Aktuell gehen wir davon aus, dass bei KEP Diensten, die Standardleistungen anbieten, keine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Sofern jedoch z.B. Serviceangebote im medizinischen Bereich angeboten werden, muß über die Durchführung einer DSFA erneut entschieden werden.
Begründung:
Artikel 35 DSGVO: (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Die Datenschutzkonferenz hat die Erforderlichkeit einer DSFA wie folgt definiert:
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren. (Quelle: Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO)
Die Artikel 29 Datenschutzgruppe hat einen nicht rechtsverbindlichen Kriterienkatalog zur Abschätzung des Risikos erarbeitet. Hier sind 10 Kriterien aufgeführt. Wenn davon mehr als ein Kriterium bei der Datenverarbeitung erfüllt ist, ist eine Datenschutzfolgeabschätzung vorzunehmen.
Kriterien incl. Beurteilung für KEP Unternehmen die Standarddienstleistungen (Stadtkurierdienst, Standardpakete, Briefbeförderung) anbieten. ACHTUNG: KEP Unternehmen mit besonderen Versandgütern oder Rahmenbedingungen sollten diese Bewertung für sich selbst validieren und ggfs. davon abweichen und eine DSFA durchführen. Es kann sein, dass bei bestimmten beförderten Sendungen oder Datenverarbeitungen die Risikobewertung abweichend ist. Dann kann es sein, dass eine DSFA notwendig ist.
- Scoring, Profiling, Evaluation, z. B. Einschätzung der Kreditwürdigkeit, Behavioral Marketing etc. - findet i.d.R. bei KEP Diensten nicht statt
- automatisierte Einzelfallentscheidungen - findet i.d.R. bei KEP Diensten nicht statt
- systematische Überwachung - findet i.d.R. bei KEP Diensten nicht statt
- Verarbeitung sensibler Daten - findet i.d.R. bei KEP Diensten nicht statt
- umfangreiche Datenverarbeitungen (bezogen auf die Anzahl betroffener Personen und Datenkategorien, die Dauer der Verarbeitung, die geographische Ausdehnung) - trifft i.d.R. auf KEP Diensten zu
- das Zusammenführen oder Abgleichen von Datenbeständen, wenn Betroffene nicht damit rechnen können - findet i.d.R. bei KEP Diensten nicht statt
- die Verarbeitung von Daten besonders schutzbedürftiger Personen - trifft i.d.R. auf KEP Diensten nicht zu
- Neuartigkeit von Verarbeitungsvorgängen, Verwendung neuer Technologien (bspw. Fingerabdrucksensoren oder Gesichtserkennung) - trifft i.d.R. bei KEP Diensten nicht zu, Innovative Technologien wie zur Tourenoptimierung benötigen keine personenbezogenen Daten bzw. führen für den Betroffenen zu keinem erhöhtem Risiko
- Übermittlung von personenbezogenen Daten an Empfänger außerhalb der EU - findet i.d.R. bei KEP Diensten nicht statt
- Verarbeitungen, die es betroffenen Personen erschweren, ihre Rechte auszuüben oder eine Leistung in Anspruch zu nehmen, z.B. die Beurteilung der Kreditwürdigkeit durch eine Bank vor der Vergabe eines Darlehens. - trifft i.d.R. auf KEP Diensten nicht zu
Somit ist im Standardfall einzig der Punkt 5 zutreffend. Deshalb besteht keine Notwendigkeit zur Durchführung einer DSFA.
Kommentare
2 Kommentare
Der Punkt 9 muss konkretisiert werden. Bei Sendungen mit Ziel außerhalb Europa werden Daten auch dorthin übermittelt. Dazu steht dann die Frage, ob eine DSFA gemacht werden müsste.
Erste Positivlisten für Datenschutz-Folgenabschätzung veröffentlicht https://www.datenschutzbeauftragter-info.de/erste-positivlisten-fuer-datenschutz-folgenabschaetzung-veroeffentlicht/ Das sieht danach aus, dass wir im regulären KEP Prozess keine Datenschutzfolgeabschätzung durchführen müssen. 👍
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.