Durchführung einer Datenschutzfolgenabschätzung

by Michael Schmidbauer, Saskia Kaltenbrunner

In Kooperation mit dem Christian Doppler Labor für Maschinelles Lernen zur Präzisionsbildgebung, Universitätsklinik für Radiologie und Nuklearmedizin, Medizinische Universität Wien.

Die finanzielle Unterstützung durch das Bundesministerium für Arbeit und Wirtschaft, die Nationalstiftung für Forschung, Technologie und Entwicklung und die Christian Doppler Forschungsgesellschaft wird mit Dankbarkeit zur Kenntnis genommen.

Die Durchführung einer Datenschutzfolgenabschätzung (DSFA) nach Art 35 DSGVO ist regelmäßig Teil von Forschungsprojekten, was Fragen zu organisatorischen Aspekten und der optimalen Herangehensweise in diesen Projekten aufwirft. Im Rahmen des CD-Labors für Maschinelles Lernen zur Präzisionsbildgebung hat sich das ID Law Team, als rechtswissenschaftlicher Partner im Projekt, mit der Durchführung einer DSFA in medizinischen Forschungsprojekten auseinandergesetzt. Insbesondere interessant ist hier, dass die österreichische „Whitelist“[1] eine sehr breit formulierte Ausnahme von dieser Pflicht für die Forschung enthält. Wird eine DSFA jedoch im Rahmen eines Forschungsprojektes durchgeführt, so gibt es einige projektorganisatorischen Überlegungen, welche hier in Kürze dargestellt werden.

Zunächst muss in einem Forschungsprojekt nach den Kriterien von Art 35 DSGVO evaluiert werden, ob eine DSFA notwendig ist. Hierfür muss nicht nur die europäische und nationalstaatliche Rechtslage analysiert werden, sondern auch die Datenverarbeitungsprozesse im Projekt und die daraus entstehenden Risiken. Zur Erstellung eines Überblicks über die Datenverarbeitungsprozesse in einem Projekt dient regelmäßig der Data Management Plan (DMP), welcher zwar keine rechtliche Notwendigkeit darstellt, bei vielen Projekten jedoch von Fördergebern verlangt wird. Eine erste Version des DMP sollte demnach früh im Projekt erstellt werden. Oftmals gibt es hierfür Vorlagen des Fördergebers.[2]

Im Zuge der Erarbeitung des DMP muss ein Überblick der zu verarbeitenden Datensätze und der Verarbeitungsprozesse erstellt werden. Die in der DSGVO enthaltenen Grundsätze können hier adressiert werden, etwa in dem analysiert wird, welche Datensätze, dem Grundsatz der Datenminimierung entsprechend, für das Projekt überhaupt notwendig sind bzw welche Datensätze notwendigerweise personenbezogene Daten enthalten und nicht anonymisiert werden können. Im DMP sollten außerdem die Rechtsgrundlagen für die Verarbeitung gem Art 6 DSGVO festgehalten werden, bzw auch die relevanten Erlaubnistatbestände gem Art 9 DSGVO bei der Verarbeitung besonderer Datenkategorien.

Weiters wird im Zuge der Analyse der geplanten Verarbeitungsprozesse der Verantwortliche gem Art 4 Z 7 DSGVO bzw mögliche Auftragsverarbeiter gem Art 4 Z 8 DSGVO identifiziert. Sind im Projektkonsortium mehrere Verantwortliche vorhanden, welche gem Art 26 DSGVO gemeinsam die Zwecke der und Mittel für die Verarbeitung festlegen, so muss zwischen den Verantwortlichen eine Vereinbarung abgeschlossen werden, um festzuhalten, wer welche Verpflichtungen erfüllt. Dieses sogenannte Joint Controllership Agreement (JCA) muss, ebenso wie die DSFA, vor der identifizierten Datenverarbeitung vorliegen. Bei Vorliegen eines Auftragsverarbeiters ist darüber hinaus eine Vereinbarung gem Art 28 Abs 3 DSGVO mit diesem zu schließen. Gemeinsam Verantwortliche trifft bei Notwendigkeit auch die gemeinsame Pflicht, eine DSFA durchzuführen. Sie kann jedoch auch nur durch einen der Verantwortlichen durchgeführt werden.[3] Bei wissenschaftlichen Forschungsprojekten eignet sich der Konsortialvertrag zwischen den Forschungspartner für die Aufteilung der DSFA-Pflicht.

Nach Klärung der geplanten Datenverarbeitung und der Verantwortlichkeit im Projekt kann eine sogenannte Schwellenwertanalyse stattfinden, in welcher, von der Rechtslage und dem Risiko der Datenverarbeitung abhängig, analysiert wird, ob eine DSFA durchgeführt werden muss. Eine Dokumentation der Schwellenwertanalyse kann auch im Verzeichnis der Verarbeitungstätigkeiten, welches gem Art 30 DSGVO ohnehin zu führen ist, geschehen.[4] Durch die Notwendigkeit der Vorausplanung und Ressourcenallokation in der projektbezogenen wissenschaftlichen Forschung bietet sich ein derartiger Ansatz in diesem Bereich möglicherweise weniger an und sollte ein kurzes, eigenständiges Dokument hierzu vorhanden sein.

Falls die Schwellenwertanalyse die Verpflichtung einer DSFA ergibt, muss diese durchgeführt werden, bevor die fragliche Datenverarbeitung beginnt.[5] In den Prozess der Erarbeitung einer DSFA und bereits für die Durchführung der Schwellenwertanalyse muss gem Art 35 Abs 2 DSGVO in jedem Fall der Datenschutzbeauftragte eingebunden werden. Auftragsverarbeiter haben den Verantwortlichen gem Art 28 Abs 3 lit f DSGVO bei der Durchführung der DSFA und der Schwellenwertanalyse zu unterstützen. Gegebenenfalls müssen gem Art 35 Abs 9 DSGVO auch die Betroffenen selbst involviert werden. Diese Pflicht wird bei wissenschaftlichen Forschungsprojekten regelmäßig aus Praktikabilitätsgründen bzw wirtschaftlicher Unvertretbarkeit entfallen.[6]

Die Schwellenwertanalyse bzw die Erarbeitung einer DSFA ist nicht mit einer einmaligen Tätigkeit zu Projektstart abgeschlossen. Vielmehr müssen Risiken der Datenverarbeitung im Projekt laufend abgewogen werden und es kann durchaus der Fall eintreten, dass zu einem späteren Zeitpunkt im Projekt die Notwendigkeit einer DSFA entsteht, selbst wenn diese nicht zu Anfang bestand. Das Gebot der Überwachung besteht umso mehr bei Inanspruchnahme des Forschungsprivilegs. Bei Änderung der Umstände, welche eine DSFA-Pflicht zur Folge haben, muss die DSFA vor der fraglichen Verarbeitung DSFA erarbeitet werden. Auch eine bereits erstellte DSFA ist laufend zu überarbeiten. Da der DMP meist ebenfalls laufend überarbeitet werden muss und so durch beide Dokumente die Datenverarbeitungen bzw die Risiken derselben dokumentiert werden, spricht man sowohl beim DMP als auch bei der DSFA von „living documents“. Änderungen sollten in neuen Versionen vorgenommen werden und so alle Versionen dokumentiert sein. Eine ordnungsgemäß durchgeführte DSFA, die auf ex ante richtigen Prognoseentscheidungen beruht, welche sich im Nachhinein jedoch als falsch herausstellen, da sich etwa unvorhersehbare Risiken verwirklichen, bleibt richtig, sollte aber im Lichte der neu identifizierten Risiken adaptiert werden.[7] Eine Veröffentlichung der DSFA oder der Schwellenwertanalyse ist rechtlich nicht erforderlich, kann aber aus projektorganisatorischen Überlegungen bzw zum Zweck der Verbreitung wissenschaftlicher Erkenntnisse durchaus erwünscht sein.[8]

Das Institut für Innovation und Digitalisierung im Recht beschäftigt sich regelmäßig mit diesen Fragestellungen und unterstützt Partner in nationalen und internationalen Forschungsprojekten bei der Analyse der Rechtslage und der Risiken welche die Durchführung einer DSFA erforderlich oder sinnvoll machen könnten. Für mehr Informationen zu medizinischen Forschungsprojekten in welchen solche projektorganisatorischen Überlegungen laufend umgesetzt werden, siehe zB CD-LaborOPTIMAKATY oder SOLACE.


[1] Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV), BGBl II 108/2018.

[2] Siehe zB die Vorlage des DMP für Horizon Europe Projekte unter https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/horizon/temp-form/report/data-management-plan_he_en.docx

[3] Kastelitz/Hötzendorfer/Riedl in Jahnel, Datenschutzrecht (2017), Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO, 113 (122).

[4] Warter, Zur Durchführungspflicht einer Datenschutz-Folgenabschätzung, jusIT 2021, 123 (124).

[5] Artikel-29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, 17.

[6] Trieb in Knyrim, DatKomm Art 35 DSGVO, Rz 131.

[7] Trieb in Knyrim, DatKomm Art 35 DSGVO, Rz 28.

[8] Friedewald/Bieker/Obersteller et al., White Paper Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz3 (2017), 21.