Die polnische Datenschutzaufsichtsbehörde veröffentlichte einen Katalog zur Datenschutz-Folgenabschätzung

Die polnische Datenschutzaufsichtsbehörde hat eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlicht. Die Unternehmen sollen überprüfen, ob sie der Verpflichtung zur Durchführung der Datenschutz-Folgenabschätzung nachkommen müssen.

Datenschutz-Folgenabschätzung nach der DSGVO

Gemäß Art. 35 DSGVO ist der Verantwortliche verpflichtet, für einige Datenverarbeitungen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Dabei soll überprüft werden, welche Risiken die geplanten Verarbeitungsvorgänge mit sich bringen können und wie das Risiko verringert werden kann. Für Verstöße gegen die Vorschriften der DSGVO betreffend die Datenschutz-Folgenabschätzung drohen hohe Geldbußen von bis zu 10 000 000 EUR oder von bis zu 2 % gesamtes weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Nach der genannten Vorschrift müssen die nationalen Aufsichtsbehörden Verzeichnisse erstellen, aus den sich ergeben soll, für welche Verarbeitungsvorgänge die Datenschutz-Folgenabschätzung durchzuführen ist.

Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist

In dem veröffentlichten Verzeichnis [1] [2] sind die neun Arten der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung zu erstellen ist, genannt. Darüber hinaus weist die polnische Datenschutzaufsichtsbehörde auf Beispiele solcher Verarbeitungsvorgänge und Einsatzfelder, bei den die Pflicht zur Durchführung der Datenschutz-Folgenabschätzung am häufigsten zu erfüllen ist.

Der Präsident des Datenschutzamtes führt folgende Verarbeitungsvorgänge an:

1. die Verarbeitung, die in der Evaluierung oder Bewertung, darunter im Erstellen von Profilen und Prognosen besteht und daraus sich negative rechtlichen, physischen, finanziellen Auswirkungen oder anderen Nachteilen für natürlichen Personen ergeben; als Beispiel wird das Profiling von Social-Media-Nutzer zu den Zwecken der Versendung unerwünschter Werbung genannt;
2. die Verarbeitung umfasst eine automatisierte Entscheidungsfindung und daraus ergeben sich rechtliche, finanzielle oder ähnliche bedeutsamen Auswirkungen; beispielsweise betroffen ist die Überwachung von Einkäufen bzw. Einkaufspräferenzen;
3. die Verarbeitung, die in der systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche besteht und dabei die Merkmale oder Eigenschaften der überwachten Bereiche erkannt werden können; darunter fallen nicht die Systeme der Videoüberwachung, die nur im Falle der Verstöße gegen die Vorschriften verwendet werden; als Beispiel sind die Mitarbeiterüberwachungsformen am Arbeitsplatz zu nennen;
4. die Verarbeitung personenbezogener Daten besonderer Kategorien und Daten über strafrechtliche Verurteilungen und Straftaten; diesbezüglich wird u.a. die Verarbeitung biometrischer Daten der Kunden oder Mitarbeiter zu den Zwecken der Zugangskontrolle betroffen;
5. umfangreiche Verarbeitung, wobei die Zahl der Betroffenen, der Umfang der Verarbeitung (darunter auch der geografische Umfang der Verarbeitung) und die Speicherdauer der Daten zu berücksichtigen sind;
6. das Abgleich, die Bewertung oder Schlussfolgerung aufgrund der Daten aus verschiedenen Quellen;
7. die durchgeführten Bewertungen oder erbrachten Dienstleistungen für die Betroffenen hängen von den Rechtsträgern ab, die über Hoheitsbefugnissen verfügen oder zur Bewertung der Betroffenen befugt sind; als Beispiel ist der Einsatz eines Whistleblowing-Systems zu nennen;
8. bei der Verarbeitung werden neue Technologien oder organisatorische Lösungen in einer innovativen Art und Weise eingesetzt; zum Beispiel werden die Technologien wie intelligente Zähler oder Lösungen mit Anwendung des Internets der Dinge (Internet of Things) betroffen;
9. die Verarbeitung an sich hindert die Betroffenen an der Ausübung eines Rechts, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags; klassisches Beispiel dafür ist das Kreditscoring.

Weitere Verzeichnisse zur Datenschutz-Folgenabschätzung sind zu erwarten

Bei den veröffentlichten Materialien ist der Hinweis zu finden, dass die Liste noch nicht abschließend ist. Die veröffentliche Liste umfasst noch nicht die Verarbeitungstätigkeiten, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen. Das Verzeichnis wird nach den Konsultationen mit dem Europäischen Datenschutzausschuss ergänzt.

[1] Mitteilung der Datenschutzaufsichtsbehörde vom 24.08.2018, Quelle: https://uodo.gov.pl/pl/138/480

[2] Bekanntmachung des Präsidenten des Datenschutzamtes vom 17. August 2018 über die Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, Polnisches Amtsblatt „Monitor Polski“ von 2018 Pos. 827, Quelle: http://monitorpolski.gov.pl/MP/2018/827/