Datenschutz-Folgenabschätzung nach der DSGVO
Die Datenschutzgrundverordnung (DSGVO) nutzt ab dem 25. Mai die Datenschutz-Folgenabschätzung zur Überprüfung von Verarbeitungen. Diese müssen Sie dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten möglicherweise mit Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 Abs. 1 DSGVO zur Folge hat. Die Datenschutz-Folgenabschätzung fordert vor der erstmaligen Einführung eines Datenverarbeitungsverfahrens eine durchgeführte Risikoeinschätzung und eine Dokumentation. Dabei geht es um eine Pflicht zur vorherigen Analyse der Folgen der Datenverarbeitung, welche diese für den Schutz personenbezogener Daten mit sich bringt. Schon jetzt haben Sie die Pflicht, mit der Vorabkontrolle in § 4 d Abs. 5 BDSG bestimmte Verfahren einer Prüfung zu unterziehen.
Warum wird eine Datenschutz-Folgenabschätzung durchgeführt?
Der Grundsatz „privacy by design“ führt die Datenschutz-Folgenabschätzung ein. Durch datenschutzfreundliche Technikeinstellungen sollen die Gefahren für die personenbezogenen Daten gemindert werden. Bei der Thematik geht es um das informationelle Selbstbestimmungsrecht der betroffenen Personen. Die Datenschutz-Folgenabschätzung soll somit wie die Vorabkontrolle durch organisatorische Maßnahmen die Risiken für die personenbezogenen Daten mindern.
Sie ist also als Instrument für die Risikoerkennung sowie die Risikobewertung zu werten. Es soll die Risiken für die personenbezogenen Daten der betroffenen Person erkennen, die durch die einzelnen Individuen des Unternehmens in der Nutzung der Techniken entstehen. Durch die Abschätzung können wirksame Maßnahmen entwickelt werden, damit die Gefahren für die Betroffenen möglichst gering sind.
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Sie ist stets dann durchführen, wenn das Verfahren für personenbezogene Daten von Betroffenen ausgelegt ist und dabei ein hohes Risiko für deren Rechte und Freiheiten besteht.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese kann durch direkte und indirekte Merkmale wie beispielsweise den Namen, Kontonummer, Adresse oder auch Zugangsdaten bestimmt werden. Der Begriff „personenbezogene Daten“ wird dabei sehr weit ausgelegt, um einen möglichst hohen Schutz für die Rechte Betroffener zu erreichen. Je höher ein zu erwartender Schaden ist, desto geringer darf die Eintrittswahrscheinlichkeit nur sein.
Die DSGVO nennt einige Beispiele, in denen die Datenschutz-Folgenabschätzung grundsätzlich zu erfolgen hat.
- Systematische und weiträumige Überwachung öffentlich zugänglicher Bereiche
- Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen Folgen für Betroffene
- Online-Einstellungsverfahren
- Scoring
- etc.
- Verarbeitung von personenbezogenen Daten über Straftaten und ähnliches
- Verarbeitung besonderer Daten nach Art. 9 Abs. 1 DSGVO
- Gesundheitsdaten
- genetische Daten
- Biometrische Daten
- Zugehörigkeit zu einer Gewerkschaft
- Religiöse Überzeugung
- Sexualleben und sexuelle Orientierung
- Politische Meinung
- Rassische oder ethnische Herkunft
Die Aufsichtsbehörden haben bereits angekündigt, dass sie Listen veröffentlichen werden, bei denen in jedem Fall eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch ist eine Liste denkbar, in denen in jedem Fall eben keine Datenschutz-Folgenabschätzung durchzuführen wäre.
In jedem Falle sind bestehende Verfahren zu untersuchen, da mit der DSGVO eine erhöhte Dokumentationspflicht einhergeht.
Wie ist die Datenschutz-Folgenabschätzung durchzuführen?
Die Datenschutzgrundverordnung gibt in Art. 35 Abs. 7 DSGVO einen Mindestinhalt zur Datenschutz-Folgenabschätzung vor. Danach legt sie folgende schriftliche zu dokumentierende Schritte fest:
- Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- Darstellung der geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten
- sowie gegebenenfalls Einholung des Standpunkts der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge nach Art. 35 Abs.9 DSGVO
Pflicht zur Benachrichtigung der Aufsichtsbehörde
Wenn trotz der durchgeführten Folgenabschätzung und Einleitung von Gegenmaßnahmen potentielle Risiken für die Rechte Betroffener verbleiben, so ist die Aufsichtsbehörde nach Art. 36 Abs.1 DSGVO vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Bei Missachtung dieser Pflicht kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes verhängen.
Folgen einer Nichtdurchführung
Wird eine geforderte Datenschutz-Folgenabschätzung überhaupt nicht durchgeführt, so kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben.
Kurzzusammenfassung
Mit der Datenschutz-Folgenabschätzung nach der DSGVO führt man die bestehende Vorabkontrolle des BDSG weiter fort. Allerdings wird dabei die Verantwortlichkeit vom Datenschutzbeauftragten auf das Unternehmen bzw. den Verantwortlichen verlagert. Neu ist dabei, dass sämtliche Verarbeitungen dabei betrachtet werden und nicht nur automatisierte Verarbeitungen. Nach Art. 35 Abs. 2 DSGVO ist das Hinzuziehen eines Datenschutzbeauftragten auch weiterhin notwendig.
Wir bieten Ihnen unsere Hilfe als zertifizierte Datenschutzbeauftragte im Bereich der Erfüllung datenschutzrelevanter Aufgaben an. Nehmen Sie einfach Kontakt zu uns auf.