open search
close
Datenschutz

Datenschutz-Folgenabschätzung – neu veröffentlichte deutsche Positivlisten

Print Friendly, PDF & Email

Nach der seit 25.05.2018 anwendbaren Datenschutz-Grundverordnung (DS-GVO) sind die Aufsichtsbehörden verpflichtet, sog. Positivlisten von Verarbeitungsprozessen zu veröffentlichen, bei denen vor Durchführung eine Datenschutz-Folgenabschätzung stattzufinden hat. In einem ersten Blogbeitrag vom 07.05.2018 haben wir bereits die Positiv-Listen der polnischen und belgischen Behörden dargestellt, und im zweiten Teil des Beitrags vom 30.05.2018 erklärt, wie Unternehmen dies in die Praxis umzusetzen können. In der Woche vom 25.05.2018 wurden nun endlich erste Positivlisten von den deutschen Behörden veröffentlicht:


Listen der Landesdatenschutzbehörden

Die von den Landesbehörden – jeweils im wesentlichen inhaltsgleich – veröffentlichte Liste gliedert sich in die drei Kategorien:

  • Maßgebliche Beschreibung der Verarbeitungstätigkeit,
  • typische Einsatzfelder,
  • Beispiele.

Dadurch wird die Auflistung konkreter und anschaulicher als die im nachfolgenden beschriebene Liste der Bundesdatenschutzbeauftragten.

Wichtigste Verarbeitungstätigkeit in dieser Liste aus Sicht der Arbeitgeber ist die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können (Nr. 7):

  Maßgebliche Beschreibung der Verarbeitungstätigkeit typische Einsatzfelder Beispiele
7 Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in anderer Weise erheblich beeinträchtigen Einsatz von DataLoss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen
Geolokalisierung von Beschäftigten Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Au-ßendienst.

 

Für die Anwälte unter den Lesern ist spannend, dass auch die umfangreiche Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen, wie es beispielsweise in einer großen Anwaltssozietät der Fall ist, ausdrücklich als Verarbeitungstätigkeit genannt ist, für die eine Folgenabschätzung zwingend durchzuführen ist (Nr. 1).

  Maßgebliche Beschreibung der Verarbeitungstätigkeit typische Einsatzfelder Beispiele
1 Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt Betrieb eines Insolvenzverzeichnisses

Große Anwaltssozietät

Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an.

 

Die Frage, was unter einer großen Anwaltssozietät zu verstehen ist, lässt sich jedenfalls im Umkehrschluss zu Erwägungsgrund 91 Satz 4 DS-GVO dahingehend abgrenzen, dass eine Folgenabschätzung dann nicht zwingend erforderlich sein soll, wenn die Verarbeitung von Mandantendaten durch einen einzelnen Rechtsanwalt erfolgt.

Die von der Bundesdatenschutzbeauftragten veröffentlichte Liste

Die von der Bundesdatenschutzbeauftragten veröffentlichte Liste geht einen anderen Weg und folgt dem Ansatz des Artikels 29 Arbeitsgruppe in WP 248, wonach eine Folgenabschätzung jedenfalls dann erforderlich sein soll, wenn wenigstens zwei aus insgesamt neun abstrakt gefassten Kriterien erfüllt sind. Arbeitgeber haben zu beachten, dass die Verarbeitung von Arbeitnehmerdaten immer bereits eines der Kriterien (Nr. 7) erfüllt, weil Arbeitnehmer ausweislich dieser Norm als schutzwürdige Betroffene angesehen werden. Als weiteres, im Arbeitsverhältnis häufig erfülltes Kriterium kommt etwa in Betracht:

  • „Die Verarbeitung umfasst eine Bewertung oder Einstufung der Betroffenen, darunter das Erstellen von Profilen und Prognosen, insbesondere auf Grundlage von Aspekten, die die Arbeitsleistung […] betreffen.“ (Nr. 1)
  • „Die Verarbeitung hat die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift […] auf eine systematische Überwachung auch nicht öffentlich zugänglicher Bereiche […] zurück.“ (Nr. 3)
  • Bei der Verarbeitung werden vertrauliche oder höchstpersönliche Informationen verarbeitet, insbesondere sogenannte besondere Kategorien von Daten (sensible Daten), Gesundheitsdaten oder Sozialdaten (Nr. 4).

Die soeben dargestellte Systematik des Artikels 29 Arbeitsgruppe in WP 248 ist darüber hinaus künftig auch deshalb verbindlich zu beachten, weil sie jetzt am 25.05.2018 ausdrücklich vom Europäischen Datenschutzausschuss anerkannt wurde. Der Europäische Datenschutzausschuss ist nunmehr seinerseits übergeordnete Aufsichtsbehörde über die Tätigkeit der Datenschutzaufsichtsbehörden der EU-Länder. Der Ausschuss hat am 25.05.2018 eine Liste von insgesamt 16 der bislang unverbindlichen Empfehlungen der Artikel 29 Arbeitsgruppe verabschiedet, die künftig bindende Wirkung haben sollen, darunter auch das WP 248 zur Datenschutzfolgenabschätzung.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

2 Bemerkungen

Kommentarfunktion ist geschlossen.