Datenschutzschutz- folgenabschätzung
Pflicht oder Kür?!
Ein Unternehmen muss eine Datenschutzfolgenabschätzung (DSFA) durchführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Dies ist insbesondere der Fall, wenn neue Technologien verwendet werden oder die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung dies erfordern. Beispiele hierfür sind umfangreiche Überwachung öffentlicher Bereiche, systematische und umfassende Bewertung persönlicher Aspekte auf Grundlage automatisierter Verarbeitungen (einschließlich Profiling) oder die Verarbeitung sensibler Daten in großem Umfang. Die DSFA hilft, Risiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen.
Datenschutzfolgenabschätzung
Unter einer Datenschutz-Folgenabschätzung versteht man eine komplexe Risikoanalyse, die vor bestimmten kritischen Datenverarbeitungen gemäß Artikel 35 DSGVO notwendig ist, damit die Verantwortlichen die Risiken „riskanter“ Verarbeitungsprozesse hinsichtlich der persönlichen Rechte und Freiheiten der Betroffenen angemessen berücksichtigen und mögliche Risiken frühzeitig durch angemessene Gegenmaßnahmen auf das notwendige Minimum reduzieren. Das gab es so ähnlich auch schon vor Einführung der DSGVO im Bundesdatenschutzgesetz – unter dem Namen „Vorabkontrolle“. Sie ist ein wichtiges Element des Konzepts des risiko-orientierten Ansatzes, der sich wie ein roter Faden durch die DSGVO zieht.
Risikoeinschätzung und Maßnahmen gemäß DSGVO
„Risiko“ bedeutet, dass die Möglichkeit besteht, dass ein Ereignis eintritt, das selbst einen unmittelbaren Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Dabei geht es sowohl um die Schwere des potenziellen Schadens als auch um die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Die DSGVO unterscheidet dabei zwischen geringem, mittlerem und hohem Risiko. Je nachdem, wie hoch die Datenschutz-Risiken sind, desto mehr Maßnahmen sind zu ergreifen, damit dieses möglichst nicht eintritt.
Durchführung und Bedeutung der Datenschutz-Folgenabschätzung gemäß DSGVO
Zur Ermittlung der Risiken dient die Datenschutz-Folgenabschätzung. Sie ist dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das ist vor allem der Fall, wenn
- persönliche Aspekte natürlicher Personen automatisiert erhoben und systematisch und umfassend bewertet werden (Profiling);
- solche automatisiert erhobenen Daten Entscheidungen herbeiführen, die Rechtswirkung (oder Vergleichbares) gegenüber natürlichen Personen entfalten;
- besonders schützenswerte Daten nach 9 Abs. 1 DSGVO oder über Straftaten nach Art. 10 DSGVO verarbeitet werden;
- öffentlich zugängliche Bereiche systematisch umfangreich überwacht werden;
- Daten zusammengeführt bzw. kombiniert werden, die durch unterschiedliche Prozesse gewonnen wurden;
- Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener verarbeitet werden;
- neue Technologien oder biometrische Verfahren zum Einsatz kommen;
- Daten in Länder außerhalb des EWR transferiert werden;
- die Datenschutzkonferenz dies auf ihrer Positivliste ( 35 Abs. 4 DSGVO) vorschreibt.
Wenn ein Verarbeitungsvorgang nur eins dieser Kriterien erfüllt, ist eine Datenschutz-Folgenabschätzung nicht automatisch zwingend notwendig (Ausnahme ist natürlich der letzte Punkt). Je mehr erfüllt sind, desto größer ist das Risiko für die Betroffenen und eine Datenschutz-Folgenabschätzung dann auf jeden Fall erforderlich. Im Zweifelsfall sollte man lieber eine machen. Manche Aufsichtsbehörden veröffentlichen auch Negativlisten, aus denen hervorgeht, wann man keine Datenschutz-Folgenabschätzung machen muss.
In der Datenschutz-Folgenabschätzung geht man dann in der Regel Schritt für Schritt vor:
- Zuerst muss man sich bewusst werden, wo im Unternehmen welche Daten verarbeitet werden (sollen) und warum. Dies gilt es systematisch zu erfassen. Falls man sich beim Zweck auf das Verfolgen von berechtigten Interessen beruft, so müssen diese benannt werden.
- Anschließend bewertet man die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf deren Zweck.
- Dann betrachtet man, welche Risiken für die Rechte und Freiheiten der betroffenen Personen nach 39 Abs. 1 DSGVO vorliegen können.
- Schließlich listet man die geplanten Abhilfemaßnahmen auf, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz der personenbezogenen Daten sicherstellen. Mit diesen technischen und organisatorischen Maßnahmen (TOM) ist der Nachweis erbracht, dass man die DSGVO einhält und den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung trägt. Die Schritte 1-3 dienen dabei als Hilfe bei der Auswahl der richtigen Maßnahmen.
Das ganze Konzept der Datenschutz-Folgenabschätzung ist absichtlich etwas vage formuliert, damit es auf jede Einrichtung – vom kleinen Angelverein über die Arztpraxis bis hin zum multinationalen Konzern – angewandt werden kann. Aufsichtsbehörden können überprüfen, ob die Datenverarbeitung dann auch tatsächlich im Einklang mit der Datenschutz-Folgenabschätzung erfolgt. Diese muss spätestens alle 3 Jahre wiederholt werden.
Für kleine und mittlere Unternehmen kann so eine Datenschutz-Folgenabschätzung zugegeben schon eine Herausforderung darstellen, weil sie doch recht umfangreich und aufwändig ist. Bei mehreren Verarbeitungsvorgängen kann sie zum Glück gebündelt vorgenommen werden.
Fordern Sie jetzt ein Angebot bei uns an und wir nehmen Sie bei der Durchführung der DSFA an die Hand!
KIJUda | Datenschutz mit Leidenschaft
Wir unterstützen Sie als externe Datenschutzbeauftragte dabei, ihre Datenverarbeitung rechtlich zulässig und sicher zu gestalten.
Ihre Vorteile bei der Benennung eines externen Datenschutzbeauftragten: