Wann müssen wir eine DPIA durchführen?

Artikel durchsuchen

Artikel 35 Absatz 1 besagt, dass Sie eine DSFA durchführen müssen, wenn es sich um eine Art der Verarbeitung handeltdürfte ein hohes Risiko darstellenzu den Rechten und Freiheiten des Einzelnen:

„Wenn eine Art der Verarbeitung, insbesondere unter Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche dies vorab tun auf die Verarbeitung eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchführen. Eine einzelne Bewertung kann sich auf eine Reihe ähnlicher Verarbeitungsvorgänge beziehen, die ähnlich hohe Risiken bergen.“

Beim Risiko geht es in diesem Zusammenhang um die Möglichkeit eines erheblichen physischen, materiellen oder immateriellen Schadens für Einzelpersonen. Siehe Was ist eine DPIA? Weitere Informationen zur Art des Risikos finden Sie hier.

Um zu beurteilen, ob etwas ein „hohes Risiko“ darstellt, muss in der britischen DSGVO eindeutig sowohl die Wahrscheinlichkeit als auch die Schwere eines potenziellen Schadens für Einzelpersonen berücksichtigt werden. „Risiko“ impliziert eine mehr als geringe Wahrscheinlichkeit eines Schadens. „Hohes Risiko“ impliziert einen höheren Schwellenwert, entweder weil der Schaden wahrscheinlicher ist oder weil der potenzielle Schaden schwerwiegender ist, oder eine Kombination aus beidem. Die Beurteilung der Wahrscheinlichkeit eines Risikos in diesem Sinne ist Teil der Aufgabe einer DSFA.

Bei diesen Erstprüfungszwecken stellt sich jedoch die Frage, ob die Verarbeitung erfolgteiner Art, die wahrscheinlich dazu führen wirdein hohes Risiko.

Die britische DSGVO definiert nicht „wahrscheinlich ein hohes Risiko mit sich bringen“. Der entscheidende Punkt hierbei ist jedoch nicht, ob die Verarbeitung tatsächlich ein hohes Risiko darstellt oder wahrscheinlich zu einem Schaden führt – dies ist die Aufgabe der DSFA selbst, dies im Detail zu beurteilen. Stattdessen handelt es sich bei der Frage um einen Screening-Test auf höherem Niveau: Gibt es Merkmale, die auf das Potenzial eines hohen Risikos hinweisen? Sie suchen nach Warnsignalen, die darauf hindeuten, dass Sie eine DSFA durchführen müssen, um das Risiko (einschließlich der Wahrscheinlichkeit und Schwere eines potenziellen Schadens) detaillierter zu prüfen.

Artikel 35 Absatz 3 listet drei Beispiele für Verarbeitungsarten auf, die automatisch eine DPIA erfordern, und das ICO hat gemäß Artikel 35 Absatz 4 eine Liste mit zehn weiteren veröffentlicht. Es gibt auch europäische Richtlinien mit einigen Kriterien, die Ihnen bei der Identifizierung anderer wahrscheinlich risikoreicher Verarbeitungen helfen sollen.

Dies bedeutet nicht, dass diese Art der Verarbeitung immer ein hohes Risiko darstellt oder immer wahrscheinlich Schaden anrichtet – nur, dass eine begründete Wahrscheinlichkeit besteht, dass sie ein hohes Risiko darstellen und daher eine DSFA erforderlich ist, um den Grad des Risikos detaillierter zu bewerten.

Wenn Ihre beabsichtigte Verarbeitung nicht in der UK-DSGVO, Artikel 35(3) der ICO-Liste oder europäischen Richtlinien beschrieben ist, liegt es letztendlich an Ihnen, zu entscheiden, ob Ihre Verarbeitung unter Berücksichtigung der Art voraussichtlich ein hohes Risiko mit sich bringt Umfang, Kontext und Zwecke der Verarbeitung. Im Zweifelsfall würden wir Ihnen immer empfehlen, eine DSFA durchzuführen, um die Einhaltung sicherzustellen und bewährte Verfahren zu fördern.

Artikel 35 Absatz 3 legt drei Arten der Verarbeitung fest, die immer eine DSFA erfordern:

„(a) jede systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf deren Grundlage Entscheidungen getroffen werden, die rechtliche Wirkung gegenüber der natürlichen Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.“

„b) die Verarbeitung besonderer Kategorien von Daten im Sinne von Artikel 9 Absatz 1 oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne von Artikel 10 in großem Umfang.“

„(c) eine systematische großräumige Überwachung eines öffentlich zugänglichen Bereichs.“

Die Artikel-29-Arbeitsgruppe der EU-Datenschutzbehörden (WP29) hat Leitlinien mit neun Kriterien veröffentlicht, die als Indikatoren für eine wahrscheinlich risikoreiche Verarbeitung dienen können:

Weitere Hinweise zu diesen Faktoren finden Sie in den WP29-Richtlinien (WP248). Sie geben Hintergrundinformationen zur Begründung der Hochrisikoindikatoren und Beispiele für Verarbeitungen, die wahrscheinlich zu einem hohen Risiko führen.

In den meisten Fällen weist eine Kombination aus zwei dieser Faktoren darauf hin, dass eine DSFA erforderlich ist. Dies ist jedoch keine strenge Regel.

Möglicherweise können Sie die Entscheidung, keine DSFA durchzuführen, begründen, wenn Sie davon überzeugt sind, dass die Verarbeitung dennoch voraussichtlich kein hohes Risiko mit sich bringt. Sie sollten jedoch Ihre Gründe dokumentieren.

Andererseits kann es in manchen Fällen erforderlich sein, eine DSFA durchzuführen, wenn nur ein Faktor vorliegt – und es ist eine gute Praxis, dies zu tun.

Weiterführende Literatur – Europäischer Datenschutzausschuss

WP29 erstellte Leitlinien für Datenschutz-Folgenabschätzungen, die vom EDSA gebilligt wurden.

Externer Link

Das ICO ist gemäß Artikel 35 Absatz 4 verpflichtet, eine Liste der Verarbeitungsvorgänge zu veröffentlichen, die eine DSFA erfordern. Diese Liste ergänzt und präzisiert die in den europäischen Leitlinien genannten Kriterien. Einige dieser Vorgänge erfordern automatisch eine DSFA, andere nur, wenn sie in Kombination mit einem der anderen Punkte oder einem der Kriterien in den oben genannten europäischen Richtlinien erfolgen:

Sie sollten sich auch darüber im Klaren sein, dass die Datenschutzbehörden in anderen EU-Mitgliedstaaten Listen der Verarbeitungsarten veröffentlichen, die in ihrem Zuständigkeitsbereich eine DSFA erfordern.

Ausführlicher – ICO-Anleitung

Indikative Beispiele für Vorgänge, die eine DSFA erfordern, und weitere Einzelheiten dazu, welche Kriterien in Kombination mit anderen ein hohes Risiko darstellen, finden Sie in unserer Liste der Verarbeitungsvorgänge, die „wahrscheinlich zu einem hohen Risiko führen“.

Externer Link

In Erwägungsgrund 91 heißt es, dass es bei innovativer Technologie um neue Entwicklungen im technologischen Wissen auf der ganzen Welt geht und nicht um Technologie, die für Sie neu ist, und dass ihre Verwendung die Durchführung einer DSFA erforderlich machen kann. Dies liegt daran, dass der Einsatz solcher Technologien neuartige Formen der Datenerhebung und -nutzung mit sich bringen kann, die möglicherweise ein hohes Risiko für die Rechte und Freiheiten des Einzelnen mit sich bringen. Die persönlichen und sozialen Folgen des Einsatzes einer neuen Technologie sind möglicherweise unbekannt, und eine DSFA kann dem Verantwortlichen helfen, solche Risiken zu verstehen und zu kontrollieren.

Beispiele für die Verarbeitung mit innovativer Technologie sind:

Nicht nur Spitzentechnologie kann als innovativ gelten. Wenn ein für die Verarbeitung Verantwortlicher vorhandene Technologie auf neue Weise implementiert, könnte dies zu hohen Risiken führen, die ohne Durchführung einer DSFA möglicherweise nicht erkannt und behandelt werden. Beispielsweise könnte die Durchführung einer DPIA im Rahmen eines Projekts zum Entwurf und Einsatz eines großen Datenbanksystems, das Kundendaten verarbeitet, Folgendes bedeuten:

Die ICO-Liste der Verarbeitungsvorgänge mit hohem Risiko erfordert eine DSFA, wenn bei Ihrer Verarbeitung eine innovative Technologie in Kombination mit einem anderen Kriterium der europäischen Richtlinien (z. B. Bewertung oder Bewertung oder sensible Daten) zum Einsatz kommt.

In einigen Fällen können Sie jedoch entscheiden, dass Ihr beabsichtigter Einsatz innovativer Technologie ohne weitere Faktoren eine DSFA erfordert. Wenn keine zwingende Verpflichtung besteht, sind Sie als Verantwortlicher für die Beurteilung verantwortlich, ob Ihre beabsichtigte Verarbeitung „wahrscheinlich zu einem hohen Risiko führt“.

Weiterführende Literatur

Lesen Sie unseren Artikel über Big Data, künstliche Intelligenz, maschinelles Lernen und Datenschutz. Es enthält weitere Hinweise zur Anwendung dieser Technologien im Datenschutzkontext.

Externer Link

Auch hier definiert die britische DSGVO weder „systematisch“ noch „systematisch und umfassend“.

In den europäischen Leitlinien zu den DPO-Bestimmungen gibt es einige Hinweise zur Bedeutung von „systematisch“. In den DPO-Richtlinien heißt es, dass „systematisch“ bedeutet, dass die Verarbeitung:

Der Begriff „umfangreich“ impliziert, dass die Verarbeitung auch einen großen Bereich abdeckt, eine Vielzahl von Daten umfasst oder eine große Anzahl von Personen betrifft.

Weiterführende Literatur – Europäischer Datenschutzausschuss

Die Artikel-29-Arbeitsgruppe europäischer Datenschutzbehörden hat Leitlinien zu Datenschutzbeauftragten („DSB“) (WP243) verabschiedet, die Hinweise zur Bedeutung des Begriffs „systematisch“ enthalten.

Externer Link

Die britische DSGVO definiert den Begriff einer rechtlichen oder ähnlich bedeutsamen Wirkung nicht. Die Leitlinien der Artikel-29-Arbeitsgruppe zu diesem Satz im Zusammenhang mit Profiling-Bestimmungen geben jedoch einige weitere Hinweise.

Kurz gesagt, es ist etwas, das spürbare Auswirkungen auf eine Person hat und ihre Umstände, ihr Verhalten oder ihre Entscheidungen erheblich beeinflussen kann.

Eine Rechtswirkung ist etwas, das sich auf den rechtlichen Status oder die gesetzlichen Rechte einer Person auswirkt. Ein ähnlich bedeutender Effekt könnte etwas sein, das sich auf den finanziellen Status, die Gesundheit, den Ruf, den Zugang zu Dienstleistungen oder anderen wirtschaftlichen oder sozialen Möglichkeiten einer Person auswirkt.

Entscheidungen, die im Allgemeinen nur geringe Auswirkungen haben, könnten dennoch erhebliche Auswirkungen auf schutzbedürftigere Menschen wie Kinder haben.

Ausführlicher – ICO-Anleitung

Weitere Informationen zu rechtlichen und ähnlich bedeutsamen Auswirkungen finden Sie in unseren Leitlinien zu Profiling und automatisierter Entscheidungsfindung.

Lesen Sie unsere Leitlinien zu Kindern und der britischen DSGVO, um mehr über die erheblichen Auswirkungen speziell auf Kinder und ihre personenbezogenen Daten zu erfahren.

Weiterführende Literatur – Europäischer Datenschutzausschuss

Lesen Sie die WP29-Leitlinien zur automatisierten individuellen Entscheidungsfindung und Profilierung für die Zwecke der Verordnung 2016/679 (WP251). Sie enthalten Hinweise zu rechtlichen und ähnlich bedeutsamen Auswirkungen.

Externer Link

Eine „unsichtbare Verarbeitung“ liegt vor, wenn Sie personenbezogene Daten von einem anderen Ort als direkt von der Person selbst erhalten und ihr nicht die gemäß Artikel 14 erforderlichen Datenschutzinformationen zur Verfügung stellen. Die Verarbeitung ist „unsichtbar“, weil die Person nicht weiß, dass Sie es sind Erhebung und Nutzung personenbezogener Daten, auch wenn Sie auf Ihrer Website eine Datenschutzerklärung veröffentlichen.

Diese Verarbeitung stellt ein Risiko für die Interessen des Einzelnen dar, da dieser keine Kontrolle über die Verwendung seiner Daten durch Sie ausüben kann. Insbesondere können sie ihre Datenschutzrechte nicht geltend machen, wenn sie von der Verarbeitung keine Kenntnis haben. Dies gilt auch dann, wenn die Verarbeitung selbst voraussichtlich keine negativen Auswirkungen haben wird.

Sie laufen möglicherweise auch Gefahr, gegen die Fairness- und Transparenzanforderungen des ersten Datenschutzgrundsatzes zu verstoßen, wenn die Verarbeitung oder die daraus resultierenden Folgen für den Einzelnen nicht vernünftigerweise vorhersehbar sind.

Aus diesen Gründen ist eine solche Verarbeitung nach der UK-DSGVO nur in begrenzten Fällen zulässig. Dazu gehört auch, wo die Datenschutzinformationen bereitgestellt werden müssenunmöglichoder würde eine beinhaltenunverhältnismäßiger Aufwand.

Situationen, in denen es nicht möglich ist, den Datenschutz zu gewährleisten, werden nur selten eintreten, beispielsweise wenn Sie keine Kontaktdaten von Einzelpersonen haben und keine angemessenen Möglichkeiten haben, diese zu erhalten.

Es ist wichtig, dass Sie die Einhaltung des Rechts des Einzelnen auf Information nachweisen können. Wenn Sie also Verarbeitungsvorgänge vorschlagen, bei denen von Dritten erhaltene Daten genutzt werden, müssen Sie zunächst sorgfältig prüfen, ob Sie den Personen Datenschutzinformationen zur Verfügung stellen können. Wenn Sie beabsichtigen, sich wegen unverhältnismäßigen Aufwands auf die Ausnahme zu berufen, müssen Sie dies begründen können und andere Maßnahmen zum Schutz der Rechte der Menschen ergreifen. Insbesondere müssen Sie weiterhin Ihre Datenschutzinformationen veröffentlichen und eine DSFA durchführen.

Ihre DSFA hilft Ihnen bei der Beurteilung und dem Nachweis, ob Sie einen verhältnismäßigen Ansatz verfolgen. Es hilft Ihnen bei der Überlegung, wie Sie die Auswirkungen auf die Fähigkeit des Einzelnen, die Kontrolle über seine Daten auszuüben, am besten abmildern können und ob Sie andere Maßnahmen ergreifen können, um die Ausübung seiner Rechte zu unterstützen. Es hilft Ihnen auch zu zeigen, wie Sie die Anforderungen an Fairness und Transparenz einhalten.

Ausführlicher – ICO-Anleitung

Lesen Sie die ICO-Leitlinien zum Recht auf Information, die einen Abschnitt über unverhältnismäßigen Aufwand und andere Ausnahmen und Befreiungen enthalten.

Weiterführende Literatur – Europäischer Datenschutzausschuss

Siehe die WP29-Richtlinien zur Transparenz, die vom EDSA gebilligt wurden.

Externer Link

Einzelpersonen können gefährdet sein, wenn Umstände ihre Fähigkeit einschränken, der Verarbeitung ihrer personenbezogenen Daten freiwillig zuzustimmen oder ihr zu widersprechen oder deren Auswirkungen zu verstehen.

Am offensichtlichsten ist, dass Kinder als anfällig für die Verarbeitung ihrer personenbezogenen Daten angesehen werden, da sie möglicherweise weniger in der Lage sind, zu verstehen, wie ihre Daten verwendet werden, vorherzusagen, welche Auswirkungen dies auf sie haben könnte, und sich vor unerwünschten Folgen zu schützen. Dies kann auch für andere gefährdete Bevölkerungsgruppen gelten, beispielsweise für ältere Menschen oder Menschen mit bestimmten Behinderungen.

Selbst wenn die Personen nicht zu einer Gruppe gehören, die Sie möglicherweise automatisch als gefährdet betrachten, kann ein Machtungleichgewicht in ihrer Beziehung zu Ihnen zu einer Gefährdung für Datenschutzzwecke führen, wenn sie glauben, dass sie benachteiligt werden, wenn die Verarbeitung nicht durchgeführt wird.

Eine Gruppe, die in diesem Sinne möglicherweise als gefährdet gilt, sind Arbeitnehmer. In den europäischen Leitlinien zu DSFAs (WP248) wird erläutert, warum Arbeitnehmer als gefährdete Datensubjekte gelten könnten, wenn sie aufgrund eines Machtungleichgewichts nicht ohne Weiteres der Verarbeitung ihrer Daten durch einen Arbeitgeber zustimmen oder ihr widersprechen können. Diese Art von Gefährdung könnte sich auch aus der finanziellen Situation einer Person (z. B. Bonität) oder dem spezifischen Kontext der Verarbeitung (z. B. Patienten, die medizinische Versorgung erhalten) ergeben. Die Verarbeitung der Daten von Personen, die als gefährdet gelten könnten, ist eines der Kriterien in Europa Richtlinien für die Verarbeitung, die wahrscheinlich zu einem hohen Risiko führen. Wenn Sie der Meinung sind, dass an Ihrer Verarbeitung schutzbedürftige Personen beteiligt sind, ist eine DSFA erforderlich, wenn eines der anderen Kriterien oder Vorgänge auf unserer Liste berücksichtigt wird.

Beispiel

Eine Vertriebsfirma stellt ihren Mitarbeitern Firmenwagen zur Verfügung und beabsichtigt, Fahrzeuge mit Standortverfolgungsfunktionen einzusetzen, die es Managern ermöglichen, die Bewegung und den Aufenthaltsort ihrer Mitarbeiter jederzeit zu überwachen. Den Mitarbeitern ist es auch gestattet, die Fahrzeuge außerhalb der Arbeitszeit für private Zwecke zu nutzen.

Ziel der Verarbeitung ist es, den Standort jedes Einzelnen zu verfolgen, und zwar in einem Kontext, in dem er einem Machtungleichgewicht mit dem Verantwortlichen ausgesetzt ist. Daher ist eine DSFA erforderlich, um die Risiken für die Rechte und Freiheiten der Arbeitnehmer zu ermitteln und zu mindern.

Externer Link

Ausführlicher – ICO-Anleitung

Lesen Sie unsere Leitlinien zu Kindern und der britischen DSGVO, um mehr über die Einwilligung und den zusätzlichen Schutz für Kinder zu erfahren.

Weiterführende Literatur – Europäischer Datenschutzausschuss

WP29 erstellte Leitlinien für Datenschutz-Folgenabschätzungen, die vom EDSA gebilligt wurden.

Weitere Informationen zur Verarbeitung personenbezogener Daten im Beschäftigungskontext finden Sie in der WP29-Stellungnahme 2/2017 zur Datenverarbeitung am Arbeitsplatz.

Auch hier enthält die britische DSGVO keine Definition einer groß angelegten Verarbeitung. Um jedoch zu entscheiden, ob eine Verarbeitung in großem Umfang vorliegt, sollten Sie Folgendes berücksichtigen:

Beispiele für die Verarbeitung in großem Maßstab sind:

Einzelne Fachkräfte, die Patienten- oder Klientendaten verarbeiten, verarbeiten diese nicht in großem Umfang.

Externer Link

Weiterführende Literatur– Europäischer Datenschutzausschuss

WP29 erstellte Leitlinien für Datenschutz-Folgenabschätzungen, die vom EDSA gebilligt wurden.

Lesen Sie auch die WP29-Richtlinien zu Datenschutzbeauftragten („DPOs“) (WP243).

Möglicherweise müssen Sie keine DPIA durchführen, wenn:

Externer Link

Weiterführende Literatur– Europäischer Datenschutzausschuss

WP29 erstellte Leitlinien für Datenschutz-Folgenabschätzungen, die vom EDSA gebilligt wurden.