Ein zentrales Instrument zum Schutz personenbezogener Daten ist die Datenschutz-Folgenabschätzung in Art. 35 Datenschutzgrundverordnung (DSGVO).
Die Datenschutz-Folgenabschätzung (DSFA) ist jedoch kein völlig neues Konstrukt, welches erst mit der am 25.05.2018 in Kraft getretenen DSGVO eingeführt wurde, sondern auch vor der DSGVO gab es bereits die sogenannte Vorabkontrolle, welche den Verantwortlichen dazu verpflichtete, bei der Verarbeitung besonders sensibler Daten oder, wenn es um die Bewertung der Fähigkeiten, Leistungen sowie des Verhaltens betroffener Personen geht, die entsprechenden Risiken für die Rechte und Freiheiten der Betroffenen zu bewerten.
Worum geht es?
Nach Art. 35 DSGVO gehört es zu den Pflichten eines jeden Verantwortlichen, bei bestimmten Verarbeitungen von personenbezogenen Daten, vorab eine Risikoabschätzung vorzunehmen. Bei der sich am besten in die Perspektive der betroffenen Personen hineinversetzt wird.
Hierbei werden die Verarbeitungsvorgänge, die zu einem potentiellen Schaden für die betroffenen Personen führen können, sowie die möglichen Ursachen, identifiziert, die Notwendigkeit sowie die Verhältnismäßigkeit geprüft und die Risiken für die betroffenen Personen bewertet. Sollte sich herausstellen, dass die Verarbeitungsvorgänge zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen, sind Abhilfemaßnahmen festzulegen.
Sollten Unternehmen eine DSFA nur unzureichend durchführen, oder diese gar ganz unterlassen, kann dies mit einem Bußgeld von bis zu 2 % des konzernweiten Jahresumsatzes geahndet werden.
Wer ist zuständig für die Durchführung der Datenschutz-Folgenabschätzung?
Art. 35 Abs. 1 DSGVO statuiert, dass die Durchführung der DSFA grundsätzlich dem Unternehmen (Verantwortlichen) obliegt. Das bedeutet, die Geschäftsführung muss die Prozesse auf die Erforderlichkeit einer DSFA hin prüfen, und diese dann auch durchführen. Sollte im Unternehmen ein Datenschutzbeauftragter benannt sein, ist dieser gem. Art. 35 Abs. 2 DSGVO zu konsultieren.
Sollte das Unternehmen nicht verpflichtet sein einen Datenschutzbeauftragten zu bestellen, muss trotz allem durch die Geschäftsführung geprüft werden, ob eine DSFA erforderlich ist. Sollte dies der Fall sein, ist in letzter Konsequenz auch ein Datenschutzbeauftragter zu bestellen.
Wann ist sie vorzunehmen?
In Art. 35 Abs. 3 DSGVO ist festgelegt, dass eine DSFA immer dann durchzuführen ist, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Leider ist dies nicht sehr verständlich für den Rechtsanwender. Daher hat der Gesetzgeber Beispiele niedergeschrieben, bei denen eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vermutet wird:
- Wenn mit der Datenverarbeitung persönlichen Aspekte der betroffenen Personen systematisch und automatisiert bewertet werden, wodurch erhebliche rechtliche oder anderweitige erhebliche Beeinträchtigungen der betroffenen Personen ermöglicht werden.
- Wenn umfangreich besondere Kategorien personenbezogener Daten, oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.
- Wenn öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden.
Dem Erwägungsgrund 91 lässt sich des Weiteren entnehmen, dass eine DSFA durchzuführen ist, wenn die Verarbeitungen es den Betroffenen erschweren, ihre Rechte auszuüben oder eine Leistung in Anspruch zu nehmen. Dies kann z. B. bei der Beurteilung der Kreditwürdigkeit durch eine Bank vor der Vergabe eines Darlehens gegeben sein.
Dies sind jedoch nur einige Beispiele. Auch wenn keine dieser Situationen einschlägig ist, kann eine DSFA erforderlich sein, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Um Unternehmen die Entscheidungsfindung, ob es einer DSFA bedarf oder nicht, zu erleichtern, sind die Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO dazu verpflichtet eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, bei denen eine DSFA erforderlich ist. Doch auch diese Listen bieten nur Orientierungshilfen und sind nicht abschließend. Näheres zu den sogenannten Blacklists finden sie hier.
Mindestinhalte einer Datenschutz-Folgenabschätzung
Genauere Vorgaben, wie im Detail der Ablauf einer DSFA ist, sind der DSGVO nicht zu entnehmen. Jedoch sind in Art. 35 Abs. 7 DSGVO Mindestinhalte niedergeschrieben. Demnach muss eine Folgenabschätzung mindestens folgende Punkte beinhalten:
- Wie läuft die Datenverarbeitung ab, welchem Zweck dient die Verarbeitung und welche berechtigten Interessen führt das Unternehmen dafür an?
- Ist die Datenverarbeitung vor dem Hintergrund des jeweiligen Zwecks notwendig und verhältnismäßig?
- Eine Bewertung was für Risiken für die Rechte und Freiheiten der betroffenen Personen eintreten könnten und wie groß diese Risiken sind.
- Was für Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren trifft das Unternehmen, um die Risiken so zu bewältigen, dass der Datenschutz gemäß DSGVO gewährleistet ist?
Ergebnis der Datenschutz-Folgenabschätzung
Im Idealfall ist das Ergebnis, dass die Datenverarbeitung rechtmäßig ist und das durch technische und organisatorische Maßnahmen sichergestellt wird, dass die analysierten Risiken eingedämmt sind.
Sollte am Ende der DSFA das Ergebnis nicht eindeutig und somit nicht klar geklärt sein, ob der Prozess eingeführt werden kann oder nicht, gibt es gem. Art. 36 DSGVO die Möglichkeit, die jeweils zuständige Aufsichtsbehörde zu konsultieren. Diese wird um die bereits durchgeführte Datenschutz-Folgenabschätzung bitten, sowie im Einzelfall weitere Informationen erfragen. Sollte die Aufsichtsbehörde der Auffassung sein, dass die geplante Verarbeitung nicht im Einklang mit der DSGVO steht, ist sie verpflichtet, innerhalb von ca. acht Wochen eine schriftliche Empfehlung abzugeben, wie der Prozess gestaltet sein müsste um die Risiken für die betroffenen Personen einzudämmen um das Verfahren einführen zu können. Im Zweifel kann die Aufsichtsbehörde gem. Art. 58 DSGVO den Verarbeitungsprozess vorübergehend stoppen lassen, sofern dieser überhaupt schon eingeführt worden ist – im Idealfall passiert dies erst bei dem Ergebnis, dass das Verfahren rechtmäßig durchführbar ist – oder endgültig verbieten.
Das passende Seminar zur Datenschutz-Folgenabschätzung
Warum eine Datenschutz-Folgenabschätzung nicht auf der Basis des Standard-Datenschutzmodells (SDM) Version 2 durchführen? Bei dem SDM in der Version 2 handelt es sich um eine von den Datenschutzbehörden von Bund und Ländern abgestimmte Prüfmethode, welche alle Anforderungen der DSGVO abdeckt. Kenntnisse auf diesem Gebiet können Sie im Seminar Das Standard-Datenschutzmodell und Datenschutz-Folgenabschätzung auf Basis SDM erwerben.