Schon der Begriff liest sich umständlich und schwer aussprechbar: Datenschutz-Folgenabschätzung. Dennoch ist das ein Verfahren, welches für Arbeitgeber künftig eine erhebliche Rolle spielen wird. Das gilt umso mehr angesichts der in anderen EU-Ländern bereits veröffentlichten Black Lists für Verarbeitungsprozesse, bei denen eine solche Folgenabschätzung künftig zwingend vorgeschrieben sein wird. Diese Listen umfassen etwa im Fall der jüngst erschienen polnische Liste Verfahren, die am Arbeitsplatz häufig durchgeführt werden, wie beispielsweise eine automatische Arbeitszeiterfassung oder eine Überwachung der Nutzung von Informationstechnologie und E-Mails.
Die neue gesetzliche Regelung
Die Datenschutz-Folgenabschätzung entspricht der bereits nach jetzigem und bald bisherigem Recht erforderlichen sogenannten Vorabkontrolle, § 4d Abs. 5 BDSG, bei der Verarbeitung sensibler Daten. Der Anwendungsbereich ist allerdings vergrößert, und hat angesichts der nun bestehenden Dokumentationspflicht für Arbeitgeber und den erheblichen Sanktionen nach Art. 83 Abs. 4 a Datenschutzgrundverordnung (DS-GVO) erheblich an Bedeutung gewonnen. Nach der künftigen Rechtslage ist eine Folgenabschätzung immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben wird, Art. 35 Abs. 1 S. 1 DS-GVO. Das ist nach dem weiteren Wortlaut der Verordnung insbesondere in folgenden Fällen erforderlich:
1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DS-GVO oder
3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DS-GVO).
Das Gesetz sieht ferner vor, dass die Aufsichtsbehörde eine sogenannte Black List von Verarbeitungsvorgängen zu erstellen hat, für die eine Folgenabschätzung durchzuführen ist, und das diese Liste zu veröffentlichen ist. Daneben besteht die Möglichkeit sogenannte White Lists zu erstellen (Art. 35 Abs. 4, 5 DS-GVO).
Listen der belgischen und der polnischen Datenschutzbehörden – Orientierung auch für deutsche Arbeitgeber
Eben dies haben in der jüngsten Zeit die belgische Datenschutzbehörde und zuletzt die polnische Datenschutzbehörde getan.
Nur der Vollständigkeit halber sei daraufhin gewiesen, dass auch die sogenannte EU Art. 29 Working Party bereits im April 2017 eine Stellungnahme zu Folgenabschätzungen veröffentlicht hat. Schon im Mai 2016 wurde ein sogenanntes Whitepaper zur Datenschutz-Folgenabschätzung des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) und weiterer deutscher Experten veröffentlicht.
Die polnische Black List, die in einer nicht-offiziellen Übersetzung ins Englische verfügbar ist, nennt unter anderem folgende Fälle, für die eine Folgenabschätzung erforderlich ist:
- Systems for monitoring work time and information flow in tools years by employees (e. g. in E-Mail or in the internet)
- Work time monitoring systems; entrance control systems for specific rooms processing biometric data of (clients or) employees in order to identify or verify an individual in access control systems
- Services offering jobs that match offers to specific preferences of employers
- Whistleblowing systems (zitiert nach klattorneys.pl)
Ganz anders liest sich die Veröffentlichung der belgischen Datenschutzbehörde vom 28.02.2018. Sie enthält eine Black List für Fälle, in denen eine Folgenabschätzung erforderlich ist (Seite 42 ff.) sowie eine White Liste für Fälle, in denen keine Folgenabschätzung erforderlich ist (S. 46 ff.) darin sind die folgenden Verfahren genannt:
- Verfahren unter Nutzung von biometrischen Daten zur Identifikation von betroffenen Personen, die sich an einem öffentlichen oder öffentlich zugänglichen Ort befinden
- Verwendung von sensiblen Daten für einen anderen Zweck als denjenigen, für den sie zunächst erhoben wurden außer im Falle einer Einwilligung oder um einer rechtlichen Verpflichtung zu genügen
- Verwendung von sensiblen Daten oder von sehr persönlichen Daten außerhalb der Liste des Art. 9 DS-GVO (genannt sind als Beispiele Armut, Arbeitslosigkeit, aber auch private oder häusliche Aktivitäten und Ortsdaten, sofern diese systematisch unter verschiedenen Datenverantwortlichen geteilt werden)
- Systematische Auswertung von Telefondaten und sonstigen Kommunikationsdaten, Metadaten oder Ortsdaten über einzelne Personen, oder Rückschluss auf diese ermöglichend (übersetzt v. Verf.)
Keine Folgenabschätzung ist hingegen für die in der White List genannten Fälle erforderlich, unter anderem:
- Verarbeitung personenbezogener Daten, die erforderlich ist, um Gehälter an eigene Angestellte oder freie Mitarbeiter zu überweisen, sofern die Daten nur hierfür verwendet werden, nur an die hierfür zuständigen Personen übermittelt werden und nicht länger als nötig gespeichert werden
- Verarbeitung von personenbezogenen Daten im Rahmen der Personalverwaltung für Angestellte oder freie Mitarbeiter, sofern sich die Verarbeitung nicht auf Gesundheitsdaten erstreckt, oder auf andere sensible Daten, auf Verurteilungen oder auf Daten, die eine persönliche Bewertung zum Zweck haben, und wenn die Daten nicht länger gespeichert werden als für die HR-Datenverarbeitung erforderlich und nur im Rahmen rechtlicher Verpflichtungen. (übersetzt v. Verf.)
Für deutsche Arbeitgeber sind diese Veröffentlichungen nicht unmittelbar bindend. Sie geben aber einen guten ersten Einblick , was auch von Seiten der deutschen Behörden zu erwarten ist. Arbeitgeber, die sich auf die Anwendbarkeit der neuen Rechtslage vorbereiten, tun also gut daran, bereits jetzt eine Folgenabschätzung etwa für elektronische Zeiterfassung, Whistleblowing-Systeme oder andere Systeme der intensiven und dauerhaften Überwachung am Arbeitsplatz durchzuführen.
Ein Beitrag dazu, wie eine Folgenabschätzung im ersten, internen Schritt nach Art. 35 DS-GVO und ggf. im zweiten Schritt bei Konsultation der Behörde gemäß Art. 36 DS-GVO durchzuführen ist, folgt in Kürze auf diesem Blog.