Die Abschätzung der Auswirkungen auf den personenbezogener Datenschutz: Kurze Anmerkungen zu der vom Datenschutzgaranten (Garante Privacy) angenomme Liste über die in dem DPIA enthaltenen Daten
Der Datenschutzgarant (Garante Privacy) hat selbst (veröffentlicht im G. U. Serie Generale Nr. 269 vom 19. November 2018) die Liste der Daten-Arten verabschiedet, für die eine Folgenabschätzung gemäß Art. 35, Abs. 4 der Verordnung (EU) Nr. 2016/679 zum Schutz personenbezogener Daten (besser bekannt als GDPR oder RGPD) erforderlich ist. Nach Artikel 35 des GDPR führt der Datenverarbeiter , wenn eine Datenart - insbesondere aufgrund des Einsatzes neuer Technologien - ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Prüfung von Art, Gegenstand, Kontext und Zweck der Datenverarbeitung der Auswirkungen auf den Schutz personenbezogener Daten (DPIA) durch. Neben dieser allgemeinen Maβnahme hat der europäische Gesetzgeber in Artikel 35 Absatz 3 darauf geachtet, eine Liste (nur als Beispiel) von Fällen zu erstellen, in denen der DPIA ohnehin obligatorisch ist (z.B. die systematische groß angelegte Überwachung eines öffentlich zugänglichen Bereichs). Die von der Arbeitsgruppe Datenschutz nach Artikel 29 vom 4.4.2017 (in der geänderten Form; mit nachträglichen Änderungen und Integrationen ) angenommenen Leitlinien (Linee Guida) für die Folgenabschätzung sind wie folgt aufgeführt (in den folgenden neun Kriterien ist Datenverarbeitung enthalten, die ein "hohes Risiko" darstellen kann):
- Bewertung oder Einstufung, einschließlich Profilerstellung und Prognose, insbesondere in Bezug auf "Aspekte der beruflichen Leistung, der wirtschaftlichen Situation, der Gesundheit, der persönlichen Präferenzen oder Interessen, der Zuverlässigkeit oder des Verhaltens, des Standorts oder der Mobilität der betreffenden Person";
- automatisierte Entscheidungsfindung, die rechtliche Wirkung hat oder auf Personen erheblich einwirkt;
- systematische Überwachung der betroffenen Personen;
- sensible Daten oder Daten sehr persönlicher Art;
- groß angelegte Datenverarbeitung;
- Abgleich oder Kombination von Datensätzen;
- Daten über verletzbare Personen;
- innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen;
- wenn die Verarbeitung "die betroffenen Personen selbst daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag in Anspruch zu nehmen".
Die vom Datenschutzgaranten(Garante Privacy) angenommene Liste greift immer in den gleichen Bereich ein, auch wenn sie den Auslegungsrahmen zunächst etwas erschwert, da das Verhältnis zwischen der "Grundregel" (Art. 35 GDPR), den zitierten Leitlinien und der Liste selbst sowie der Art der Liste selbst nicht klar ist (im ursprünglichen Entwurf der Liste). Im Anschluss an die Bemerkungen des Europäischen Datenschutzausschusses - der sich zu der Liste nach Artikel 64 Absatz 1 RGPD stellungnehmend äußerte - wurde die Liste dann von der Autorità Garante geändert, indem unter anderem die Spezifikation über das Verhältnis zwischen diesen verschiedenen Quellen hinzugefügt wurd . Insbesondere wurde präzisiert:
- Die Grundregel wird in ihrem vorschreibenden Umfang eindeutig nicht beurteilt ;
- Die Liste wurde auf der Grundlage der oben genannten Leitlinien erstellt, um ihren Inhalt weiter zu präzisieren und zu ergänzen;
- Die Liste ist nach des Kohärenz-Prinzips angenommen worden, um eine einheitliche Auslegung auf EU-Ebene zu ermöglichen, und ist daher nicht vollständig.
Darüber hinaus gab es in der ursprünglichen Fassung der Liste eine Reihe von Daten [insbesondere solche im Zusammenhang mit: a) der Verarbeitung biometrischer Daten; b) der Verarbeitung genetischer Daten; c) der Verarbeitung erstellt unter Einsatz innovativer Technologien], für die die Durchführung eines DPIA direkt und automatisch verpflichtet waren.Der Europäische Ausschuss hat jedoch in diesem Zusammenhang darauf hingewiesen, daβ diese Datenart nicht unbedingt ein hohes Risiko darstellt; daher ist der DPIA nur erforderlich, wenn mindestens eines der neun in den Leitlinien (Linee Guide) festgelegten Kriterien verwendet wird. Auch wurden anläβlich der Ergebnisse des CEPD zwei spezifische Datenklassen, die in der ursprünglichen Version der Liste vorhanden waren, vollständig gestrichen (dies bezieht sich auf die "weitere" Verarbeitung personenbezogener Daten und solche, die auf einer bestimmten Rechtsgrundlage beruhen). Schließlich wurde im Hinblick auf die Überwachung der Arbeitnehmer im Anschluss an die Bemerkungen des CEPD festgelegt, daβ jede Verarbeitung, die im Rahmen des Arbeitsverhältnisses mittels technologischer Systeme (auch Videoüberwachung und Geolokalisierungssysteme) durchgeführt wird, die Erstellung eines DPIA fordert. Daher kann eine Fernüberwachung der Aktivitäten der Mitarbeiter(in Bezug auf die in den Leitlinien festgelegten Kriterien Nr. 3, 7 und 8) durchgeführt werden.