Nach der seit 25.05.2018 anwendbaren Datenschutz-Grundverordnung (DS-GVO) sind die Aufsichtsbehörden verpflichtet, sog. Positivlisten von Verarbeitungsprozessen zu veröffentlichen, bei denen vor Durchführung eine Datenschutz-Folgenabschätzung stattzufinden hat. In einem ersten Blogbeitrag vom 07.05.2018 haben wir bereits die Positiv-Listen der polnischen und belgischen Behörden dargestellt, und im zweiten Teil des Beitrags vom 30.05.2018 erklärt, wie Unternehmen dies in die Praxis umzusetzen können. In der Woche vom 25.05.2018 wurden nun endlich erste Positivlisten von den deutschen Behörden veröffentlicht:
- Baden-Württemberg
- Berlin
- Brandenburg
- Hamburg
- Niedersachsen
- Rheinland-Pfalz
- Saarland
- Schleswig-Holstein
- Thüringen
- Bundesdatenschutzbeauftragte
Listen der Landesdatenschutzbehörden
Die von den Landesbehörden – jeweils im wesentlichen inhaltsgleich – veröffentlichte Liste gliedert sich in die drei Kategorien:
- Maßgebliche Beschreibung der Verarbeitungstätigkeit,
- typische Einsatzfelder,
- Beispiele.
Dadurch wird die Auflistung konkreter und anschaulicher als die im nachfolgenden beschriebene Liste der Bundesdatenschutzbeauftragten.
Wichtigste Verarbeitungstätigkeit in dieser Liste aus Sicht der Arbeitgeber ist die Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können (Nr. 7):
Maßgebliche Beschreibung der Verarbeitungstätigkeit | typische Einsatzfelder | Beispiele | |
7 | Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in anderer Weise erheblich beeinträchtigen | Einsatz von DataLoss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen | Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen |
Geolokalisierung von Beschäftigten | Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Au-ßendienst. |
Für die Anwälte unter den Lesern ist spannend, dass auch die umfangreiche Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen, wie es beispielsweise in einer großen Anwaltssozietät der Fall ist, ausdrücklich als Verarbeitungstätigkeit genannt ist, für die eine Folgenabschätzung zwingend durchzuführen ist (Nr. 1).
Maßgebliche Beschreibung der Verarbeitungstätigkeit | typische Einsatzfelder | Beispiele | |
1 | Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt | Betrieb eines Insolvenzverzeichnisses
Große Anwaltssozietät |
Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an. |
Die Frage, was unter einer großen Anwaltssozietät zu verstehen ist, lässt sich jedenfalls im Umkehrschluss zu Erwägungsgrund 91 Satz 4 DS-GVO dahingehend abgrenzen, dass eine Folgenabschätzung dann nicht zwingend erforderlich sein soll, wenn die Verarbeitung von Mandantendaten durch einen einzelnen Rechtsanwalt erfolgt.
Die von der Bundesdatenschutzbeauftragten veröffentlichte Liste
Die von der Bundesdatenschutzbeauftragten veröffentlichte Liste geht einen anderen Weg und folgt dem Ansatz des Artikels 29 Arbeitsgruppe in WP 248, wonach eine Folgenabschätzung jedenfalls dann erforderlich sein soll, wenn wenigstens zwei aus insgesamt neun abstrakt gefassten Kriterien erfüllt sind. Arbeitgeber haben zu beachten, dass die Verarbeitung von Arbeitnehmerdaten immer bereits eines der Kriterien (Nr. 7) erfüllt, weil Arbeitnehmer ausweislich dieser Norm als schutzwürdige Betroffene angesehen werden. Als weiteres, im Arbeitsverhältnis häufig erfülltes Kriterium kommt etwa in Betracht:
- „Die Verarbeitung umfasst eine Bewertung oder Einstufung der Betroffenen, darunter das Erstellen von Profilen und Prognosen, insbesondere auf Grundlage von Aspekten, die die Arbeitsleistung […] betreffen.“ (Nr. 1)
- „Die Verarbeitung hat die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift […] auf eine systematische Überwachung auch nicht öffentlich zugänglicher Bereiche […] zurück.“ (Nr. 3)
- Bei der Verarbeitung werden vertrauliche oder höchstpersönliche Informationen verarbeitet, insbesondere sogenannte besondere Kategorien von Daten (sensible Daten), Gesundheitsdaten oder Sozialdaten (Nr. 4).
Die soeben dargestellte Systematik des Artikels 29 Arbeitsgruppe in WP 248 ist darüber hinaus künftig auch deshalb verbindlich zu beachten, weil sie jetzt am 25.05.2018 ausdrücklich vom Europäischen Datenschutzausschuss anerkannt wurde. Der Europäische Datenschutzausschuss ist nunmehr seinerseits übergeordnete Aufsichtsbehörde über die Tätigkeit der Datenschutzaufsichtsbehörden der EU-Länder. Der Ausschuss hat am 25.05.2018 eine Liste von insgesamt 16 der bislang unverbindlichen Empfehlungen der Artikel 29 Arbeitsgruppe verabschiedet, die künftig bindende Wirkung haben sollen, darunter auch das WP 248 zur Datenschutzfolgenabschätzung.
Danke für den Beitrag. Kleiner Hinweis: Der Link zu Thürinen funktioniert nicht.
Hallo Herr Neldner,
vielen Dank für den Hinweis – der Link wurde nachträglich auf der Seite des LBFD verändert. Wir haben den korrigierten Link oben im Artikel aufgenommen.
Viele Grüße
Ihr Team von Arbeitsrecht. Weltweit.