Die Ziele einer Datenschutz-Folgenabschätzung

Zumindest dem deutschen Datenschutzrecht ist das Instrument der Datenschutz-Folgenabschätzung nicht ganz fremd. Mit § 4d Abs. 5 BDSG (Vorabkontrolle) ist die verantwortliche Stelle bereits zu einer besonderen Prüfung der Verarbeitungsprozesse verpflichtet, wenn besonders personenbezogene Daten (§ 3 Abs. 9 BDSG) verarbeitet werden oder die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. Die Prüfung beschränkt sich dabei nicht nur auf die Rechtmäßigkeit einer Datenverarbeitung. Vielmehr sollten auch die Risiken für die Recht der Betroffenen berücksichtigt und durch technisch-organisatorische Maßnahmen minimiert werden. Eine Checkliste für die Vorabkontrolle finden Sie in Anhang 4 der Informationsbroschüre des BfDI – hier.

Die Datenschutz-Folgenabschätzung greift diesen Gedanken nunmehr auf und führt ihn fort. In Erwägungsgrund 90 zur DSVGO wird ausgeführt:

„In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.“

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Nach Art. 35 Abs. 1 DSGVO hat der Verantwortliche immer dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Person zur Folge hat.

Dies ist nach Art. 35 Abs. 3 DSGVO immer dann der Fall, wenn eine

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen stattfindet, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 stattfindet;
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche vorliegt;

Weitere Anhaltspunkte für die betroffenen Verarbeitungsprozesse ergeben sich aus Erwägungsgrund 91 der DSGVO.

Die Aufsichtsbehörden werden in der Folgezeit auch Listen mit Verfahren veröffentlichen, die einer Datenschutz-Folgenabschätzung bedürfen (Positivliste). Umgekehrt werden aber auch Negativlisten erwartet, in denen solche Verfahren aufgeführt sind, die keine Datenschutz-Folgenabschätzung bedürfen.

Angesichts der zugrundeliegenden Erwägungsgründe wird jedoch jetzt schon deutlich, dass die überwiegende Zahl von Big Data und Cloud Anwendungen der Pflicht zur Datenschutz-Folgenabschätzung unterliegen werden.

Umfang der DSFA

Grundsätzlich ist die Datenschutz-Folgenabschätzung als Teil eines zweistufigen Verfahrens zu verstehen. In einem ersten Schritt hat die (interne) Datenschutz-Folgenabschätzung durch den Verantwortlichen zu erfolgen. Hierbei hat der Verantwortliche zum einen den Rat des Datenschutzbeauftragten einzuholen, Art. 35 Abs. 2 DSGVO. Zum anderen kann der Verantwortliche auch gehalten sein, den Standpunkt der betroffenen Person oder seiner Vertreter zu beabsichtigen Verarbeitung einzuholen, Art. 35 Abs. 9 DSGVO. Auch der Auftragsverarbeiter kann an dieser Stelle ggf. mit ins Boot genommen werden.

Sofern man im Rahmen des ersten Schritts zu dem Ergebnis gelangt, es bestehe ein hohes Risiko, muss im zweiten Schritt die zuständige Aufsichtsbehörde nach Art. 36 DSGVO konsultiert werden.  Ihr obliegt dann die Entscheidung, ob das Verfahren rechtmäßig ist oder nicht.

Die Übersicht zur Datenschutz-Folgenabschätzung können Sie hier auch als .pdf-Datei downloaden.

Übersicht zur Datenschutz-Folgenabschätzung

Anforderungen an die Datenschutz-Folgenabschätzung

Art. 35 Abs. 7 DSGVO enthält die inhaltlichen Mindestanforderungen an die Datenschutz-Folgenabschätzung, die insgesamt eher vage bleiben. Grundsätzlich muss die Datenschutz-Folgenabschätzung folgende vier Punkte beinhalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Vorgaben zur Form und dem notwendigen Detailgrad der Dokumentation bleiben jedoch unbeantwortet. Es ist jedoch zu erwarten, dass sich die Aufsichtsbehörden zu diesem Punkt noch positionieren werden.

In einem ersten Aufschlag hat das interdisziplinäre „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“, an dem unter anderem auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mitwirkt, ein Whitepaper zur Datenschutz-Folgenabschätzung veröffentlicht. Hier werden erste Lösungsansätze für die noch offenen Fragen angeboten. Das Whitepaper können Sie hier abrufen.

Fazit:

Künftig wird die Datenschutz-Folgenabschätzung ein essenzieller Teil des Risikomanagements eines jeden Unternehmens. Auch hier wird – wie in vielen Bereichen der DSGVO – eine umfassende Bewertung die damit einhergehende richtige Dokumentation das A und O sein, um Sanktionen vorzubeugen. Da der Aufwand gerade zu Beginn nicht unerheblich ist, empfiehlt es sich zeitig die kritischen Verarbeitungsprozesse zu erfassen und zu bewerten.

Brauchen Sie Unterstützung bei der Umsetzung der DSGVO oder stellen sich ihrerseits weitere Fragen? Gerne können Sie sich per Kontaktformular, XING-Profil oder per Telefon an mich wenden