DSGVO – Datenschutz – Folgenabschätzung

Die EU-Datenschutzgrundverordnung bringt das Instrument der Datenschutz-Folgenabschätzung mit sich. Ab Mai 2018 ist diese bei sensiblen Daten durchzuführen.

Von der Vorabkontrolle zur Datenschutz-Folgenabschätzung

Bereits jetzt ist uns die Vorabkontrolle nach § 4 d Abs. 5 BDSG bekannt. Diese wird im Mai 2018 dann durch die Datenschutz-Folgenabschätzung – kurz DSFA – abgelöst. Die DSFA ist durchzuführen, wenn gemäß § 3 Abs. 9 BDSG besonders sensible Daten durch das Unternehmen verarbeitet werden sollen. Ebenso ist sie durchzuführen, wenn das Unternehmen durch die Datenverarbeitung eine Bewertung der Persönlichkeit, der Leistungsfähigkeit, der Fähigkeiten oder das Verhalten des Betroffenen vornehmen kann.

Durch die Datenschutz-Folgenabschätzung werden Risiken und die möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen bewertet.

Zeitpunkt einer DSFA

Gemäß Art. 35 Abs. 1 DSGVO muss eine DSFA durchgeführt werden, wenn

eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Durchführungspflicht besteht nach Art. 35 Abs. 3 DSGVO bei:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Diese drei Regelbeispiele eröffnen der Datenschutz-Folgenabschätzung ein großes Anwendungsgebiet. Die Aufsichtsbehörden müssen nach Absatz 4 für den recht offen formulierten Tatbestand des Art. 35 Abs. 1 DSGVO klare Listen für Verarbeitungsvorgänge erstellen. Diese Veröffentlichung der Liste zeigt dann die Fälle auf, bei denen eine DSFA durchzuführen ist.

Durchführung einer DSFA

Art. 35 Abs. 7 DSGVO nennt das Mindestmaß für die Anforderungen einer Datenschutz-Folgenabschätzung:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Der Verantwortliche (z.B. Geschäftsführung oder Leitung) hat nach Absatz 2 den Datenschutzbeauftragten zur DSFA zu Rate zu ziehen.

Es bleibt somit abzuwarten, wie sich die Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen unter der EU-Datenschutz-Grundverordnung verändern wird.