Datenschutz-Folgenabschätzung - Muss ich oder muss ich nicht?

Durch die DSGVO wird das bereits bekannte Konzept der Vorabkontrolle durch das Konzept einer Datenschutz-Folgenabschätzung (DSFA) weitergeführt und ausgebaut. Eine DSFA ist ein Verfahren, anhand dessen die Verarbeitung beschrieben, ihre Notwendigkeit und Verhältnismäßigkeit bewertet und die Risiken für die Rechte und Freiheiten natürlicher Personen, die die Verarbeitung personenbezogener Daten mit sich bringt, durch eine entsprechende Risikoabschätzung und die Ermittlung von Gegenmaßnahmen besser kontrolliert werden sollen.

Neben den in Art. 35 Abs. 3 DSGVO genannten Fällen in denen eine DSFA durchgeführt werden muss, richten sich die Bewertung der Notwendigkeit nach den allgemeinen Kriterien des Abs. 1. Danach muss man nach einer Voreinschätzung zu dem Ergebnis kommen, dass voraussichtlich ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht. Wann ein „hohes Risiko“ ist zum Teil unklar.

Nun sind einige Landes-Datenschutzbehörden ihrer Verpflichtung aus Art. 35 Abs. 4 DSGVO nachgekommen und haben Positiv-Listen mit Kriterien und Beispielsfällen veröffentlicht, in denen eine DSFA ihrer Ansicht nach durchgeführt werden muss. Die bisher veröffentlichten Positiv-Listen sind überwiegend identisch. Für den nicht-öffentlichen Bereich werden beispielhaft u.a. die folgenden Fälle genannt, für die eine DSFA erforderlich ist:

Big-Data-Analyse von Kundendaten

Im Rahmen von Big-Data Analysen, bei denen gewonnene Kundendaten (bspw. Stammdaten, Trackingdaten, Daten zum Kaufverhalten und Kaufinteressen und sonstige Daten zur Nutzung der eigenen Webangebote) mit Daten aus Drittquellen zusammengeführt werden (bspw. Bonitätsdaten von Auskunfteien, Daten aus Social Media Plattformen über die angesprochenen Mitglieder), um bislang unbekannter Zusammenhänge zu erkennen und zur Steigerung des Umsatzes verwendet werden können, ist die Durchführung einer DSFA erforderlich. Danach muss für jede größere Data Mining Plattform eine DSFA durchgeführt werden.

Umfangreiche Profilbildung

Ähnlich verhält es sich auch bei der umfangreichen Profilbildung von Kunden aufgrund des erfassten Kaufverhaltens im Zusammenhang mit der Schaffung von Anreizstrukturen die der Kundenbindung dienen. Dies trifft regelmäßig auf die Erstellung von Kundenprofilen, unter Verwendung von Daten zur Produktaffinitäten, des Kaufverhaltens, der Preise, Preisnachlässen und Rabatten zu, die bspw. bei der Verwendung von Kundenkarten oder Loyalty-Programmen erhoben werden.

Betrieb von Bewertungsportalen und Datingportalen

Auch für Bewertungs- und Datingportalen, die es entweder Nutzern ermöglichen, Leistungen von Selbstständigen öffentlich und im Detail zu bewerten (bspw. Leistungen von Ärzten, Lehrern, Professoren, ggf. Arbeitgeber etc.) oder aber umfassende Profile über die Nutzer erstellen (bspw. zu Interessen, Netz persönlicher Beziehungen und die Persönlichkeit), um passende Kontaktvorschläge zu generieren, soll die Durchführung einer DSFA notwendig sein. Für Bewertungsprotale ist dies insbesondere dann von Bedeutung, wenn die Daten von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen (bspw. im Falle von Umsatzeinbußen aufgrund negativer Bewertungen).

Inkassodienstleistungen

Inkassounternehmen, die für seine Kunden in großem Umfang personenbezogene Daten von Schuldnern verarbeiten um Forderungen einzutreiben (Forderungsmanagement) oder in großem Umfang Forderungen übertragen um diese auf eigenes Risiko geltend zu machen (Factoring), werden auch betroffen sein. Hier sehen die Aufsichtsbehörden in der Verarbeitung sensibler personenbezogene Daten von Schuldnern (insbesondere Vertrags- und Rechnungsdaten sowie Daten über Vermögensverhältnisse), die von Dritten dazu genutzt werden können, um Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen, ein „hohes Risiko“ für die Rechte und Freiheiten der Betroffenen.

Zahlartensteuerung

Eine DSFA soll auch für Fraud-Prevention-Systeme durchgeführt werden, wobei die Zahlartensteuerung als Beispiel angeführt wird. Dies soll insbesondere dann gelten, wenn personenbezogene Daten des Kunden aus verschiedenen Quellen (Zahlverhalten, Auskunfteien, Geodaten etc.) in einem großen Umfang zusammengeführt oder weiterverarbeitet werden und aufgrund von Algorithmen, die für die Betroffenen regelmäßig nicht nachvollziehbar sind, Entscheidungen getroffen werden, die Rechtswirkung gegenüber des betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können. Unabhängig von der Rechtmäßigkeit der Verarbeitung ist es strittig, inwiefern die Versagung einer Zahlart gegenüber den Betroffenen Rechtswirkung entfaltet oder diese in ähnlich erheblicher Weise beeinträchtigt.

Scoring

Auch im Falle von Scoring durch Auskunfteien, Banken und Versicherungen werden Daten aus verschiedenen Quellen zusammengeführt und aufgrund von nicht nachvollziehbaren Algorithmen zu Zwecken weiterverarbeitet, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden. Die daraus erstellten Scoring-Werte können für Entscheidungen genutzt werden, die ebenfalls Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können (bspw. Ablehnung eines Kreditantrags, Versagung einer Versicherung, Versagung des Rechnungskaufs). Hier sehen die Aufsichtsbehörden ebenfalls ein „hohes Risiko“ für die Rechte und Freiheiten der Betroffenen.

Was ist zu tun?

Wenn einer der in den Positiv-Listen aufgeführten Beispielfälle im Unternehmen vorliegen oder Datenverarbeitungsvorgänge auch nur teilweise die genannten Kriterien erfüllt, empfiehlt es sich eine rechtliche Vorprüfung durchzuführen, um die Notwendigkeit einer DSFA zu prüfen. Mittlerweile gibt es von Behördenseite auch ein Kurzpapier sowie eine Handreichung zur Umsetzung einer DSFA.

Wenn eine DSFA bereits durchgeführt wurde sollte eine Wiedervorlage eingerichtet werden, da Art. 35 Abs. 11 DSGVO erforderlichenfalls eine Überprüfung der Datenverarbeitungsvorgänge und folglich auch der DSFA vorsieht, sofern hinsichtlich des mit der Verarbeitung verbundenen Risikos Änderungen eingetreten sind oder sich etwas an den Verarbeitungsvorgängen selbst verändert.

Sprechen Sie uns gern an, wenn Sie Unterstützung bei der Fertigung einer Datenschutzfolgeabschätzung benötigen.

7. Juni 2018