Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA)

Hat eine bestimmte Form der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so besteht gemäß Art. 35 DSGVO für Verantwortliche (siehe Art. 4 Nr. 7 DSGVO) die Pflicht, vorab eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

In Art. 35 Abs. 3 DSGVO sind einige Faktoren genannt, die wahrscheinlich zu einem solchen hohen Risiko führen und die Durchführung einer DSFA erforderlich machen. Das Gesetz enthält jedoch keinen abschließenden Katalog der Fälle, bei denen eine Datenschutz-Folgenabschätzung durchzuführen wäre.

In unserem Artikel vom 12.05.2021 haben wir über die Hilfestellungen und Orientierungshilfen der Aufsichtsbehörden berichtet, die insbesondere in Kurzpapier Nr. 5 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) im nicht-öffentlichen Bereich aufzeigen, wie eine DSFA nach Auffassung der deutschen Aufsichtsbehörden durchzuführen ist.

Die DSK weist in ihrem vorgenannten Kurzpapier Nr. 5 insbesondere darauf hin, dass eine DSFA kein einmaliger Vorgang ist, sondern dass die einmal durchgeführte DSFA regelmäßig zu überprüfen und anzupassen ist, sofern sich neue Risiken ergeben oder die Risikobewertung sich ändern sollte. Hierzu empfiehlt die DSK einen iterativen Prozess der Überprüfung und Anpassung, der aus vier einzelnen Schritten besteht, nämlich aus der

• Vorbereitung
• Durchführung
• Umsetzung
• Überprüfung

einer Datenschutz-Folgenabschätzung. Die einzelnen Schritte, sind nach Auffassung der DSK erforderlichenfalls (regelmäßig) zu wiederholen, solange die jeweilige Verarbeitungstätigkeit durchgeführt wird.

Dem Kurzpapier der DSK kann entnommen werden, dass die Durchführung einer DSFA immer einen hohen Aufwand für Verantwortliche bedeutet, denn die vorgenannten vier Punkte werden durch die DSK weiter „aufgefächert“. Somit ergeben sich aus den einzelnen Schritten des Durchführungs- und Überprüfungsprozesses insgesamt 16 einzelne Tasks, die umzusetzen sind (vgl. hierzu S. 2 ff. des Kurzpapiers Nr. 5 der DSK).

Gemäß Art. 30 Abs. 4 DSGVO haben die Aufsichtsbehörden Listen von Verarbeitungsvorgängen erstellt, für die nach ihrer Ansicht die Durchführung einer DSFA erforderlich ist. Diese Listen sind nicht abschließend, sondern geben eher den Mindeststandard vor. Darüber hinaus geben sie einen guten Überblick über die Auffassung der Aufsichtsbehörden. Dennoch bleibt die Unsicherheit bei vielen Verantwortlichen sehr groß, was einzelne Verarbeitungsvorgänge angeht, die in den Listen nicht aufgeführt sind, die jedoch unter die Voraussetzungen des Art. 35 DSGVO fallen bzw. fallen könnten.

Microsoft 365 – Erforderlichkeit einer DSFA?

Diese Unsicherheit besteht insbesondere im Hinblick auf den Einsatz der in Unternehmen sehr weit verbreiteten Software Microsoft 365 (MS365). Die deutschen Aufsichtsbehörden gehen zum aktuellen Zeitpunkt tendenziell eher davon aus, dass im Rahmen der Nutzung der Software MS365 eine DSFA erforderlich ist, auch wenn sie in den Listen von DSFA-pflichtigen Verarbeitungsvorgängen Verarbeitungstätigkeiten nicht explizit aufgeführt wird.

Entscheidung des LAG Rheinland-Pfalz

Wie nun eine aktuelle Entscheidung aus dem Bereich des Arbeitsrechts zeigt, sind einige deutsche Arbeitsgerichte zumindest nicht so streng wie die deutschen Aufsichtsbehörden.

Im Rahmen eines Kündigungsschutzprozesses entschied das Landesarbeitsgericht (LAG) Rheinland-Pfalz im Urteil vom 29.8.22 – Az. 3 Sa 203/21, dass für den Einsatz des Cloud-Dienstes Microsoft 365 in einem Beratungsunternehmen für Datenschutz grundsätzlich keine Datenschutz-Folgenabschätzung nötig sei.

Zur Begründung führt das Gericht aus, dass für die durchzuführende „Schwellenwertanalyse“ eine ganzheitliche und vorausschauende wertende Betrachtung anzustellen sei, bei der verschiedene Faktoren des jeweiligen Einzelfalles zu berücksichtigen wären. Dazu gehöre nach Auffassung des Gerichts insbesondere die Art, der Umfang, die Umstände und die Zwecke der geplanten Datenverarbeitung. Das LAG Rheinland-Pfalz weist zudem auf den Umstand hin, dass aus den Erwägungsgründen 89 und 90 zur DSGVO folgen würde, dass ein hohes Risiko im Rahmen des Art. 35 Abs. 1 DSGVO nach der Intention des Gesetzgebers nur in Ausnahmefällen vorliegen sollte und der gesetzliche Begriff des „voraussichtlich hohen Risikos“ restriktiv auszulegen sei.

In seiner o.g. Entscheidung stellt das Gericht zudem Folgendes fest:

Die von dem Kläger als sensible Daten bezeichneten Angaben, wie bspw. Familienstand, Unterhaltspflichten, Kinder, Konfession, Geburtsdatum, etwaige Schwerbehinderung, gehören nicht zu den sensiblen Daten im Sinne von Art. 9 Abs. 1 DSGVO. Wenn der Kläger in dem Zusammenhang behauptet, die Beklagte erhalte im Rahmen ihrer Tätigkeit als externer Datenschutzbeauftragter Personallisten von den Kunden, einschließlich spezieller Unterlagen von Kindertagesstätten und sonstige sensible Unterlagen (bspw. Gesundheitsdaten), so fehlt nach dem Bestreiten der Beklagten konkreter weiterer Vortrag zu den Gesundheitsdaten, der über den pauschalen, allgemein gehaltenen hinausgeht. Zudem lässt sich aus dem klägerischen Vortrag die erforderliche umfangreiche Verarbeitung solch sensibler Daten nicht entnehmen. […]

Nach diesen Grundsätzen hat die Beklagte nach ihrer Risikoanalyse im Einzelnen dargelegt, dass ihre Verarbeitungsvorgänge voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen impliziert.

Zu beachten ist, dass im Rechtsstreit, über den das LAG Rheinland-Pfalz zu entscheiden hatte, die Umstände des Einzelfalls so gelagert waren, dass die Kerntätigkeit des verklagten Unternehmens, das nach Auffassung der Aufsichtsbehörde als Klägers eine DSFA durchführen musste, nicht in der Verarbeitung von personenbezogenen Daten, sondern im Bereich der Planung, Organisation und Implementierung von Datenschutz- und Informationssicherheits-Systemen bei externen Kunden lag. Die Beklagte ist nach Feststellungen des LAG Rheinland-Pfalz nicht intensiv in den Datenverarbeitungsprozess der Kunden eingebunden gewesen, so das nicht nachvollziehbar ist, dass eine konkrete Verarbeitungstätigkeit vorliegt, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen begründen würde. Die Beklagte hat in dem Rechtsstreit vor dem LAG Rheinland-Pfalz dargelegt, dass sie lediglich Kunden im Bereich des Datenschutzes berät und eine MS365 Cloud mit eingeschlossenem E-Mail-System in der europäischen Microsoft-Cloud betreiben würde. Dort werden aber nicht in großem Umfang Daten der Kunden gespeichert, sondern nur soweit dies für die Tätigkeit der Datenschutzberatung erforderlich ist. Die eigentliche Datenverarbeitung der Kunden der Beklagten erfolgt auf deren eigenen Systemen getrennt von den Systemen der Beklagten.

Für das LAG Rheinland-Pfalz war das insbesondere ausreichend, um die Erforderlichkeit der Durchführung einer DSFA im konkreten Fall zu verneinen.

Auf die Fragestellung, inwiefern die in der europäischen Microsoft-Cloud verarbeiteten Daten dem Zugriff des Mutterkonzerns aus den USA ausgesetzt wären und inwiefern dies zu einem anderen Ergebnis bezüglich der Erforderlichkeit einer DSFA bei MS365 führen würde, ging das LAG Rheinland-Pfalz in seiner Entscheidung leider nicht ein. Hierbei könnte das Gericht jedoch ähnlich wie das Bundeskartellamt vor Kurzem gegebenenfalls davon ausgehen, dass Zugriffsmöglichkeiten des Mutterkonzerns Microsoft auf die in der europäischen Microsoft Cloud gespeicherten Daten nicht ausreicht, um reflexartig von einer unzulässigen Datenverarbeitung, die mit hohen Risiken für betroffene Personen verbunden wäre, auszugehen (siehe hierzu unseren Artikel vom 23.09.2022). Der entsprechende Beschluss der Vergabekammer des Bundeskartellamts mit dem Aktenzeichen VK 2 – 114/22 ist hier abrufbar.

Einführung von MS365 in der Schweiz

Nach einer Mitteilung der schweizerischen Regierung wird in der schweizerischen Bundesverwaltung nach einer gründlichen rechtlichen Prüfung und einer bereits länger andauernden Testphase Microsoft 365 als neue Office-Version demnächst eingeführt.

Im Rahmen der Analyse der rechtlichen Grundlagen kommt die schweizerische Bundesregierung zum Ergebnis, dass die Verwaltungseinheiten nach eigenem Ermessen prüfen sollen, ob die Sicherheitsmaßnahmen des Standarddienstes Büroautomation für die von ihnen zu verantwortenden Daten ausreichen oder nicht. Dabei prüfen die Verwaltungseinheiten insbesondere selbst, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Das entsprechende Dokument kann hier und weitere Informationen zum entsprechenden Projekt CEBA können hier abgerufen werden.

Auch die schweizerische Bundesregierung geht somit nicht davon aus, dass die Durchführung einer DSFA bei MS365 zwingend immer durchzuführen wäre. Zu beachten ist hier natürlich, dass die Schweiz als Drittland nicht unter den Anwendungsbereich der DSGVO fällt. Da die Schweiz die Regelungen der DSGVO aber in weiten Teilen übernommen hat, besteht in der Schweiz insgesamt ein sehr ähnliches Datenschutzniveau, wie in denjenigen Staaten, die unter den Anwendungsbereich der DSGVO fallen. Ein Vergleich mit datenschutzrechtlichen Entwicklungen in der Schweiz ist daher durchaus interessant.

Fazit

Am Beispiel der Entscheidung des LAG Rheinland-Pfalz und des Ergebnisses der Analyse der schweizerischen Bundesregierung zeigt sich vor allem, dass eine Datenschutzfolgen-Abschätzung teilweise doch seltener zu machen ist, als die deutschen Aufsichtsbehörden das regelmäßig annehmen. Insbesondere gilt, dass die Anwendung Microsoft 365 eher nicht generell von der Verpflichtung zur Durchführung einer DSFA betroffen sein dürfte und dies stets eine Einzelfallentscheidung bleiben muss.

Natürlich besteht das Risiko, dass andere Gerichte auch andere Entscheidungen treffen könnten als das LAG Rheinland-Pfalz.