei der Risikoeinschätzung helfen sollen. Durch Beispiele werden die einzelnen Kriterien veranschaulicht. Als Faustformel wird von dem Beratungsgremium vorgeschlagen, dass bei mindestens zwei einschlägigen Kriterien von einer Pflicht zur Datenschutz-Folgenabschätzung ausgegangen werden soll. Ein besonderes Risiko soll sich im Einzelnen aus den nachfolgend wiedergegeben Kriterien ergeben:
- Scoring und Profiling (insb., wenn ein Bezug zur Arbeitsleistung, wirtschaftlichen Situation, Gesundheit, persönlichen Interessen, Verhalten oder Aufenthaltsort der betroffenen Personen besteht);
- Automatisierte Entscheidungen, die zu rechtlich gewichtigen Folgen für die Betroffenen führen;
- Systematische Überwachung;
- Verarbeitung von sensiblen Daten (besondere personenbezogene Daten wie z.B. politische Überzeugungen oder medizinische Daten, Art. 9 DS-GVO);
- Datenverarbeitung in großem Umfang (Kriterien sind hier u.a. die Anzahl der Betroffenen oder die Menge der Daten);
- Verknüpfung von unterschiedlichen Datenbeständen, die durch unterschiedliche Prozesse gewonnen wurden;
- Datenverarbeitung besonders schützenswerter Personen (insb. bei Machtungleichgewicht, z.B. Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener oder Arbeitnehmerdaten etc.)
- Einsatz neuer Technologien oder biometrischer Verfahren (z.B. Kombination von Gesichtserkennung und Fingerabdruckscan);
- Datentransfer in Länder außerhalb der EU/EWR;
- Datenverarbeitung hindert Betroffene an der Rechtsausübung (z.B. wenn eine Bank den Vertragsschluss mit einem potenziellen Kreditkunden von einer Durchleuchtung seiner Daten abhängig macht)
- 1. Ist ein neues Verfahren der Verarbeitung personenbezogener Daten implementiert oder ein bestehendes Verfahren wesentlich geändert worden?
-
Essentiell ist es bei diesem Schritt bereits, dass der Datenschutzbeauftragte von der Änderung oder Neueinführung überhaupt Kenntnis erlangt. Dafür ist es zunächst erforderlich, dass die Mitarbeiter für das Thema Datenschutz-Folgenabschätzung sensibilisiert werden, was etwa über Informationen im Intranet und durch interne oder externe Schulungen geschehen kann.
- 2. Ist für die Verarbeitung ein Erlaubnistatbestand vorhanden und erfüllt? Dies kann insbesondere durch eine wirksame Einwilligung geschehen – in selteneren Fällen kann auch eine sonstige Rechtsgrundlage gegeben sein.
-
Auch hier empfiehlt sich eine frühzeitige Prüfung, da sonst Ressourcen unnötig verschwendet werden. Denn sofern kein Erlaubnistatbestand vorliegt ist die Verarbeitung schlicht unzulässig. Eine Datenschutz-Folgenabschätzung ist dann überflüssig. Die Fachbereiche sollten sich bei Unklarheiten regelmäßig durch den Datenschutzbeauftragten - soweit vorhanden – unterstützen lassen.
- 3. Wird die konkrete Datenverarbeitung auf der Blacklist der Aufsichtsbehörden genannt?
-
Nach Art. 35 Abs. 4 DS-GVO werden die Aufsichtsbehörden künftig eine Liste von Verarbeitungsvorgängen veröffentlichen, für die eine Datenschutz-Folgenabschätzung verbindlich durchzuführen ist (sog. Blacklist). Zur Erstellung einer solchen Liste durch die Behörde besteht eine gesetzliche Pflicht. Wann die Aufsichtsbehörden ihre Blacklist veröffentlichen werden, ist derzeit noch nicht abzusehen. Ist der geplante Verarbeitungsvorgang in der Liste enthalten, ist eine DSFA zwingend durchzuführen.
- 4. Ist die Verarbeitung auf der Whitelist der Aufsichtsbehörden genannt?
-
Die Aufsichtsbehörden dürfen gemäß Art. 35 Abs. 5 DS-GVO außerdem eine gegenteilige Liste mit Datenverarbeitungsvorgängen erstellen, bei denen keine Folgenabschätzung durchgeführt werden muss (sog. Whitelist). Eine gesetzliche Pflicht zur Erstellung einer Whitelist besteht für die Aufsichtsbehörden im Unterschied zur Blacklist aber nicht. Soweit sie dennoch (freiwillig) eine Whitelist erstellen, kann an diesem Punkt künftig einfach und schnell überprüft werden, ob der jeweilige Verarbeitungsvorgang dort genannt wird und sich bereits aus diesem Grund eine DSFA erübrigt.
- 5. Existiert ein ähnlicher Verarbeitungsvorgang mit einem ähnlich hohen Risiko, für den bereits eine DSFA durchgeführt worden ist?
-
Soweit dies der Fall wäre, könnte nämlich gemäß Art. 35 Abs. 1 S. 2 DS-GVO auf eine weitere Folgenabschätzung verzichtet werden. Voraussetzung ist jedoch, dass der Verarbeitungsvorgang tatsächlich vergleichbar und mit ähnlich hohen Risiken behaftet ist, wie der bereits früher bewertete Vorgang. Eine Vergleichbarkeit darf hier nicht zu großzügig angenommen werden. Die Vergleichbarkeit und ihre Umstände werden regelmäßig durch den Datenschutzbeauftragten überprüft werden können, der diese Prüfung dann auch zu dokumentieren hat.
- 6. Hat die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge?
-
Befindet sich der Vorgang weder auf der Black- noch auf einer etwaigen Whitelist und liegt auch kein vergleichbarer und bereits bewerteter Vorgang vor, so muss eine Risikobewertung erfolgten. Zuerst sollte stets geprüft werden, ob eines der Regelbeispiele des Art. 35 Abs. 3 DS-GVO erfüllt ist. Ist das nicht der Fall, muss allgemein bewertet werden, ob ein Risiko vorliegt, das als hoch eingestuft werden muss. Im Rahmen dieser Abwägung liefern auch die Erwägungsgründe 75, 89 und 91 der DS-GVO wichtige Kriterien; für die Risikobewertung im Einzelfall außerdem Erwägungsgrund 76. Insgesamt kann man sich bei diesem Prüfungsschritt der Risikobewertung an dem zuvor genannten Leitfaden der Artikel-29-Datenschutzgruppe orientieren. Liegt nach dem dort genannten Kriterienkatalog ein voraussichtlich hohes Risiko vor, ist davon auszugehen, dass eine Datenschutz-Folgenabschätzung durchzuführen ist.
20.03.2018
Cookies und Webtracking: nur mit Einwilligung
Autor: Sarah Werner
Aufgrund der neuen Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 wird das Datenschutzrecht wesentlich verändert.
Neu ist dabei u.a. auch, dass für die Verwendung von Cookies und Webtracking die ausdrückliche Einwilligung der Nutzer erforderlich ist. In welcher Art und Weise und wann die Umsetzung dieser Regelung erfolgt, ist noch unklar. Über die rechtlichen Hintergründe können wir jedoch jetzt schon aufklären.
Mit der DSGVO sollte gleichzeitig die ePrivacy-Verordnung in Kraft treten, welche die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) und die dazu ergänzenden Regelungen von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ersetzen soll. Die ePrivacy-Verordnung befindet sich derzeit jedoch noch im Entwurfsstadium. Finale Versionen existieren jedoch noch nicht, weshalb sich das Inkrafttreten dieser Verordnung noch verzögern wird.
Umfassende Regelungen zum Webtracking für deutsche Anbieter enthält auch das TMG. In der aktuellen Fassung des TMG ist das Erstellen pseudonymer und anonymer Nutzerprofile, soweit der Nutzer dem nicht widerspricht (sog. Widerspruchslösung), möglich. Bei personenbezogenen Profilen wird das Webtracking von einer Einwilligung des Nutzers abhängig gemacht.
Was tun in der Übergangszeit?
Der Umgang mit Cookies und Webtracking in der Übergangszeit bis zum Wirksamwerden der ePrivacy-Verordnung wirft einige Fragen auf.
Teilweise wird die Ansicht vertreten, dass während der Übergangszeit neben der DSGVO (s. Art. 95 DSGVO i.V.m. Erwägungsgrund 173) das TMG gelte. Grund dafür sei, dass die Regelungen des TMG die nationale Umsetzung der ePrivacy-Richtlinie darstellen. Als weiteres Argument dafür wird der Erwägungsgrund 25 der ePrivacy-Richtlinie bzw. auch Erwägungsgrund 66 der Cookie-Richtlinie herangezogen.
Eine andere Ansicht sieht eine Fortgeltung des TMG neben der DSGVO nicht gegeben.
Die Umsetzung der ePrivacy-Richtlinie ist in § 15 Abs. 3 TMG verwirklicht. Jedoch sei diese nicht korrekt. Das TMG sei als eine Opt-Out-Lösung konzipiert während die Richtlinie eine Opt-In-Lösung fordere.
Die Richtlinie könne auch nicht unmittelbar als Rechtsgrundlage herangezogen werden. Richtlinien bedürfen einer Umsetzung in nationales Recht gem. Art. 288 AEUV. Hier könnte jedoch eine eine richtlinienkonforme Auslegung des § 15 TMG in Betracht kommen. Dies gestaltet sich jedoch komplizierter, weil das gesamte TMG umgedeutet werden müsste. Das gibt der Rahmen einer richtlinienkonformen Auslegung nicht her. Folglich verstößt § 15 Abs. 3 TMG gegen die europarechtlichen Vorgaben.
Folglich stellt die DSGVO die einzig verbleibende Lösung für den Umgang mit Webtracking und Cookies während der Übergangszeit dar. Im Gegensatz zu einer Richtlinie ist die DSGVO direkt anwendbar, da sie als Verordnung direkt anwendbar ist.
Die DSGVO findet Anwendung, wenn bei Cookies und Webtracking pseudonymisierte Daten verarbeitet werden. Anonyme Daten fallen jedoch nicht darunter.
Rechtsgrundlagen für diese Ausführungen sind Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 47 S. 7. Eine Verarbeitung schützt daher die berechtigten Interessen des Verantwortlichen und muss daher zwingend erfolgen. Im Ergebnis einer Interessenabwägung dürfen die Interessen des Betroffenen nicht überwiegen. Als solch ein berechtigtes Interesse kann die Verarbeitung zum Zwecke der Direktwerbung betrachtet werden, Erwägungsgrund 47. Demnach könnte als Rechtsgrundlage das berechtigte Interesse herangezogen werden, sodass eine Widerspruchslösung eigenlich genügen würde.
Wenn diese Argumentation nicht ausreicht, muss jedoch eine alternative Lösung her.
Opt-Out nicht mehr ausreichend
Wie oben bereits erläutert, gilt für Webtracking nach europäischem Recht das Einwilligungserfordernis. Dadurch wird eine aktive Handlung des Nutzers durch Einwilligen gefordert; eine Opt-Out-Lösung genügt nicht mehr.
Diese Ansicht fordert demnach das Einholen der Einwilligung. Doch die Anforderungen an eine Einwilligung sind gem. Art. 7 DSGVO sehr hoch. So zum Beispiel die Einhaltung der Informationspflichten: Die Cookie-Banner würden nunmehr die gesamte Seite ausfüllen. Eine diskrete Banner-Darstellung wäre kaum mehr zu realisieren, was für die Optik einer Webseite nicht förderlich ist.
Hinzu kommt, dass Daten erst nach der aktiven Einwilligung verarbeitet werden könnten. Dadurch müsste zum einen aktiv eine Einwilligung erteilt werden –konkludente Einwilligungen durch Weitersurfen genügen diesem Erfordernis nicht. Zum anderen müsste das Erheben von Daten vor einer Einwilligung technisch unterbunden werden, was sich noch als kaum möglich erweist.
Fazit
Abschließend lässt sich sagen, dass sich die dargestellte Argumentation durchaus als vertretbar erweist. Es bleibt jedoch noch abzuwarten, welche rechtliche Ansicht sich auf europäischer Ebene durchsetzen wird und welche informationstechnischen Möglichkeiten sich dahingehend noch ergeben werden.
Auch die Entwicklungen und Diskussionen rund um die ePrivacy-Verordnung dürfen nicht außer Acht gelassen werden.
13.12.2017
ePrivacy-Verordnung: Schon vor Verabschiedung droht Regulierungsärger für deutsche Unternehmen
Autor: Gerd Fuchs
Die EU-Kommission plant weiterhin, die (neue) ePrivacy-Verordnung (ePV) zusammen mit der EU-Datenschutzgrundverordnung (DS-GVO) am 25. Mai 2018 in Kraft treten zu lassen.
Das EU-Parlament hat die ePrivacy-Verordnung am 27.10.2017 verabschiedet. Nun muss noch der EU-Rat zustimmen.
Die ePrivacy-Verordnung betrifft alle digitalen Dienste und Geschäftsmodelle. Sie soll vorrangig dem Ziel dienen, die Vertraulichkeit in der elektronischen Kommunikation sicherzustellen und im Sinne einer Spezialregelung den Umgang mit personenbezogenen Daten auch im Online-Bereich regeln. Die neuen Regeln sollen neben der ab 25. Mai 2018 europaweit geltenden EU-Datenschutzgrundverordnung u.a. erhebliche Vorgaben zu Cookies und weiteren sog. „Online-Identifiern“ enthalten. Problematisch für die digitale Wirtschaft sind die vor allem in Art. 8-10 neu eigenfügten, noch strikteren rechtlichen und technischen Vorgaben hinsichtlich der Datenströme und deren Verarbeitungen auf Endgeräten der Nutzer.
Das bisher in der ePV angelegte rechtliche Konzept sieht vor, den Nutzer in den Mittelpunkt zu rücken. Die Folge: Drittparteien sollen auf ein Gerät nur noch im Einzelfall und mit Einwilligung des Nutzers zugreifen dürfen.
Damit allerdings sind viele heute etablierte Geschäftsmodelle der digitalen Wirtschaft - vor allem die, die auf dem Einsatz von Cookies basieren - in ihrer Existenz bedroht. Ebenso die damit einhergehenden wesentlichen Finanzierungsmodelle für Internetangebote.
BMWI kündigt aktuell Änderung des TMG an
Wenngleich die neue ePV noch in der Beratung ist, droht bereits jetzt aktuelle Gefahr für die digitale Wirtschaft. Denn das Bundeswirtschaftsministerium (BMWi), das auch für die Umsetzung der neuen Verordnung in nationales Recht zuständig ist, hat nunmehr verlauten lassen, auf Druck der EU-Kommission wegen eines (angeblich) bevorstehenden Vertragsverletzungsverfahrens wegen Nicht-Umsetzung der bereits existierenden ePrivacy-Richtlinie (ePR) in Deutschland eine kurzfristige Änderung des Telemediengesetzes (TMG) zu erwägen.
Konkret wird daran gearbeitet, die Formulierung bzw. den Regelungsgehalt des Art. 5 Abs. 3 ePR in das nationale Recht – zum Verbindlichkeitsdatum der DSGVO ab Mai 2018 - zu übernehmen. Dies würde bedeuten, dass der nationale Gesetzgeber noch vor Abschluss der Verhandlungen zur ePV die strenge Cookie-Einwilligung für sämtliche Verarbeitungen umsetzen will!
Dies käme für die deutsche Wirtschaft höchst überraschend und würde viele Unternehmen vor ernsthafte Umsetzungsschwierigkeiten stellen. Eine TMG-Änderung wäre dann bei Inkrafttreten einer neuen ePV, welche u.U. andere Erlaubnisse enthält, wieder obsolet und müsste dann ggf. nochmals erfolgen.
Die aktuelle Diskussion im EU-Rat über den Entwurf der ePV deutet zudem eher darauf hin, dass die sehr harten Einwilligungsvorgaben ohne genügend weite Legalerlaubnisse oder Lockerungen beim technischen Schutz (Browser als Gatekeeper), wie vom EU-Parlament vorgesehen, so nicht durchkommen.
Lobbying gefordert
Derzeit geht es vor allem darum zu erreichen, dass die Einwilligungsschranken fallen. Daher müssen an der Formulierung des derzeitigen Art. 8 ePV deutliche Änderungen vorgenommen werden. Gleiches gilt für die Fragen der technischen Zugangsregulierung nach Art. 10 ePV.
Aus Sicht der Digitalunternehmen sollte weiter versucht werden, den Erhalt der derzeitigen Regelungen (opt-out hinsichtlich der Datenverarbeitungsmöglichkeit für Nutzungsdaten) sicherzustellen. Diese sind aktuell in § 15 (3) TMG geregelt.
Ferner sollte eine neue Regulierung über die ePV nicht dazu führen, dass die sich an die endgerätebezogene Datenerhebung anschließenden Verarbeitungsschritte eingeschränkt werden. Sie sollten auf der Basis der Legalerlaubnisse aus Art. 6 DSGVO – mithin nicht allein einwilligungsbasiert - durchführbar bleiben.
Quelle: BVDW
Weiterführende Informationen:
https://www.bvdw.org/themen/digitalpolitik/
https://www.bvdw.org/themen/recht/eprivacy-verordnung/
https://www.wbs-law.de/internetrecht/eu-parlament-verabschiedet-eprivacy-verordnung-75545/
http://www.datenschutz-ticker.de/whitepaper/ePrivacyVO.html?gclid=EAIaIQobChMI6s_C5oSH2AIVCZ4bCh2wMQs8EAAYASAAEgJWUfD_BwE