Datenschutzfolgeabschätzung

Im Vergleich zur alten Rechtslage wird die Kontrolle von der Behörde auf den Unternehmer verlagert. (Vorab-)Selbstkontrolle des Unternehmers statt Vorabprüfung durch die Behörden. Der Verantwortliche wird verpflichtet, selbst eine Evaluierung der Datenverarbeitungen durchzuführen. Diesen Prozess nennt die DSGVO Datenschutzfolgeabschätzung.

Sie enthält eine Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für Rechte und Freiheiten von Betroffenen Personen und die zur Risikominimierung geplanten Maßnahmen.

Eine Datenschutzfolgeabschätzung ist jedoch nicht von jedem Unternehmen zu führen, anders als beim Verzeichnis kommt es nicht auf die Größe oder Mitarbeiteranzahl des Unternehmens an, maßgeblich sind vielmehr nur die erfolgten Verarbeitungsvorgänge.

Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutzfolgeabschätzung immer dann durchzuführen, wenn „ (…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Die DSGVO führt selbst Beispiele für eine Durchführungspflicht an:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen
  • Umfangreiche Verarbeitung sensibler Daten oder personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Konkretisiert wurde dies bisher durch Auslegungshilfen der EU - Art. 29 Datenschutzgruppe zur Folgeabschätzung. Demnach ist bei folgenden beispielhaft zu sehenden Verarbeitungsvorgängen eine Datenschutzfolgeabschätzung vorzunehmen:

  • Bewertungs-, Beurteilungs- und Profilingmaßnahmen (Beurteilungen der persönlichen Präferenzen oder Interessen, der finanziellen Leistungsfähigkeit und vor allem der Kreditwürdigkeit, des Gesundheitszustands, der Verlässlichkeit und des Verhaltens, Erhebung von Standort- und Bewegungsdaten, etc.)
  • Automatische Bearbeitungen und Entscheidungsfindungen (insb. mit rechtlichen Auswirkungen)
  • Systematisches Monitoring (Monitoring von eigenen Mitarbeitern, Erstellung von Nutzer-, oder Marketingprofilen auf Basis der Interaktion mit einer Website, etc.)
  • Verwaltung von Patientendaten bzw. anderer Formen sensibler Daten gem. Art 9
  • Datenverarbeitungen betreffend besonders schutzwürdiger Personen (Arbeitnehmer, Kinder, Patienten, Flüchtlinge und Schutzsuchende, Senioren)
  • Nutzung von modernen Technologien bzw. Organisationsmaßnahmen (Fingerprintsensoren und  Gesichtserkennung als Zutritt - Kontrolle, Applikationen im Bereich „Internet der Dinge“
  • Datentransfers an Empfänger außerhalb der EU
  • Verarbeitung von Daten mit einem erhöhten Risiko für die Betroffenen (Daten über elektronische Kommunikation, Standortdaten, Finanzdaten)

Für welche Verarbeitungsvorgänge nun im Detail obligatorisch Folgeabschätzungen vorgenommen werden müssen, und für welche nicht, wird erst mit der Veröffentlichung von White & Blacklists durch die Aufsichtsbehörden feststehen.

Im Zweifel ist trotz des damit verbundenen höheren persönlichen und organisatorischen Aufwands eine Datenschutzfolgeabschätzung zu empfehlen. Sie kann ein nützliches Instrument sein, Datenverarbeitungen hinsichtlich Kompatibilität mit der DSGVO zu beurteilen.

Zu erstellen ist die Folgeabschätzung vom Verantwortlichen selbst. Zeitlich muss sie vor dem eigentlichen  Verarbeitungsvorgang erfolgen. Dritte aus dem Unternehmen oder extern können zur Erstellung beigezogen oder beauftragt werden – CASC bietet dies für Sie an - die Letztverantwortung trägt jedoch der Verantwortliche selbst. Falls bestehend, sind Auftragsverarbeiter zur Mitwirkung an der Erstellung anzuhalten, sie unterstützen den Verantwortlichen mit allen Informationen und IT-Fachwissen.

Der Rat eines möglicherweise bestellten Datenschutzbeauftragten ist einzuholen, ihm obliegt die Kontrolle und Beratung. Der Datenschutzbeauftragte darf jedoch nicht selbst Ersteller der Datenschutzfolgeabschätzung sein.

Dem Erfordernis der Datenschutzfolgeabschätzung wird in den meisten Fällen nicht mit einer einmaligen Erledigung genüge getan sein, oft wird es sich um einen regelmäßigen, kontinuierlichen Prozess handeln müssen. Ändern sich Verarbeitungsvorgänge und demnach die Risikolagen, wird die Datenschutzfolgeabschätzung im Sinne eines dynamischen Prozesses darauf einzugehen haben.