Um Datenpannen in Unternehmen vorzubeugen, werden Datenschutz-Folgenabschätzungen (DSFA) durchgeführt. Wann eine solche DSFA in jedem Fall erforderlich ist, legen sog. Blacklists fest. Diese enthalten Beispiele, bei denen Datenschutzfolgenabschätzung erforderlich sind. Dies bedeutet aber auch, dass diese Listen nicht abschließend sind und auch weitere Verarbeitungstätigkeiten die Durchführung einer DSFA erforderlich machen können.
Jede Aufsichtsbehörde der einzelnen Bundesländer führt eine solche Liste. Bremen stellte nun seine Blacklist vor, die u.a. eine DSFA-Pflicht bei US-Clouddiensten beinhaltet.
Was ist eine DSFA und wann ist sie erforderlich?
Sobald durch die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist eine DSFA erforderlich. Beispielsweise, wenn personenbezogene Daten zweckentfremdet verwendet werden.
Ziel einer DSFA ist es, einer Datenpanne vorzubeugen. In der DSFA werden die Risiken der Verarbeitung mit den Interessen der betroffenen Personen und mögliche Abhilfemaßnahmen miteinander abgewogen.
Die DSFA ist vor der Verarbeitung von dem Verantwortlichen eines Unternehmens durchzuführen. Sollte die DSFA keine Abhilfe schaffen, darf die Verarbeitungstätigkeit nicht durchgeführt werden bzw. der Verantwortliche muss mit der Aufsichtsbehörde abstimmen, ob die Verarbeitung trotzdem erfolgen kann.
Die Frage wann eine DSFA zwingend ist, beantworten neben dem Gesetz zusätzlich sogenannte Blacklists der Aufsichtsbehörden der Bundesländer und der Datenschutzkonferenz (DSK).
Diese Blacklists zählen einzelne Verarbeitungstätigkeiten auf, bei denen eine Datenschutz-Folgenabschätzung erforderlich ist. Zu beachten ist, dass keine der Listen abschließend ist.
Beispielsinhalte einer Blacklist:
– Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
– Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
– umfangreiche Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (also bspw. bei einer umfangreichen Videoüberwachung)
– Verarbeitung von biometrischen und genetischen Daten zur Personenidentifizierung in bestimmten Fällen (z.B. besonders schutzwürdige Person betroffen oder systematische Überwachung)
– Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
– Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung der Arbeitstätigkeit eingesetzt werden können
– Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung von Persönlichkeiten
Blacklist Bremen: DSFA-Pflicht bei US-Clouddiensten
Zuletzt veröffentlichte Bremen seine Blacklist für Datenschutz-Folgenabschätzungen. Grundsätzlich sind die Blacklists der Aufsichtsbehörden und der DSK weitestgehend identisch. Neu ist auf der Blacklist von Bremen die DSFA-Pflicht bei US-Clouddiensten.
Das ist nachvollziehbar. Spätestens seit der EUGH das US-Privacy Shield gekippt und damit die USA zu einem unsicheren Drittstaat erklärt hat, ist der Datenaustausch mit den USA (z.B. Datenverarbeitung durch Clouddienste) riskant.
Über dieses Thema haben wir bereits in unseren Blogbeiträgen https://sidit.de/blog/eughurteil-zum-euus-privacy-shield und https://sidit.de/blog/aktuelle-entscheidung-zum-newsletterversand-via-mailchimp berichtet.
Daten sind in den USA gerade deswegen unsicher, da staatliche Zugriffsmöglichkeiten bestehen, gegen die sich ein Unternehmen nur schwer wehren kann. Insbesondere die Übertragung von sensiblen Daten nach Art. 9 DSGVO in die USA sollte daher gut überdacht werden. Bremen leitete hieraus eine DSFA-Pflicht ab.
Es bleibt abzuwarten, ob die Aufsichtsbehörden der anderen Bundesländer und die DSK Ihre Blacklists dementsprechend anpassen.
Zwar existieren die meisten Blacklists der anderen Bundesländer schon seit 2018, sodass Bremen ein echter Nachzügler in diesem Punkt ist. Allerdings hindert das die anderen Aufsichtsbehörden nicht daran, ihre Blacklists an aktuellere Themen anzupassen, da das Thema DSFA, als wichtiges datenschutzrechtliches Instrument, immer auf der Agenda der Aufsichtsbehörden und Unternehmen steht.
Wir beraten unsere Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ umfassend rund um das Thema DSFA.
Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931-780 877-0 oder info@sidit.de
Kein Kommentar