Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den öffentlichen Bereich

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im öffentlichen Bereich durchzuführen ist - Version 0.2 (Stand: 03.08.2018)

Hinweis: Diese Liste ist verbindlich aber nicht abschließend.

Gesetzliche Grundlage

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU-Datenschutz-Grundverordnung – DS-GVO) regelt im Abschnitt 3 „Datenschutz-Folgenabschätzung und vorherige Konsultation“ des Kapitels IV „Verantwortlicher und Auftragsverarbeiter“ die Rahmenbedingungen zur sog. Datenschutz-Folgenabschätzung (kurz: DSFA; im Englischen Data Protection Impact Assessment oder DPIA). Artikel 35 DS-GVO nennt dabei die Grundsätze, bei welchen Fällen eine DSFA durchzuführen ist und was diese enthält. Artikel 36 DS-GVO beschreibt das besondere Verfahren der Konsultation des Verantwortlichen bei der Aufsichtsbehörde bei Fortbestehen hoher Risiken auch nach Anwendung der auf Grundlage der DSFA festgelegten verhältnismäßigen technischen und organisatorischen Maßnahmen.

Grundlage dieses Dokuments ist Art. 35 Abs. 4 DS-GVO:

„Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.“

Die vorliegende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem öffentlichen Bereich, die nicht mit dem Angebot von Waren und Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens von natürlichen Personen in mehreren Mitgliedsstaaten verbunden sind. Sie unterliegt daher aufgrund von Art. 35 Abs. 6 DSGVO nicht dem Kohärenzverfahren gemäß Art. 63 DSGVO.

Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DSGVO (s.u.) oder der auf Seite 5 beginnenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DSGVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DSGVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DSGVO offen.

Die vorliegende Liste findet auf Verarbeitungen personenbezogener Daten für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie auf die Führung von Papier-Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, keine Anwendung.

Gesetzlich unmittelbar vorgeschriebene DSFA-Pflicht

Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 DSGVO stets in folgenden Fällen durchzuführen:

a) bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO und

c) bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Die Größe des Umfangs der Verarbeitung bezieht sich sowohl auf die Zahl der Betroffenen, als auch den Umfang der Angaben zu jeder bzw. jedem einzelnen Betroffenen. Falls die Verarbeitung flächendeckend operiert, d. h. alle in Nordrhein-Westfalen oder dem Zuständigkeitsbereich der jeweiligen Behörde lebenden oder sich dort aufhaltenden Personen erfasst, die ein bestimmtes Kriterium erfüllen, z. B. alle Kinder bis neun Jahren oder alle Personen mit hochinfektiösen Krankheiten aus einer vorgegebenen Liste, so ist stets davon auszugehen, dass es sich um eine umfangreiche Verarbeitung handelt.

Die Regelung nach Buchstabe b findet insbesondere bei Verarbeitungstätigkeiten von Behörden Anwendung, die gemäß ihrer Aufgabe

  1. Daten, aus denen die rassische und ethnische Herkunft,
  2. politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder
  3. die Gewerkschaftszugehörigkeit hervorgehen,
  4. genetische Daten,
  5. biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  6. Gesundheitsdaten
  7. Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person oder
  8. Daten über strafrechtliche Verurteilungen und Straftaten

in großem Umfang verarbeiten.

Andere hochriskante Verarbeitungstätigkeiten

Wird die Verarbeitungstätigkeit eines Verantwortlichen in der Liste ab Seite 5 nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine Datenschutz-Folgenabschätzung durchzuführen wäre. Stattdessen ist es Aufgabe des Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 Abs. 1 Satz 1 DSGVO erfüllt. Zum Begriff des Risikos wird auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ der Art. 29 Datenschutzgruppe und das Kurzpapier Nr. 10 Risiken für die Rechte und Freiheiten natürlicher Personen der DSK verwiesen.

Der Leitlinie sind folgende maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen zu entnehmen:

a) Vertrauliche oder höchst persönliche Daten

b) Daten zu schutzbedürftigen Betroffenen

c) Datenverarbeitung in großem Umfang

d) Systematische Überwachung

e) Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen

f) Bewerten oder Einstufen (Scoring)

g) Abgleichen oder Zusammenführen von Datensätzen

h) Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung

i) Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Die hier nur summarisch bezeichneten Kriterien werden in der Leitlinie näher erläutert.

Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist in den meisten Fällen eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.

Das Ergebnis der Vorabprüfung und die zugrunde gelegten Einschätzungen der im Zuge der Verarbeitungstätigkeit möglicherweise auftretenden Schäden sowie die resultierende Schwere und Eintrittswahrscheinlichkeit der Risiken sind zu dokumentieren.

Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist Version 0.2 Stand: 03.08.2018

Folgende Formen der Verarbeitung personenbezogener Daten durch Behörden und andere öffentliche Stellen, die nicht am Wettbewerb teilnehmen, unterliegen der Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO:

Maßgebliche Definition

  • Umfangreiche Verarbeitung von personenbezogenen Daten im Rahmen der Kinder- und Jugendhilfe insbesondere der Beratung und Beantragung von Hilfen zur Erziehung, Eingliederungshilfe für seelisch behinderte Kinder und Jugendliche und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts, Förderung von Kindern in Kindertagesbetreuung, Hilfe für junge Volljährige sowie Beratung und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts (Verarbeitungstätigkeiten der Kinder- und Jugendhilfe)
  • Umfangreiche Verarbeitung von personenbezogenen Daten für die Aufgaben der Jobcenter insbesondere die Leistungsgewährung zur Sicherung des Lebensunterhalts, Leistungen der Unterkunft und Heizung. Leistungsrecht und die Vermittlung in Arbeit inkl. Eingliederungsleistungen und auch kommunale Leistungen wie Suchtberatung oder Schuldnerberatung. (Kommunales Jobcenter – Fachverfahren zur Verwaltung und Dokumentation der Förderung und Vermittlung von ALG II -Empfängern)
  • Verarbeitung der Meldedaten, Melderegister und Spiegelregister von Mittel- und Großstädten sowie vergleichbaren Kommunen und bei landesweiten Verfahren
  • Verfahren zur Führung von Personenstandsregistern von Mittel- und Großstädten sowie vergleichbarer Kommunen und bei landesweiten Verfahren
  • Verarbeitung von Personalausweis- und Passanträgen sowie der jeweiligen Register bei Mittel- und Großstädten sowie vergleichbarer Kommunen und bei landesweiten Verfahren
  • Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Zuge der Beantragung von Sozialhilfe, insbesondere als Grundsicherung im Alter oder bei voller Erwerbsminderung und bei Hilfen zur Gesundheit, bei Eingliederungshilfen für behinderte Menschen, Hilfe zur Pflege, Hilfe zur Überwindung besonderer sozialer Schwierigkeiten und die Hilfe in anderen Lebenslagen (Verarbeitungstätigkeiten der Sozialhilfe)
  • Umfangreiche Verarbeitung personenbezogener Daten im Rahmen der amtlichen Statistik, deren Erhebung, Speicherung und Verarbeitung, insbesondere der Anonymisierungsprozesse sowie deren statistische Aufbereitung vor/für die Übermittlung der Informationen an Dritte (Verarbeitung der personenbezogenen Daten im Rahmen der amtlichen Statistik)