1 Einführung
Das Forum Privatheit hat sich von Anfang an damit beschäftigt, wie sich die Anforderungen von Datenschutz und Privatheitsschutz umsetzen lassen. Eine prominente Rolle dabei spielt die Gestaltung der Systeme, die bezüglich der Verarbeitung personenbezogener Daten zum Einsatz kommen. Dies wird in Bezug auf die heutige und künftige Relevanz in diesem Beitrag diskutiert. Wie sich der Ansatz der datenschutzkonformen Systemgestaltung über die letzten Jahrzehnte entwickelt hat, stellt der folgende Abschn. 2 vor. Abschn. 3 erörtert den Risikobegriff der Datenschutz-Grundverordnung als zentralen Maßstab für die Gestaltung der Systeme. Darauf aufbauend beschreibt Abschn. 4, wie sich die Anforderungen durch technische und organisatorische Maßnahmen über den Lebenszyklus der Systementwicklung und im Betrieb umsetzen lassen. Abschn. 5 beschreibt Spannungsfelder, die bei der Gestaltung nicht außer Acht gelassen werden sollten, um nachhaltige Lösungen zu erreichen. Der letzte Abschn. 6 fasst den aktuellen Forschungsstatus zusammen und leitet Schlussfolgerungen ab.
Die hier verwendeten Begriffe des Schutzes der Privatheit und des Datenschutzes gehen auf die Grundrechte der EU-Grundrechte-Charta (GrCh) in Artt. 7 und 8 zurück. Eine genaue Abgrenzung gestaltet sich häufig schwierig, da beide Grundrechte in den Fällen, in denen personenbezogene Daten mit Bezug zum Privatleben betroffen sind, nebeneinander verwendet werden und sich gegenseitig verstärken. Der Privatheitsschutz lässt sich am ehesten mit dem aus Artt. 2 Abs. 1, 1 Abs. 1 GG abgeleiteten Allgemeinen Persönlichkeitsrecht vergleichen. Der Schutzbereich des Art. 8 GrCh geht dagegen über den Bezug zum Privatleben hinaus, setzt nur am Vorhandensein personenbezogener Daten an und stellt somit das allgemeinere Datenschutz-Grundrecht dar. In seiner neueren Rechtsprechung verwendet der EuGH beide Grundrechte in der Regel in Form einer gemeinsamen Anwendung bzw. sieht die Schutzbereiche beider Grundrechte eröffnet. Gerade im englischsprachigen Raum werden die Begriffe „Privacy“ und „Data Protection“ aber häufig synonym verwendet.
2 Die Entwicklung des Ansatzes einer Systemgestaltung für Datenschutz und Privatheit
Eine der Neuerungen, die mit der Datenschutz-Grundverordnung (DSGVO) eingeführt wurden, ist die Anforderung „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Diese sperrige Überschrift betitelt den Artikel 25 DSGVO. Im Ergebnis geht es um „eingebauten Datenschutz“, d. h. eine Gestaltung der (nicht nur) technischen Systeme auf eine Art und Weise, dass die Datenschutz-Grundsätze umgesetzt oder unterstützt werden. Die Logik hinter dieser Anforderung ist unmittelbar nachvollziehbar: Werden die Systeme, die zur Verarbeitung personenbezogener Daten eingesetzt werden, datenschutzgerecht gestaltet, dient dies insgesamt der Rechtskonformität. Andersherum: Hat man bei der Gestaltung jener Systeme Datenschutzanforderungen nicht berücksichtigt, kann es sein, dass ein rechtskonformer Einsatz nur unter Schwierigkeiten, möglicherweise allenfalls mit zeit- oder kostenintensiven Maßnahmen, oder gar nicht möglich ist.
Diese simple Logik eines in Technik implementierten Datenschutzes und ihre Umsetzung in spezifischen technischen Datenschutzkonzepten wurde bereits vor mehreren Jahrzehnten in Informatik-Fachveröffentlichungen verfolgt. Mitte der 1990er Jahre erstellten dann die Datenschutzbeauftragten der Niederlande und von Ontario, Kanada, den Report „The Path to Anonymity“, in dem sie den Begriff der „Privacy-Enhancing Technologies“ (PETs, übersetzt als datenschutzfördernde Technik oder datenschutzfreundliche Technologien) einführten. Der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder erarbeitete daraufhin im Jahr 1997 zwei Orientierungshilfen zu datenschutzfreundlichen Technologien. Während der Begriff der PETs zunächst primär die technischen Konzepte und Implementierungen zur Datenvermeidung und Datensparsamkeit beschrieb, wurde er später erweitert, um auch solche Funktionen zu umfassen, die eine Konformität mit den rechtlichen Datenschutzanforderungen ermöglichen.
Das Konzept des einzubauenden Datenschutzes wurde in Deutschland unter der Bezeichnung „Datenschutz durch Technik“ diskutiert, wobei zusätzlich die Begriffe „Selbstdatenschutz“ für die nutzerseitige Technik und „Systemdatenschutz“ für die Umsetzung aufseiten der Organisation einschließlich der Infrastrukturen unterschiedliche Ausprägungen verdeutlichten. Die Erkenntnis, dass Ansatzpunkte auf verschiedenen Seiten für die Gewährleistung von Sicherheit wie auch Datenschutz eine Rolle spielen können und dafür ein Zusammenspiel der Akteure relevant ist, führten ab Ende der 1990er Jahre zu dem Konzept der mehrseitigen Sicherheit: Damit sollen die Perspektiven und Interessen aller Beteiligten in der Gestaltung der konkreten Datenverarbeitung, insbesondere bezüglich der elektronischen Kommunikation, einbezogen und in einen fairen und transparenten Ausgleich gebracht werden. Ein Schwerpunkt liegt auf den Nutzerinnen und Nutzern, die ihre Rechte und Interessen gegenüber mächtigen Organisationen, die über die Datenverarbeitung bestimmen, nicht leicht durchsetzen können. Statt unüberprüfbarer Versprechungen, denen die Nutzenden ohne Kontrollmöglichkeiten vertrauen müssen, sollen nachgewiesene und überprüfbare Garantien gegeben werden, um damit eine Vertrauenswürdigkeit zu rechtfertigen. Die Forschung zur mehrseitigen Sicherheit beschäftigte sich insbesondere mit Verfahren zu Anonymität oder Pseudonymität, verbesserter Transparenz und fairen Aushandlungsmöglichkeiten.
Im internationalen Kontext propagierten Datenschutzbeauftragte, herausragend darunter Ann Cavoukian als Information and Privacy Commissioner der kanadischen Provinz Ontario, das verwandte Konzept von „Privacy by Design“, das auch in einer Resolution der Internationalen Konferenz der Datenschutzbeauftragten Eingang fand und in zahlreichen Ausarbeitungen diskutiert wurde. Mit Einführung der Datenschutz-Grundverordnung – dort in Art. 25 DSGVO mit der englischen Bezeichnung „Data Protection by Design and by Default“ – hat das Thema seit einigen Jahren weitere Sichtbarkeit und vor allem normative Relevanz erlangt, sodass der datenschutzrechtlich Verantwortliche nun technische und organisatorische Maßnahmen treffen muss, um die Datenschutz-Grundsätze aus Art. 5 DSGVO wirksam umsetzen zu können.
3 Der Maßstab: das Risiko für die Rechte und Freiheiten natürlicher Personen
Der Risikobegriff ist zentraler Bestandteil und wesentliche Neuerung im harmonisierten Datenschutzrecht. Der Schutz der Rechte und Freiheiten natürlicher Personen vor den Risiken von automatisierter und nichtautomatisierter Verarbeitung personenbezogener Daten gehört zu den Zielen der DSGVO. Um dies zu gewährleisten, müssen die Risiken für eben diese Rechte erkannt und entsprechende Schutzmaßnahmen identifiziert und implementiert werden.
Anhand des Risikos wird beispielsweise bestimmt, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder – nach Durchführung einer solchen – eine vorherige Konsultation der Datenschutzaufsichtsbehörde gemäß Art. 36 DSGVO vorgenommen werden muss. Nach dem Risiko für die betroffenen Personen bestimmen sich auch die Verpflichtungen des Verantwortlichen im Fall einer Datenpanne („Data Breach“, Verletzung des Schutzes personenbezogener Daten) nach Artt. 33 f. DSGVO.
Zudem ist der Risikobegriff für die Gestaltung von Verarbeitungsvorgängen von großer Bedeutung. Die Auswahl und Umsetzung der technischen und organisatorischen Maßnahmen nach Artt. 24, 25 und 32 DSGVO bestimmt sich ebenfalls nach dem Risiko, das sich aus der Verarbeitung für die Rechte von Individuen ergibt.
3.1 Risikobegriff
Der Begriff des Risikos im EU-Datenschutzrecht bezieht sich direkt auf die individuellen Grundrechte, wie sie in der EU-Grundrechte-Charta und der Europäischen Menschenrechtskonvention (EMRK) verbürgt sind. Diese Rechte sind für die EU und die Mitgliedstaaten nach Art. 6 EUV verbindlich. Die Formulierung „Rechte und Freiheiten“ ist Art. 52 Abs. 1 GrCh entnommen, der wiederum auf den Gebrauch des Begriffs in der EMRK zurückgeht, die diesen in der französischen Rechtstradition für Grundrechte üblichen Begriff verwendet, da dort Freiheitsrechte nicht vom engeren Verständnis der (subjektiven) Rechte erfasst werden.
Die Zielbestimmung des Art. 1 Abs. 2 DSGVO verweist dabei insbesondere auf das Grundrecht auf Datenschutz nach Art. 8 GrCh, beschränkt ihre Reichweite aber nicht darauf, sondern nimmt sämtliche Grundrechte in Bezug. Damit unterscheidet sich der Bezugspunkt des Risikobegriffs in der DSGVO von anderen bekannten Risikobegriffen und insbesondere vom Ansatz des Risikomanagements. Im Risikomanagement werden Risiken für eine Organisation und ihre Tätigkeit betrachtet. So bezieht sich das Informationssicherheitsmanagement als Unterkategorie des Risikomanagements auf die Auswirkungen eventueller Sicherheitslücken oder anderer sicherheitsrelevanter Ereignisse für die Organisation.
Der Risikobegriff der DSGVO hat also ein anderes Schutzgut als bisherige Risikobegriffe. Er schützt die Rechte von Individuen, insbesondere der von der Verarbeitung betroffenen Personen. Aus diesem verändertem Schutzgut ergibt sich auch eine weitere Abweichung von anderen Risikomodellen: Der Verantwortliche als datenverarbeitende Organisation ist ebenfalls eine Risikoquelle. Da er grundsätzlich Zugriff auf sämtliche Daten hat, kann er diese auch zum Nachteil der betroffenen Personen einsetzen.
Die DSGVO definiert den Risikobegriff nicht explizit. Aus Wortlaut, Systematik und Telos des Gesetzes hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) die folgende Definition des Risikos abgeleitet:
„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“
Diese Definition ist auf ErwGr. 75 gestützt, wonach sich aufgrund der Risiken einer Verarbeitung physische, materielle und immaterielle Schäden ergeben können. Insofern folgt daraus, dass Risiken mögliche Schäden beschreiben. Dass darunter auch die Verletzungen von Grundrechten der betroffenen Personen fallen können, stellt ErwGr. 94 S. 2 DSGVO klar. Dies verdeutlicht den Unterschied zum Risikomanagement oder dem Risikobegriff in der Informationssicherheit. Allerdings ist nur eine Verletzung von Grundrechten ein Schaden, nicht dagegen jede Beeinträchtigung. Wenn eine Beeinträchtigung nicht gerechtfertigt ist, liegt ein Schaden vor. Wenn es jedoch Gründe für die Beeinträchtigung gibt, die die Voraussetzungen von Art. 52 Abs. 2 GrCh an eine Rechtfertigung erfüllen, liegt auch keine Verletzung und somit kein Schaden vor.
Bei dem Risiko nach der DSGVO handelt es sich also um Risiken für Grundrechte. Das Risiko besteht darin, dass die Beeinträchtigung eines Grundrechts nicht ausreichend gerechtfertigt ist und dieses dadurch verletzt wird. Dabei ist zunächst auf das Grundrecht auf Datenschutz gemäß Art. 8 GrCh abzustellen. Das Risiko für das Grundrecht auf Datenschutz besteht darin, dass die Beeinträchtigung, die in der bloßen Verarbeitung personenbezogener Daten besteht, nicht in dem erforderlichen Maße verringert wird, um – etwa mit Hilfe technischer und organisatorischer Maßnahmen – ein angemessenes Schutzniveau zu erreichen.
Allerdings ist der Risikobegriff eben nicht auf Art. 8 GrCh beschränkt, sondern bezieht sich auch auf sämtliche weitere einschlägige Grundrechte. Als Grundrechte, die im Rahmen der Verarbeitung personenbezogener Daten relevant seien können, kommen nach ErwGr. 4 DSGVO insbesondere das Recht auf Privatleben, Meinungsfreiheit und Nichtdiskriminierung in Betracht.
Insbesondere im Hinblick auf das Recht auf Nichtdiskriminierung bergen Datenverarbeitungsvorgänge teils erhebliche Risiken für die betroffenen Personen. Das gilt beispielsweise beim Einsatz eines Algorithmus zur Gesichtserkennung, der die Gesichter Schwarzer Menschen oder People of Color nicht richtig erkennen kann. Auch algorithmische Systeme, die durch Maschinenlernen auf Basis von Daten mit einem vorurteilsbehafteten Bias (Verzerrung) trainiert werden, können diese Vorurteile bei ihrem Output (Entscheidungen oder Prognosen) verstärken. Dies war z. B. der Fall bei der Software COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), die Gerichte vieler US-Bundesstaaten zur Rückfallprognose für Straftäter eingesetzt haben oder noch einsetzen und die Fehlprognosen zulasten von marginalisierten Bevölkerungsteilen liefert. Auf diese Weise können die algorithmischen Systeme zu weiteren repressiven Maßnahmen gegen diese Personengruppen beitragen.
Eine Diskriminierung kann auch niedrigschwelliger bestehen, zum Beispiel wenn bei einem auszufüllenden Formular, das Geschlecht oder die Anrede als Pflichtangabe auszufüllen sind, aber nur binäre Geschlechter erfasst sind und eine Angabe für nicht-binäre Personen fehlt.
Datenverarbeitungsvorgänge lassen sich gezielt einsetzen, um die körperliche Integrität anzugreifen. Dies ist etwa durch den Einsatz von Smart-Home-Geräten möglich, mit denen (ehemalige) Partnerinnen überwacht oder gestalkt werden können. Zu diesen Geräten hat oft nur eine Person im Haushalt einen Administratorzugang, der es ermöglicht, auf umfassende Datenbestände zuzugreifen und die Konfiguration zu ändern. So können durch vernetzte Heimgeräte etwa aus der Ferne Alarme ausgelöst, Türschlösser geschlossen oder geöffnet werden, Lichter an- und ausgeschaltet werden. Dies dient dazu, das Opfer massiv zu verunsichern und auf das eigene Umfeld psychisch instabil wirken zu lassen (sog. Gaslighting).
Folglich kann sich ein Verarbeitungsvorgang auf eine Vielzahl von Grundrechten auswirken. Diese vollständig zu erfassen, kann im konkreten Fall eine Herausforderung für den Verantwortlichen darstellen.
3.2 Risikoerkennung
Eine wesentliche Aufgabe in Zusammenhang mit dem risikobasierten Ansatz der DSGVO ist die Risikoerkennung. Hierzu ist es nicht nur notwendig, dass die Verantwortlichen ihre eigene Datenverarbeitung im Detail kennen, sondern sie müssen auch mögliche Risiken auf Grundlage dieser Datenverarbeitung antizipieren.
Die Kenntnis der eigenen Datenverarbeitung setzt voraus, dass die konkreten technischen Abläufe der Verarbeitungsverfahren dem Verantwortlichen bekannt sind und dass Verarbeitungsvorgänge als solche identifiziert werden. Bereits zum korrekten Bestimmen der Rechtsgrundlage für eine Datenverarbeitung darf es sich – dies ist eine generelle Anforderung der DSGVO – bei einem Verarbeitungsvorgang nicht um eine technische „Black Box“ handeln.
Die Verantwortlichen müssen also wissen, welche Vorgänge zu welchen Zwecken personenbezogene Daten auf welche Art und Weise verarbeiten. Dies ist in den Fällen zumeist ein geringeres Problem, wo Verantwortliche die technische Entwicklung ihrer Software selbst in der Hand haben und diese auf Grundlage eigenen technischen Know-hows in eigener Verantwortung vornehmen. Schwieriger ist dagegen die Verwendung von Drittanbietersoftware in Form von Bibliotheken, Schnittstellen oder im Auftrag durch Dritte entwickelte Software.
Verantwortliche, die nicht über das notwendige eigene Know-how verfügen, um alle technischen Details abschätzen zu können, dürfen sich zwar in gewissem Maße auf etwaige Auftragnehmer und Dienstleister verlassen, wenn diese die Infrastruktur für Datenverarbeitung entwickeln und einrichten. Ab dem Punkt, an dem substanzielle Risiken für die betroffenen Personen involviert sind, müssen aber die Verantwortlichen in der Lage sein, die Datenverarbeitung in eigener Kompetenz auf sämtlichen Ebenen in ausreichendem Maße nachvollziehen zu können. Hier steigen die Anforderungen an das konkrete Wissen des Verantwortlichen mit der Eingriffsintensität der Datenverarbeitung, die sich aus den konkreten Umstände der Verarbeitung ergibt.
Die bei einem Verarbeitungsvorgang genutzten Komponenten müssen, sofern sie unmittelbar an der Verarbeitung personenbezogener Daten beteiligt sind und ein Risiko begründen können, in ihrer technischen Funktionsweise für den Verantwortlichen bekannt sein. Das bedeutet, dass auch der Verantwortliche selbst hinreichend über die konkrete Verarbeitung etwa in den genutzten Drittbibliotheken informiert sein muss.
Gerade hinsichtlich dieser Anforderung wurde oft kritisiert, dass der europäische Gesetzgeber damit den Verantwortlichen zu schwere Verpflichtungen auferlegen würde und dass die datenschutzrechtlichen Anforderungen als Innovationshemmnis wirken würden. Diese Kritik lässt aber unberücksichtigt, dass die Verantwortlichen durch die Verarbeitung personenbezogener Daten und dabei durch den Eingriff in fremde Rechte erst die Ursache für die ihnen gesetzlich auferlegten Pflichten setzen.
Verantwortliche können für sich und ihre Tätigkeit zwar eigenen Grundrechtschutz in Anspruch nehmen, dieser wirkt dann aber, soweit Grundrechte anderer Personen betroffen sind, nicht grenzenlos. Die konkreten datenschutzrechtlichen Anforderungen sind damit nur Ergebnis des gesetzgeberischen Abwägungsprozesses, der sowohl die Rechte der Verantwortlichen berücksichtigt als auch die Rechte der durch die Datenverarbeitung betroffenen Personen.
Bei der Risikoerkennung kommt es immer wieder zu der Situation, dass die Verantwortlichen besonders die mit der IT-Infrastruktur zusammenhängenden Risiken beachten und dabei andere Risiken, insbesondere originäre Datenschutzrisiken, unberücksichtigt bleiben. Diese Betrachtung setzt nicht die betroffenen Personen in den Fokus, sondern dient dem unmittelbare Eigeninteresse der Verantwortlichen an einer sicheren IT-Infrastruktur. Dabei kann nicht oft genug darauf hingewiesen werden, dass die Risikoerkennung zwar zuerst den Interessen der betroffenen Person(en) dienen soll, aber auch im Eigeninteresse der Verantwortlichen stattfindet, da die dort erkannten Risiken auch unternehmerische Risiken darstellen: Es ist z. B. denkbar, dass geistiges Eigentum in Form der Software oder Know-how (wie genutzten Algorithmen) verloren werden könnte oder auch Kundendaten, die oft der Monetisierung dienen und jedenfalls als Kundenkontakte unmittelbar den Wert eines Unternehmens bestimmen, von Angreifern entwendet werden könnten. Hierbei zeigt sich ein zentrales Problem im Datenschutz, nämlich dass die Verantwortlichen in Anlehnung an die Informationssicherheit nur Dritte als mögliche Angreifer auf die Grundrechte der betroffenen Personen sehen. Kaum Berücksichtigung findet der einer Datenverarbeitung nächste Akteur: der Verantwortliche, der im Datenschutz oft die erste Risikoquelle darstellt.
3.2.1 Entwicklung eines Frameworks zur Risikoerkennung
Die umfassende Auseinandersetzung mit der eigenen Tätigkeit setzt einerseits die systematische Erfassung der konkreten Verarbeitungsvorgänge voraus und andererseits die Berücksichtigung sämtlicher durch die Verarbeitung tangierter Grundrechte. Der folgende Ansatz ist der Vorschlag für ein entsprechendes Framework zur besseren Darstellung der eigenen Datenverarbeitungsvorgänge und der daraus resultierenden Sichtbarmachung von mit diesen Datenverarbeitungsvorgängen zusammenhängenden Risiken für natürliche Personen. Der Ansatz geht von drei Schritten aus, die Verantwortliche vorab durchführen müssen, um auf eine für die sodann zu erfolgende Risikoerkennung optimierte Verfahrensdokumentation zurückgreifen können:
- Identifikation der personenbezogenen Daten
- Identifikation von Verarbeitungsvorgängen
- Unterteilung der Verarbeitungsvorgänge in Abschnitte und Phasen
Im ersten Schritt sollte dafür eine Übersicht der verarbeiteten personenbezogenen Daten einschließlich ihrer Herkunft und des Ortes der jeweiligen Verarbeitung (d. h. welches (technische) System an welchem Standort welche Daten verarbeitet) angefertigt werden.
Im nächsten Schritt hilft eine systematische Darstellung der einzelnen Datenverarbeitungsvorgänge. Dabei ist es zunächst sinnvoll, einen Datenverarbeitungsvorgang in verschiedene Abschnitte zu unterteilen, um eine bessere Übersicht zu gewährleisten. Bei der Ausarbeitung der verschiedenen Datenverarbeitungsvorgänge ist zu berücksichtigen, dass wesentliche Teile der Datenverarbeitung isoliert dargestellt werden sollten, um die dortigen spezifischen Risiken besser erkennen und verstehen zu können. Hierzu sollten Teile, bei denen zeitliche, funktionelle oder räumliche Zäsuren aufzufinden sind, getrennt dargestellt werden. Zuletzt können die einzelnen Vorgänge in unterschiedliche Phasen eingeteilt werden, um den Kern des jeweiligen Vorgangs herauszuarbeiten. Dadurch werden für wesentliche Teile der Datenverarbeitung Herkunft und Fluss der Daten sichtbar und können bei der Risikoerkennung schneller berücksichtigt werden.
3.2.2 Verarbeitungsbegriff der DSGVO
Bei der Beschreibung der maßgeblichen Datenverarbeitung stehen die Verantwortlichen vor der Herausforderung, überhaupt alle maßgeblichen Verarbeitungsvorgänge zu erkennen. Die DSGVO selbst definiert dafür Verarbeitung in Art. 4 Nr. 2 DSGVO als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Darauf folgt eine Liste mit verschiedenen Beispielen abstrakter Verarbeitungsvorgänge. Verantwortliche sollten sich aber nicht nur an die (nicht abschließende) Liste mit konkreten Beispielen möglicher Verarbeitungsvorgänge in Art. 4 Nr. 2 DSGVO halten, sondern eher einen abstrakten Ansatz wählen.
Die im Gesetzeswortlaut verwendeten Begriffe zeigen, dass ein Verarbeitungsvorgang einerseits technisch (etwa „speichern“ oder „löschen“) und andererseits tatsächlich (etwa „verwenden“ oder „vernichten“) beschrieben werden kann. Daneben können Anknüpfungspunkte die Plattform der Verarbeitung sein (tätigkeitsbezogen, also etwa Software und Hardware) oder eine eher datenbezogene (bzw. ergebnisbezogene, wie z. B. „Offenlegung“) Beschreibung sein.
Für die Einschlägigkeit der Legaldefinition benötigt man lediglich einen „ausgeführten Vorgang“ bzw. eine „Vorgangsreihe“ in Zusammenhang mit personenbezogenen Daten. Dabei kommt es ebenso wenig darauf an, dass der Vorgang oder die Vorgangsreihe eine bestimmte Erheblichkeit aufweist, wie es auf die Laufzeit des konkreten Vorgangs ankommt. Weder kann von der Laufzeit eines Datenverarbeitungsvorgangs auf etwaige Abflüsse personenbezogener Daten, noch kann auf die konkrete Eingriffsstärke geschlossen werden. Sowohl technische und organisatorische Maßnahmen (wie etwa Verschlüsselung) können im konkreten Fall Verarbeitungsschritte darstellen, wie es auch die mittels Techniken des Machine Learnings verarbeiteten und dafür flüchtig gespeicherten Videobilder sind.
3.2.3 Risikoerkennung und datenschutzfremde Risiken
Um in der nun beschriebenen Datenverarbeitung zuverlässig die möglichen Risiken erkennen zu können, müssen die unterschiedlichen Phasen der Datenverarbeitung mit den möglicherweise betroffenen Grundrechten und Freiheiten abgeglichen werden. An dieser Stelle stehen die Verantwortlichen häufig vor dem nächsten Problem: der Bestimmung der einschlägigen Grundrechte. Im Zweifel werden die Verantwortlichen bei einer Datenverarbeitung, die bereits bei summarischer Betrachtung als eingriffsintensiv zu qualifizieren ist, einen umfassenden Blick auf infrage kommende Grundrechte werfen und auf etwaige Beeinträchtigungen prüfen müssen.
Gerade in Bereichen, in denen möglicherweise nur bestimmte, marginalisierte Personengruppen betroffen sind, liegen mögliche Ursachen für schwerwiegende Diskriminierungen. Diese aus Sicht der Verantwortlichen womöglich nicht naheliegenden Risiken zu berücksichtigen, ist die wesentliche Aufgabe des im Folgenden dargestellten Prozesses. Zugleich liegt darin eine besondere Schwierigkeit, denn die dargestellten Verarbeitungsvorgänge müssen nun aus einer grundrechtlichen Perspektive untersucht werden.
Das eigens dafür entwickelte Framework macht potenzielle Risiken besser sichtbar, indem eine übersichtliche und systematische Erfassung von Daten und Datenverarbeitungsvorgängen erstellt wird. Auf dieser Grundlage ist ein einfacheres Matching der Datenverarbeitung mit etwa betroffenen Rechten und Freiheiten möglich.
Beeinträchtigungen von Grundrechten können ihrer Wirkung entsprechend in einen zeitlichen Zusammenhang zur Datenverarbeitung gesetzt werden. Das führt dazu, dass die Auswirkungen einer Datenverarbeitung konkrete Auswirkungen auf die Grundrechtsausübung im zeitlichen Umfeld zur Datenverarbeitung haben kann. Eine zeitliche Betrachtung kann sich daher auf Auswirkungen im Vorfeld der Datenverarbeitung, Auswirkungen im Zeitpunkt der Datenverarbeitung sowie auf Auswirkungen im Nachgang der Datenverarbeitung beziehen (Abb. 1).
Abb. 1: Zeitliche Betrachtung grundrechtsrelevanter Auswirkungen
Im Vorfeld der Datenverarbeitung können insbesondere Chilling Effects und Überwachungsdruck dazu führen, dass die betroffene Person Grundrechte gar nicht oder nicht wie ursprünglich gewünscht ausübt. Die sog. Chilling effects beschreiben eine Situation, in der eine betroffene Person auf die Ausübung von Grundrechten verzichtet oder sie nicht wie gewünscht ausübt, da sie mit negativen (oft juristischen) Konsequenzen rechnet. Es handelt sich im Ergebnis um eine Selbstbeschränkung durch Einschüchterung. Überwachungsdruck führt dazu, dass sich eine betroffene Person bei der Ausübung ihrer Freiheitsrechte überwacht und deswegen beeinträchtigt fühlt. Dieses Gefühl kann auch in einer Situation eintreten, in der sie eine Überwachung „objektiv ernsthaft befürchten“ muss. Die betroffene Person unterlässt in diesen Fällen also in Ansehung einer Datenverarbeitung die Ausübung ihrer entsprechenden Grundrechte. Denkbar ist dies in Fällen, in denen an einer Demonstration nicht teilgenommen wird, weil die Polizei Teile der Demonstration filmt und man entweder mit Sanktionen rechnet oder schon die Verknüpfung von Teilnahme und Thema der Demonstration im konkreten Fall negative Implikationen für Teilnehmende haben kann.
Auch während die eigentliche Datenverarbeitung stattfindet, kann die Grundrechtsausübung als solche beeinträchtigt werden. Dies ist insbesondere in Fällen relevant, in denen Verantwortliche die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen wollen, deren Tatbestandsvoraussetzungen gar nicht vorliegen und insoweit der Eingriff nicht gerechtfertigt wird.
Schließlich kann als Folge der Datenverarbeitung etwa der Erfolg der Grundrechtsausübung verhindert oder die Ausübung aus Sicht der betroffenen Person sanktioniert werden. Hier ist etwa der Fall denkbar, dass eine Online kundgetane Meinungsäußerung sanktioniert werden soll. Dafür will man sich eines sog. Social Scores bedienen, also mittels Beurteilung verschiedener Verhaltensweisen oder Äußerungen eine Bewertung der Nutzerinnen und Nutzer vornehmen. Gewünschte Verhaltensweisen und Äußerungen wirken sich dabei positiv auf die Bewertung aus, Unerwünschtes wirkt dagegen negativ. Dafür sollen Online getätigte Meinungsäußerung gecrawlt und verarbeitet werden, um diesen Social Score generieren zu können und ungewünschte Meinungsäußerung im Nachhinein sanktionieren zu können.
3.3 Risikobewertung
Nachdem die Verantwortlichen die möglichen Risiken erfolgreich identifiziert haben, müssen diese Risiken bewertet werden. Dabei setzt der Risikobegriff der DSGVO grundsätzlich zwei Komponenten der Bewertung voraus, nämlich die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens. Dabei müssen die Verantwortlichen, wie auch bei der Risikoidentifizierung, die Perspektive der betroffenen Personen einnehmen und können sich nicht auf Risiken für ihre Organisation beschränken.
Grundsätzlich hängt die Einordnung maßgeblich von der Art, dem Umfang, den Umständen und den Zwecken der Datenverarbeitung ab. Irrelevant ist dagegen, wenn die Risiken im konkreten Fall keine von den Verantwortlichen intendierte Folge der Datenverarbeitung sind. Zur Beurteilung der Eintrittswahrscheinlichkeit haben die Verantwortlichen eine Prognoseentscheidung zu treffen, sie beruht entweder auf statistischen Erfahrungswerten oder auch nachvollziehbaren, objektiven Erwägungen.
Der erste Schritt in der Bewertung ist die Vorüberlegung, wie die Schwere und Eintrittswahrscheinlichkeit besser greifbar und vergleichbar bezeichnet werden kann. Zur besseren Handhabung beider Kategorien hat sich dafür die Nutzung einer Stufenskala bewährt. Hierbei kann etwa auf ein Modell aus drei (leicht, mittel und schwer) oder vier Stufen (geringfügig, überschaubar, substanziell und groß) zurückgegriffen werden. Durch die Nutzung eines Stufenmodells kann zwar eine Vergleichbarkeit hergestellt werden, es wird aber durch Vermeidung von absoluten Zahlenwerten nicht der Eindruck eines in Wirklichkeit nur pseudowissenschaftlichen Systems vermittelt.
Bei der Frage der Bewertung können verschiedene Aspekte eine Rolle spielen. So ist die Bedeutung des Schadens für die betroffene Person ein erster Ansatzpunkt. Es muss allerdings auch berücksichtigt werden, ob der betroffenen Person eine Möglichkeit der Einflussnahme offensteht oder sie sich der konkreten Datenverarbeitung entziehen kann. Genauso wie die konkrete Kenntnis der Datenverarbeitung sind diese Aspekte bei der Bewertung zu berücksichtigen.
Sowohl die Schwere möglicher Schäden als auch die Eintrittswahrscheinlichkeit können sodann von verschiedenen Aspekten der Datenverarbeitung abhängen; die DSGVO nennt dafür die Art (nature), den Umfang (scope), die Umstände (context) und die Zwecke (purposes) der Datenverarbeitung:
Art (nature)
Gerade die Beurteilung der Schwere der möglichen Rechtsgutverletzung kann im Einzelfall eine große Herausforderung für die Verantwortlichen und für die betroffenen Personen ein neues spezifisches Risiko der Fehleinschätzung darstellen. Zunächst sind die Gegebenheiten der Datenverarbeitung zu berücksichtigen, denn ihre Art im konkreten Fall kann eine besondere Schwere möglicher Rechtsverletzungen indizieren.
Hierbei ist sowohl die Art der Datenverarbeitung selbst zu berücksichtigen, also ihre technische Ausgestaltung im konkreten Fall, als auch die Art der personenbezogenen Daten, die Gegenstand dieser Datenverarbeitung sind. Gerade in den Fällen, in denen die Datenverarbeitung aufgrund ihrer technischen Ausgestaltung (etwa bei der Nutzung einer “Künstlichen Intelligenz”) für die Verantwortlichen weniger handhabbar und dadurch besonders gefahrgeneigt ist, muss dieser Umstand bei der Bewertung berücksichtigt werden.
Im nächsten Schritt sind die Arten der verarbeiteten personenbezogenen Daten zu betrachten. Dabei ist gerade ihre spezifische Bedeutung für die betroffene Person zu berücksichtigen. So können auf den ersten Blick normal sensible personenbezogene Daten aufgrund besonderer Umstände der betroffenen Person ein besonderes Gefahrenpotenzial innewohnen. Diese besonderen Umstände können insbesondere mit den in Art. 9 Abs. 1 DSGVO genannten persönlichen Attributen der betroffenen Person zusammenhängen; die Fallgruppen sind allerdings nicht auf die dort genannten Fälle beschränkt.
In anderen Situationen kann sich bereits aus der Art der personenbezogenen Daten ihre besondere Sensibilität ergeben, ohne dass es auf eine besondere Situation der betroffenen Person ankäme, da diese Daten für alle denkbaren Personen im Kontext einer Datenverarbeitung eine besondere Gefährlichkeit aufweisen würden. Diese sensiblen Daten stellen insbesondere die Gruppe der besonderen Kategorien von personenbezogen Daten aus Art. 9 Abs. 1 DSGVO dar.
Aus der Dauer einer Datenverarbeitung lassen sich nur sehr wenig Anhaltspunkte für das Risiko aus der Art der Datenverarbeitung ziehen. Die Dauer der Datenverarbeitung hängt neben der Art der Datenverarbeitung maßgeblich von deren Implementierung und der Leistungsfähigkeit der Hardware ab, auf der diese stattfindet. Da besonders die beiden letzten Faktoren sehr subjektiv sind und mit der notwendigen Hardware mittlerweile äußerst komplexe Datenverarbeitungsvorgänge in Bruchteilen einer Sekunde stattfinden, lässt die Dauer der Datenverarbeitung kaum Rückschlüsse auf ihre Gefahrgeneigtheit zu. Anders wäre dies eventuell zu werten, wenn es gerade um die Flüchtigkeit der während der Datenverarbeitung gewonnenen Daten ginge (etwa als Maßnahme zur Datenminimierung oder Verringerung des durch die Datenverarbeitung erfolgen Eingriffes) und Daten durch die Dauer länger persistent im Speicher existieren.
Umfang (scope)
Der Umfang der Datenverarbeitung hängt eng mit der Art der Datenverarbeitung zusammen. In ErwGr. 91 Satz 3 sieht der Gesetzgeber eine „systematisch in großen Umfang“ erfolgende Datenverarbeitung als mögliche Voraussetzung für eine Datenschutz-Folgenabschätzung, mithin als Indiz für ein hohes Risiko i.S.v. Art. 35 Abs. 1 Satz 1 DSGVO. Eine solche „systematisch in großen Umfang“ erfolgende Datenverarbeitung kann auf verschiedenen Ebenen stattfinden: Naheliegend ist zunächst die quantitative Berücksichtigung der betroffenen Personen: das Risiko einer Datenverarbeitung steigt bereits mit der bloßen Anzahl an Personen deren personenbezogene Daten verarbeitet werden. Diesen Aspekt werden Verantwortliche in der Regel erkennen können, da sich bereits aus Informationssicherheitserwägungen ergibt, dass eine große Menge an Datensätzen zu Begehrlichkeit für Angreifer führen kann.
Der Umfang kann sich allerdings auch auf die technische Ebene der Datenverarbeitung auswirken, denn einerseits kann die quantitative Menge an Datenverarbeitungsvorgängen Berücksichtigung finden, die sich wiederum aus der Komplexität einer einzelnen zusammenhängenden Verarbeitungstätigkeit zusammensetzen können oder auf der anderen Seite eine große Anzahl an wiederkehrendenden Datenverarbeitungsvorgängen bestehen kann. Andererseits kann auch die bloße Menge an personenbezogenen Daten zu spezifischen Risiken führen, etwa umfangreiche Bewegungsprofile bestehend aus einzelnen Aufenthaltsorten und den jeweiligen abgeleiteten Bewegungsvektoren. Gleiches gilt für den Fall, dass große Mengen besonders schutzwürdiger Daten verarbeitet werden, da eine eingriffsintensivere Datenverarbeitung auch gleichzeitig eine risikoreichere Datenverarbeitung darstellt. Für diesen Rückschluss hat der Gesetzgeber dort eine Ausnahme vorgesehen, wo die Berufsausübung spezieller, aufgrund besonderer Vertrauensstellung privilegierter Berufsgruppen betroffen ist.
Im Rahmen der Betrachtung des Umfangs einer Datenverarbeitung müssen aber auch etwaige Querbezüge und Auswirkungen unterschiedlicher Datenverarbeitungsvorgänge berücksichtigt werden. So können sich Wirkungen und Wirkweisen einer Datenverarbeitung im Zusammenspiel mit anderen Datenverarbeitungen verstärken oder verändern, sodass auch diese spezifischen Risiken im Sinne einer „Überwachungsgesamtrechnung“ Eingang in die Risikobetrachtung finden müssen.
Umstände (context)
Die spezifische Schwere des möglichen Eingriffes kann sich auch aus den Umständen der Datenverarbeitung ergeben. Hierzu zählen einerseits persönliche Umstände, die etwa in der Person der Betroffenen zu finden sind, situative Umstände, also eine spezifische Gefährlichkeit etwa der Erhebung der personenbezogenen Daten und/oder der weiteren Verarbeitung und die qualitative Gefährlichkeit der Datenverarbeitung. Dieser Aspekt überschneidet sich auch mit der Art und dem Umfang der Datenverarbeitung.
Die Auswirkungen von Verarbeitungsvorgängen können auch über die Grenzen einzelner Verantwortlichkeit hinaus relevant sein. So sind gerade im Bereich der Überwachungsgesetze und Rechtsgrundlagen für konkrete Überwachungsmaßnahmen nicht nur die Auswirkungen des konkreten Vorhabens im Rahmen einer etwaigen Gesetzes-DSFA zu überprüfen, sondern auch bisherige Maßnahmen und deren Umsetzung bzw. konkrete Anwendung in die Risikobetrachtung einzubeziehen. Mithilfe dieser „Überwachungsgesamtrechnung“ muss sichergestellt werden, dass die „Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf“. In die gleiche Richtung ging auch die Argumentation des BVerfG bei den Entscheidungen zum Scanning von Kfz-Kennzeichen. Hier stellte das BVerfG fest, dass derartige anlasslose Maßnahmen nicht flächendeckend stattfinden dürften.
Zwecke (purposes)
Auch die Zwecke der Datenverarbeitung haben in der Regel Auswirkung auf die Risikobewertung. So können die Zwecke ein besonderes Gefahrenpotenzial darstellen, wenn der Zweck ein spezifisches Risiko für Eingriffe in die Rechte und Freiheiten der betroffenen Personen schafft. Ähnlich deutlich sind auch die Auswirkungen auf die Eintrittswahrscheinlichkeit, denn durch die Zwecke kann die Eintrittswahrscheinlichkeit spezifischer Schäden deutlich erhöht werden: Denkbar sind Fälle, in denen es bei der Datenverarbeitung darum geht, personenbezogene Daten zu veröffentlichen, und so das Risiko der Verknüpfung mit anderen personenbezogenen Daten nicht nur abstrakt eröffnet, sondern durch die Veröffentlichung konkret erhöht wird.
Das Vorgehen nach dem vorgestellten Framework ermöglicht es Verantwortlichen die Risikoerkennung gerade im Kontext komplexer Datenverarbeitungsvorgänge zu optimieren. Der konkrete Umfang und notwendige Detailierungsgrad ist dabei jeweils von der Komplexität der jeweiligen Datenverarbeitung abhängig. Dabei obliegt den Verantwortlichen gerade bei Datenverarbeitungsvorgängen, die sich schon bei summarischer Betrachtung als besonders gefahrengeneigt für die Rechte und Freiheiten natürlicher Personen erweisen, eine besondere Darlegungslast für die Berücksichtigung dieser Risiken. Diese Pflicht wiegt umso schwerer, wenn die Gefahrengeneigtheit ansteigt. In diesen Fällen ist also eine systematische und kritische Auseinandersetzung mit der eigenen Datenverarbeitung angezeigt. Hier wäre das Framework eine mögliche Option der Systematisierung dieses Vorgehens und könnte im Sinne der Verantwortlichen auch dafür sorgen, dass neben der Erkennung von Datenschutz-Risiken auch ein allgemeines Risikomanagement besser funktioniert.
CC BY
Hansen, M., Bieker, F., Bremert, B. (2022). Datenschutz und Privatheitsschutz durch Gestaltung der Systeme. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.
https://doi.org/10.1007/978-3-658-35263-9_8
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.