Kompetenzserie DS-GVO - Datenschutz-Folgeabschätzung
Die DS-GVO führt das Instrument der sogenannten Datenschutz-Folgeabschätzung ein. Nachfolgend soll erläutert werden, was sich hinter diesem Instrument der Datenschutz-Folgeabschätzung verbirgt, Ratschläge zu Handlungsbedarf für Unternehmen und Fragen der inhaltlichen Erstellung skizziert werden.
Die Datenschutz-Folgeabschätzung
Die Datenschutz-Folgeabschätzung wird in Art. 35 Abs. 1 S.1 DS-GVO geregelt: " (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. …"
Damit ist die Datenschutz-Folgeabschätzung nicht wirklich "neu", sondern dürfte angelehnt sein an die bereits aus dem BDSG bekannte "Vorabkontrolle" (§ 3 Abs. 9 BDSG).
Zuständig ist der Verantwortliche, der sich den Rat des - sofern benannt - Datenschutzbeauftragten einholt.
Neben den genannten Voraussetzungen regelt Art. 35 Abs. 3 DS-GVO weitere Sachverhalte, in denen die Datenschutz-Folgeabschätzung verpflichtend ist:
"(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche".
Praxishinweis: Gem. Art. 35 Abs. 4 DS-GVO müssen die Aufsichtsbehörden Listen erstellen, wann eine Datenschutz-Folgeabschätzung gem. Abs. 1 zu erstellen ist bzw. nach Abs. 5,für welche Arten von Verarbeitungsvorgängen keine Datenschutz-Folgeabschätzung durchgeführt werden muss. Hier sollte zwingend die Veröffentlichung beachtet werden!
Inhalt der Datenschutz-Folgeabschätzung
Wenn nun eine Datenschutz-Folgeabschätzung durchgeführt werden muss, ist zu entscheiden, wie dies zu erfolgen hat. Dabei hilft Art. 35 Abs. 7 DS-GVO weiter, da hier die Mindestanforderungen aufgezeigt werden:
"(7) Die Folgenabschätzung enthält zumindest Folgendes:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird."
Nach welchen konkreten Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden und/oder wie im Einzelnen die Kriterien zu bestimmen sind, wird in der DS-GVO nicht ausdrücklich geregelt.
Die Kriterien sind nicht abschließend. Dringend zu berücksichtigen sind beispielsweise spezielle Sachverhalte im Zusammenhang mit Cloud-Produkten oder die Einführung bzw. bestehende unternehmenspezifische "Bring Your Own Device" Sachverhalte.
Die Dokumentation hat schriftlich zu erfolgen (Vgl. Baumgartner in Ehmann/Selmayr DS-GVO, 1. Aufl. 2017, Art. 35 Rdnr. 31 m.w.N.).
Praxishinweis: Es sollten konkrete gesetzestreue Checklisten und Formulare vorbereitet werde, nach denen die Datenschutz-Folgeabschätzung durchgeführt werden kann. Diese Checklisten sollten zu Dokumentationszwecken aufbewahrt werden. Im Rahmen der Erstellung der Datenschutz-Folgeabschätzung kann eine Orientierung das White Paper des "forum privatfreiheit" (abrufbar unter: https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf ) dienen.
Rechtsfolgen der Nichtdurchführung
Die Folgen der Nichtdurchführung können für Unternehmen teuer werden. Die DS-GVO regelt für diese Fälle Geldbußen von bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes. Wichtig ist, dass die fehlerhafte Durchführung ebenfalls sanktionierbar ist - nicht hingegen die "nicht ordnungsgemäße Umsetzung" (Vgl. auch Baumgartner in Ehmann/Selmayr DS-GVO, 1. Aufl. 2017, Art. 35 Rdnr. 54 m.w.N.).
Praxishinweis: Im Zweifel wird dringend angeraten, eine Datenschutz-Folgenabschätzung durchzuführen und zu dokumentieren.
Weiterhin gilt zu beachten, dass der Verantwortliche die Datenschutz-Folgenabschätzung stetig mit den Verarbeitungsprozessen abzugleichen hat, Art. 35 Abs. 11 DS-GVO.
Gerne berate ich Sie, wenn Sie Ihre Fragen zu der Datenschutz-Folgenabschätzung oder Fragen zu Ihren Rechten haben.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, zertifizierter Datenschutzbeauftragter, http://www.dr-schmelzer.com, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.
« zurück