DSGVO: Datenschutz-Folgenabschätzung

Privacy by Design

DSGVO: Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1)Martini in: Paal/Pauly DSGVO Art. 35 Rn. 2. Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz personenbezogener Daten mit sich bringt. Völlig unbekannt ist die Vornahme einer solchen Prüfung nicht, denn mit der Vorabkontrolle in § 4 d Abs. 5 BDSG waren Unternehmen auch bisher schon verpflichtet, bestimmte Verfahren speziellen Prüfungen zu unterziehen. Dieser Artikel gibt einen Überblick über die Datenschutz-Folgenabschätzung.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung ist eine Ausprägung des datenschutzrechtlichen Grundsatzes Privacy by Design 2)ZD 2017, 57f. (57) . Dieser hält dazu an, durch datenschutzfreundliche Technikgestaltung und Voreinstellung, zur Verringerung des Gefahrenpotenzials beizutragen. Im Kern geht es um die Wahrung des informationellen Selbstbestimmungsrechts der betroffenen Personen. Damit knüpft die Datenschutz-Folgenabschätzung (genau wie bisher die Vorabkontrolle) bereits vor Implementierung eines Verfahrens an, um Risiken bei der Verarbeitung personenbezogener Daten einzuschätzen und letztlich durch organisatorische Vorkehrungen einzudämmen.

Die Datenschutz-Folgenabschätzung ist als Instrument zur Risikoerkennung und -bewertung zu verstehen. Ihr Ziel ist es, das persönlichkeitsgefährdende Potenzial eines Verfahrens zu erkennen, welches dem Individuum in seinen unterschiedlichen Rollen (als Bürger, Mitarbeiter eines Unternehmens, Kunde etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems droht 3)Martini in: Paal/Pauly DSGVO Art. 35 Rn. 14 m.w.N.. Die Abschätzung dient als Basis für sinnvolle Gegenmaßnahmen.

Wann kommt die Datenschutz-Folgenabschätzung zum Einsatz?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn das geplante Verfahren auf die Verarbeitung personenbezogener Daten abzielt und dies ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.4)Art. 35 Abs. 1 DSGVO

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird dabei eine Person angesehen, die anhand direkter oder indirekter Merkmale bestimmt werden kann, also insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.5)Vgl. Art. 4 Nr. 1 DSGVO Der Begriff der personenbezogenen Daten wird dabei im Sinne eines effektiven Schutzes von Betroffenen sehr weit ausgelegt, d.h. ein Personenbezug ist immer schon dann anzunehmen, wenn ein solcher nicht auszuschließen ist. Beispiele für personenbezogene Daten sind Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Ausbildungsstand.

Ferner muss ein hohes Risiko vorliegen. Ein Risiko ist jedenfalls dann als hoch einzustufen, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Droht ein hoher Schaden, genügt eine geringe Eintrittswahrscheinlichkeit. Bei hoher Wahrscheinlichkeit genügt bereits ein geringer zu erwartender Schaden.6)Martini in: Paal/Pauly DSGVO Art. 35 Rn. 25

Beispielhaft werden in der DSGVO u.a. folgende Fälle genannt, bei denen eine Folgenabschätzung grundsätzlich zu erfolgen hat:

  • Verarbeitung besonderer Kategorien personenbezogener Daten; diese Daten werden umgangssprachlich auch sensible oder sensitive Daten bezeichnet und umfassen nach Art. 9 Abs. 1 DSGVO:
    • Rassische oder ethnische Herkunft
    • Politische Meinung
    • Religiöse und weltanschauliche Überzeugung
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten
    • Gesundheitsdaten
    • Sexualleben sowie sexuelle Orientierung
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische und weiträumigen Überwachungen öffentlich zugänglicher Bereiche (z.B. durch Videokameras)
  • Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring, Online Kreditanträge oder Online-Einstellungsverfahren)

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Folgenabschätzung unerlässlich ist (black list). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine Folgenabschätzung gemacht werden muss (white list).

Hinweis: Wurden für die bereits laufenden Verarbeitungsverfahren bisher keine Prüfungen auf etwaige notwendige Folgenabschätzungen durchgeführt, sollte dies nachgeholt werden, um das Risiko etwaiger Persönlichkeitsrechtsverletzungen zu vermeiden.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

In Art. 35 Abs. 7 DSGVO ist der Mindestinhalt einer Datenschutz-Folgenabschätzung geregelt. Zusammengefasst beinhaltet eine Folgenabschätzung folgende schriftlich zu dokumentierende Schritte:

  1. Beschreibung des vorgesehenen Verarbeitungsverfahrens und der Zwecke der Verarbeitung, Art. 35 Abs. 7 lit. a DSGVO
  2. Ggf. Einholung des Standpunkts der betroffenen Personen (konkret betroffenen Personen bzw. aber auch Gruppen wie Verbraucherverbände), Art. 35 Abs. 9 DSGVO
  3. Bewertung, Art. 35 Abs. 7 lit. b und c DSGVO
    • Verarbeitungsverfahren notwendig?
    • Verhältnismäßigkeitsprüfung bezüglich Verarbeitungszwecks
    • Bewertung der Risiken hinsichtlich der Rechte und Freiheiten der betroffenen Personen
  4. Ausarbeitung von Abhilfemaßnahmen zum Schutz der Daten, Art. 35 Abs. 7 lit. d DSGVO

In der Folge ist eine Überprüfung und Überwachung der Vorgaben auch der Folgenabschätzung, auch im Hinblick auf eventuelle Änderungen, erforderlich.

Im Gegensatz zur Vorabkontrolle, für die bisher die Zuständigkeit explizit beim Datenschutzbeauftragten lag, obliegt die Durchführung der Folgenabschätzung nach Art. 35 Abs. 2 DSGVO dem Verantwortlichen, also dem jeweiligen Unternehmen. Allerdings ist der Rat des Datenschutzbeauftragte einzuholen.

Benachrichtigung der Aufsichtsbehörde

Verbleiben bei dem geplanten Verfahren trotz Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für Betroffenem, so hat das Unternehmen nach Art 36 Abs. 1 DSGVO die Pflicht, die Aufsichtsbehörde vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Kommt der Unternehmer dieser Pflicht nicht nach, kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes verhängen; je nachdem, welcher der Beträge höher ist.7)Art. 83 Abs. 4 lit. a DSGVO Nach Konsultation der Aufsichtsbehörde sind diese angehalten, auf das Ersuchen innerhalb von acht Wochen zu antworten.

Folgen der Nichtdurchführung

Wird eine erforderliche Datenschutz-Folgenabschätzung erst gar nicht durchgeführt, kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben. Auch hier gilt, genau wie bei Verletzung der Konsultationspflicht, dass jeweils der höhere der beiden Beträge angesetzt wird.8)Art. 83 Abs. 4 lit. a DSGVO

Fazit

Mit Inkrafttreten der DSGVO wird das bestehende Prüfungsverfahren der Vorabkontrolle durch die Datenschutz-Folgenabschätzung abgelöst. Grundsätzlich sind beide Instrumente ähnlich. Allerdings weist die Datenschutz-Folgenabschätzung gegenüber ihrem Vorgänger unter anderem einen erweiterten Anwendungsbereich auf und erfasst sämtliche Verarbeitungen (nicht nur automatisierte Verarbeitungen). Ferner wird die grundsätzliche Zuständigkeit der Durchführung auf das Unternehmen verlagert. Allerdings bleibt die Einbeziehung eines Datenschutzbeauftragten als Ansprechpartner weiterhin unausweichlich, Art 35 Abs. 2 DSGVO.

Nach der Konzeption der DSGVO versteht sich die Datenschutz-Folgenabschätzung nicht nur als Last für Unternehmen. Sie eröffnet auch die Chance, ungewollte Datenschutzrisiken frühzeitig zu erkennen, aufsichtsbehördliches Verhalten zu antizipieren und spätere Anpassungsnotwendigkeiten durch „Privacy by Design“-Maßnahmen zu vermeiden – und dadurch im Idealfall Ressourcen zu sparen.9)Vgl. Martini in: Paal/Pauly DSGVO Art. 35 Rn. 78.

Sollten Sie Unterstützung im Bereich der Erfüllung datenschutz-rechtlicher Anforderungen benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte gerne helfen. Nehmen Sie dazu Kontakt zu uns auf.

Anmerkungen   [ + ]

1. Martini in: Paal/Pauly DSGVO Art. 35 Rn. 2
2. ZD 2017, 57f. (57)
3. Martini in: Paal/Pauly DSGVO Art. 35 Rn. 14 m.w.N.
4. Art. 35 Abs. 1 DSGVO
5. Vgl. Art. 4 Nr. 1 DSGVO
6. Martini in: Paal/Pauly DSGVO Art. 35 Rn. 25
7, 8. Art. 83 Abs. 4 lit. a DSGVO
9. Vgl. Martini in: Paal/Pauly DSGVO Art. 35 Rn. 78.

Jetzt teilen