Die neue gesetzliche Regelung
Kurz vor Beginn der Anwendbarkeit der EU-Datenschutzgrundverordnung (DSGVO) am 25.5.2018 hatten die deutschen Datenschutzbehörden sog. Blacklists von Verarbeitungsprozessen veröffentlicht, bei denen eine Folgenabschätzung nunmehr zwingend vorgeschrieben ist. Diese Listen umfassen Verfahren, die am Arbeitsplatz häufig durchgeführt werden, wie die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, etwa bei der Aufzeichnung des Internetverlaufs oder der Aktivitäten am Arbeitsplatz. Für die Anwälte unter den Lesern dürfte darüber hinaus interessant sein, dass auch große Anwaltssozietäten als typische Einsatzfelder von Verfahren angesehen werden, für welche eine Folgenabschätzung durchzuführen ist.
Die Datenschutz-Folgenabschätzung entspricht der schon nach bisherigem Recht erforderlichen sog. Vorabkontrolle bei der Verarbeitung sensibler Daten, § 4d Abs. 5 BDSG a.F. Der Anwendungsbereich ist allerdings vergrößert und angesichts der nun bestehenden Dokumentationspflicht für Arbeitgeber und den gestiegenen Sanktionen nach Art. 83 Abs. 4 lit. a) DSGVO erheblich an Bedeutung gewachsen. Nach der neuen Rechtslage ist eine Folgenabschätzung immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben wird, Art. 35 Abs. 1 Satz 1 DSGVO. Das ist nach dem weiteren Wortlaut der Verordnung (Art. 35 Abs. 3 DSGVO) insbesondere in folgenden Fällen erforderlich:
a) „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.“
Das Gesetz sieht ferner vor, dass die Aufsichtsbehörde eine sog. Blacklist von Verarbeitungsvorgängen erstellen muss, für die eine Folgenabschätzung durchzuführen ist, und dass diese Liste zu veröffentlichen ist. Daneben besteht die Möglichkeit, sog. Whitelists zu erstellen (Art. 35 Abs. 4, 5 DSGVO).
Ersteres haben die deutschen Behörden nun getan. Die Landesdatenschutzbehörden haben jeweils einen Text mit einer im Wesentlichen gleichlautenden Liste von Verarbeitungsvorgängen im öffentlichen sowie im nichtöffentlichen Bereich veröffentlicht. Der Text wurde von einer Unterarbeitsgruppe der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder gefertigt. Zugleich hat auch die Bundesdatenschutzbeauftragte eine Liste veröffentlicht, die jedoch anders als die von den Landesbehörden keine Beispielsaufzählung enthält, sondern lediglich auf die Kriterien verweist, die die Artikel-29-Datenschutzgruppe (der bisherige Datenschutzarbeitskreis auf EU-Ebene) bereits im Jahr 2017 im Arbeitspapier WP 248 veröffentlicht hatte.
Liste der Datenschutzbehörden: Orientierung für Arbeitgeber
Die von den Landesbehörden veröffentlichte Liste gliedert sich in drei Kategorien:
• maßgebliche Beschreibung der Verarbeitungstätigkeit,
• typische Einsatzfelder,
• Beispiele.
Dadurch wird die Auflistung konkreter und anschaulicher als die im nachfolgenden beschriebene Liste der Kriterien, die auf das WP 248 der Artikel-29-Datenschutzgruppe zurückgeht.
Wie bereits eingangs erwähnt, ist auch die umfangreiche Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen, wie es bspw. in einer großen Anwaltssozietät der Fall ist, ausdrücklich als Verarbeitungstätigkeit genannt, für die eine Folgenabschätzung zwingend durchzuführen ist (Nr. 1). Die Frage, was unter einer „großen“ Anwaltssozietät zu verstehen ist, lässt sich jedenfalls im Umkehrschluss zu Erwägungsgrund 91 Satz 4 DSGVO dahingehend abgrenzen, dass eine Folgenabschätzung dann nicht zwingend erforderlich sein soll, wenn die Verarbeitung von Mandanten durch einen einzelnen Rechtsanwalt erfolgt.
Wichtigste Verarbeitungstätigkeit in dieser Liste aus Sicht der Arbeitgeber ist die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in anderer Weise erheblich beeinträchtigen (Nr. 7). Als typische Einsatzfelder genannt sind der Einsatz von Data-Loss-Provention-Systemen, die systematische Profile der Mitarbeiter erzeugen, so wie die Geolokalisierung von Beschäftigten. Hierzu ist in der darauffolgenden letzten Spalte jeweils ein Beispiel als nähere Erläuterung genannt:
• Als Beispiel für den Einsatz von Data-Loss-Provention-Systemen genannt ist die zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, unerwünschtes Verhalten, z.B. den Versand interner Dokumente, zu erkennen. Dieser Beispielsfall wird beim Einsatz moderner Cyber-Security-Software in aller Regel erfüllt sein, denn solche Software kann nur funktionieren, indem der von den Arbeitnehmern durch Internetverlauf und E-Mail-Nutzung generierte Datenstrom engmaschig überwacht wird.
• Als Beispiel für die Geolokalisierung von Beschäftigten werden Bewegungsprofile genannt, die ein Unternehmen etwa per RFID, Handyortung oder GPS erstellen lässt, sei es zur Sicherung des eigenen Personals, zum Schutz von Arbeitgebereigentum oder zur Koordination von Außendiensteinsätzen.
Im Gegensatz dazu folgt die von der Bundesdatenschutzbeauftragten veröffentlichte Liste wie schon erwähnt dem Ansatz der Artikel-29-Datenschutzgruppe in WP 248, wonach eine Folgenabschätzung jedenfalls dann erforderlich sein soll, wenn wenigstens zwei aus insgesamt neun abstrakt gefassten Kriterien erfüllt sind. Unternehmen müssen beachten, dass bei der Verarbeitung von Arbeitnehmerdaten immer bereits eines der Kriterien (hier: Nr. 7) vorliegt, weil Mitarbeiter als schutzwürdige Betroffene angesehen werden. Als zweites, im Arbeitsverhältnis häufig erfüllte Kriterien kommen etwa folgende in Betracht:
• Die Verarbeitung umfasst eine Bewertung oder Einstufung der Betroffenen, darunter das Erstellen von Profilen und Prognosen, insbesondere auf Grundlage von Aspekten, die die Arbeitsleistung (…) betreffen (Nr. 1).
• Die Verarbeitung hat die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift (…) auf eine systematische Überwachung auch nichtöffentlich zugänglicher Bereiche zurück (Nr. 3).
• Bei der Verarbeitung werden vertrauliche oder höchstpersönliche Informationen verarbeitet, insbesondere sog. besondere Kategorien von Daten (sensible Daten), Gesundheitsdaten oder Sozialdaten (Nr. 4).
Die soeben dargestellte Systematik der Artikel-29-Datenschutzgruppe in WP 248 ist darüber hinaus künftig auch deshalb verbindlich zu beachten, weil sie vom europäischen Datenschutzausschuss anerkannt wurde. Dieser Ausschuss ist nunmehr seinerseits übergeordnete Aufsichtsbehörde über die Tätigkeit der Datenschutzaufsichtsbehörden der EU-Länder. Er hat am 25.5.2018 eine Liste von insgesamt 16 der bislang unverbindlichen Empfehlungen der Artikel-29-Datenschutzgruppe verabschiedet, die künftig bindende Wirkung haben sollen, darunter auch das WP 248 zur Datenschutzfolgenabschätzung.
Mindestinhalt
Arbeitgeber werden sich somit künftig die Mühe machen müssen, die schon in der Vergangenheit erforderliche rechtliche Prüfung strukturiert durchzuführen und zu verschriftlichen. Dieses Erfordernis gilt unabhängig von der Betriebsgröße und unabhängig davon, ob ein Betriebsrat existiert, sofern sich nur die Erforderlichkeit einer Folgenabschätzung ergibt.
Ausgangspunkt für den erforderlichen Inhalt nach der neuen Rechtslage ist Art. 35 Abs. 7 DSGVO. Danach muss die Folgenabschätzung wenigstens folgende Angaben enthalten:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gem. Art. 35 Abs. 1 DSGVO und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Ergänzende, hilfreiche Angaben finden sich ferner in Kurzpapier Nr. 5, welches Teil der von den Aufsichtsbehörden aller Bundesländer gemeinsam verabschiedeten Kurzpapiere zur DSGVO ist. Weitere, sehr konkrete und durchaus lesenswerte Angaben und Mustertexte finden sich auf den Webseiten der französischen Datenschutzbehörde CNIL (dort PIA, Privacy Impact Assessment genannt) und der englischen Datenschutzbehörde ICO.
Die Durchführung im Einzelnen
Es empfiehlt sich ein einleitender Absatz dazu, was die Folgenabschätzung erreichen soll und wieso das Unternehmen davon ausgeht, dass sie erforderlich sein dürfte. Hier könnte – etwa im Fall der Verwendung von Überwachungskameras oder Zeiterfassungssoftware – auf die o.g. Listen der Datenschutzbehörden verwiesen werden.
Im Rahmen der Beschreibung sollte man möglichst ausführlich darstellen, wie der Arbeitgeber Daten erfasst, verwendet, sammelt und sodann löscht. Hilfreich sind Angaben zu den Quellen sowie zu möglichen weiteren Empfängern. An dieser Stelle ist es sinnvoll, interne, anonymisierte Unterlagen sowie Diagramme oder sonstige Unterlagen zur Veranschaulichung beizufügen. Sofern die Verarbeitung auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO erfolgt, ist dieses zu beschreiben.
Unternehmen müssen auch Art und Umfang der verarbeiteten Daten beschreiben sowie die Häufigkeit der Datenverarbeitung und wie viele Arbeitnehmer oder sonstige Datensubjekte (z.B. Kunden/Besucher) davon betroffen sind. Ebenso sind Angaben dazu zu machen, welches der Erwartungshorizont der betroffenen Individuen, insbesondere der Beschäftigten ist, ob sie diese Art der Datenverarbeitung erwarten und ob sie hierüber Kontrolle haben. Bei ungewöhnlichen oder neuen bzw. besonders risikointensiven Verfahren müssen Arbeitgeber auch hierzu Angaben machen. Schließlich ist auch das Ziel der Verarbeitung zu nennen.
Die Bezeichnung, inwieweit eine Beratung mit den betroffenen Individuen – oder im Falle von Mitarbeitern mit deren Vertretung durch Konzern-/Gesamt- und/oder Betriebsrat – stattgefunden hat, ist ebenfalls erforderlich. Beschrieben werden sollte ferner, welche weiteren fachkundigen Akteure innerhalb des Unternehmens involviert waren: Datenschutzbeauftragter, externe Berater etc. Des Weiteren müssen die beschriebenen Verarbeitungsvorgänge tatsächlich für den beschriebenen Zweck erforderlich – also zielführend – und verhältnismäßig sein; es darf auch keine weniger invasiven Alternativen geben. Bzgl. der Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen empfiehlt sich ein Brainstorming-Prozess mit allen internen und externen Experten zur Identifizierung und Prüfung resultierender Risiken. Diese sollten zunächst in der Folgenabschätzung beschrieben werden.
In einem nächsten Schritt sollte man in Bezug auf das identifizierte Risiko Abhilfemaßnahmen prüfen. Hierunter sind vor allem technische und organisatorische Maßnahmen zu verstehen. Dabei ist darzustellen, wie sich die zuvor identifizierten Risiken hierdurch jeweils konkret minimieren oder beseitigen lassen. Ist dies nicht möglich, verbleibt ein Restrisiko, das als hoch, mittel oder gering einzustufen ist.
Dokumentation
Wichtig ist eine gründliche Dokumentation aller Erwägungen zu den soeben beschrittenen Prüfschritten sowie zu deren Umsetzung. Einmal erwogene Abhilfemaßnahmen sollte man zunächst in ihrer Wirksamkeit prüfen, bevor sie bestätigt und final in die Folgenabschätzung eingefügt werden können. Schließlich sind auch die Stellungnahmen der verantwortlichen Entscheider innerhalb des Unternehmens sowie auch des Datenschutzbeauftragten in der Dokumentation festzuhalten.
Die Folgenabschätzung ist kein einmaliger Prozess. Wenn sich Rahmenumstände verändern, muss sie erneut durchgeführt werden.
Konsultationsverfahren mit der Behörde
Wenn das Ergebnis des letzten Prüfungsschrittes ist, dass die geplanten und ersichtlichen Abhilfemaßnahmen nicht ausreichen, um die identifizierten Risiken zu minimieren, sodass „die Verarbeitung ein hohes (Rest) Risiko zur Folge hätte“, so ist die zuständige Aufsichtsbehörde zu konsultieren. Das Konsultationsverfahren ist in Art. 36 DSGVO beschrieben. Es sind nach Abs. 3 (wenigstens) die folgenden Informationen zur Verfügung zu stellen:
a) ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;
c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen (…) vorgesehenen Maßnahmen und Garantien;
d) ggf. die Kontaktdaten des Datenschutzbeauftragten;
e) die Datenschutz-Folgenabschätzung gem. Art. 35 und
f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
Wichtig ist es, die Behörde mit sorgfältig vorbereiteten Unterlagen zu kontaktieren, bei denen sich die Möglichkeit für Rückfragen auf essenzielle Rechtsfragen beschränkt. Spannend ist hierbei auch die Frage, wann man von einem „hohen“ Restrisiko ausgehen muss. Die Datenschutzaufsichtsbehörden haben naturgemäß kein Interesse daran, bei wenig risikoreichen Verarbeitungsprozessen involviert zu werden. Auf der anderen Seite tragen der prüfende Arbeitgeber sowie der etwaige externe Berater das Risiko dafür, das Risiko zu leichtfertig nicht als „hoch“ einzuschätzen.
Da die Übergangsfrist nun vorüber ist und die DSGVO unmittelbare Anwendung findet, können Anträge auf Durchführung einer Konsultation jetzt bei den jeweils örtlich zuständigen Aufsichtsbehörden eingereicht werden. Diese sind sodann innerhalb einer Frist von einem Monat – bzw. im Falle einer Verlängerung zwei Monaten– zu bescheiden. Denkbare Reaktionen der Behörde sind neben Empfehlungen und Anweisungen auch die Untersagung der beabsichtigten Verarbeitung.
Fazit
In der Vergangenheit wurde die Frage, ob ein neu eingeführtes System zur Datenverarbeitung überhaupt zulässig ist, häufig nur oberflächlich geprüft, insbesondere dann, wenn die Frage nicht Streitgegenstand im Rahmen der Verhandlungen mit dem Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG wurde. Das wird sich jetzt ändern. Die Datenschutzfolgenabschätzung wird künftig ein wesentlicher Teil der Vorbereitungsmaßnahmen zur Durchführung eines neuen, datenintensiven Systems sein, und den Unternehmen bei der Erfüllung der Dokumentationspflicht helfen.
Mit freundlicher Genehmigung der HUSS-MEDIEN GMBH aus AuA 7/18 S. 400 ff.
