DSGVO: Worauf sich die Datenschutz-Aufsichtsbehörden konzentrieren

Uneinheitliche Linie von Bund und Ländern

Inhaltsverzeichnis

Daher führt derzeit jede der 18 Aufsichtsbehörden in Deutschland eine eigene "Mussliste". Die Unterschiede im nicht-öffentlichen Bereich, der Unternehmen betrifft, sollen jedoch gering sein, versicherten mehrere Vertreter von Länderbehörden gegenüber heise online. Beispielsweise führt Hamburg 16, Baden-Württemberg aber nur 15 unterschiedliche Fallgruppen an. In Hamburg, nicht aber in Baden-Württemberg, wird demnach eine Datenschutz-Folgenabschätzung für Datenverarbeitungen in einem Drittland verlangt. Das ist beispielsweise dann nötig, wenn eine Schule oder ein Krankenhaus nicht-europäische Dienstleister nutzt. US-Dienste können damit bei besonders sensiblen personenbezogenen Daten nur genutzt werden, wenn entsprechende Sicherungen durchgeführt werden.

Lange umstritten war unter den Aufsichtsbehörden die Frage, ob auch die Personalverwaltung auf die Liste gesetzt werden muss. Weil dann aber nahezu alle Unternehmen betroffen wären, wurde sie noch nicht entschieden. Ebenfalls nicht auf der Liste sind auch sozialwissenschaftliche Erhebungen, die kritische personenbezogene Daten erfassen, sowie die Prüfverfahren in den Aufsichtsbehörden selbst, die sich notwendigerweise mit hochriskanten Datenverarbeitungsvorgängen befassen. Letztlich müssen alle Datenverarbeiter das Risiko für die Grundrechte der Betroffenen bestimmen. Zur Orientierung hat die Datenschutzkonferenz erst vor wenigen Wochen ein Kurzpapier veröffentlicht.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat hingegen eine Liste erarbeitet, die ohne konkrete Fallbeispiele auskommt und nach einer anderen Systematik verfährt. Sie listet neun Merkmale auf. Sobald zwei Merkmale auf eine Datenverarbeitung zutreffen, muss eine Folgenabschätzung erstellt werden. Zu den Merkmalen gehören beispielsweise Datenkategorien wie Gesundheitsdaten, Betroffenengruppen wie Kinder und Arbeitnehmer oder der Umfang der Datenverarbeitung.

Voßhoff hat ihre Liste an den Europäischen Datenschutzausschuss übermittelt, ohne sie vorher mit den Ländern noch einmal abzustimmen. Dem Vernehmen nach begründete sie dies damit, dass sie sich am entsprechenden Arbeitspapier der Artiel-29-Gruppe orientiert habe. Das aber wiederum ist vage formuliert und bekennt sich zu keiner Methode, nach der die Datenschutzfolgenabschätzung durchgeführt werden muss. Bislang gibt es nur vom "Forum Privatheit" eine Handreichung in Form eines bereits zum dritten Mal aktualisierten Whitepapers.

Voßhoff kündigte gegenüber heise online an, weiterhin mit den Landesdatenschutzbeauftragten an einer gemeinsamen Liste arbeiten zu wollen. Ihr Vorgehen stieß jedoch in den Ländern auf Kritik, zum Beispiel beim baden-württembergische Landesdatenschützer Stefan Brink: "Sie ist ausgestiegen, dann hat sich das ganze Abstimmungsverfahren aufgelöst." Die nordrhein-westfälische Datenschutzbeauftragte Helga Block, die derzeit den Vorsitz über die Datenschutzkonferenz von Bund und Ländern innehat, erinnerte gegenüber heise online daran, dass die Arbeiten und Abstimmungen "umfangreich und im Detail schwierig" seien.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar, der bisher in der Artikel-29-Gruppe die Länder vertrat, erklärte: "Wenn es unter den 18 deutschen Aufsichtsbehörden zu keiner gemeinsamen Entscheidung kommt, müssen Vertreter und Stellvertreter entscheiden. Die Entscheidung der Bundesdatenschutzbeauftragten kann durch die Mehrheit der Länder gekippt werden, wenn diese Länderfragen betrifft." Er weist aber auch darauf hin, dass der Bundesrat bis jetzt noch keinen Ländervertreter für den Datenschutzausschuss benannt hat. Der Vorschlag der Datenschutzkonferenz, dass Caspar weiterhin die Länder vertreten solle, sei verworfen worden. Gleichwohl hätten sich die verschiedenen Länderbündnisse im Bundesrat auf keinen Vertreter einigen können. "Ich bin vom Föderalismus desillusioniert. Hier hängt einiges noch im Argen", meinte Caspar. (anw)