Die Datenschutzgrundverordnung stellt den neuen rechtlichen Rahmen zur rechtmäßigen Verarbeitung personenbezogener Daten dar. Um die Risiken bei der Datenverarbeitung so gering wie möglich zu halten, wird mit der DSGVO das Instrument der Datenschutz-Folgenabschätzung eingeführt. In diesem Beitrag klären wir die wichtigsten Fragen rund um die Datenschutz-Folgenabschätzung.
Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung dient als Maßnahme zum Schutz von personenbezogenen Daten, wenn ein „voraussichtlich hohes Risiko“ mit der Verarbeitung der Daten verbunden ist. Damit tritt die Datenschutz-Folgenabschätzung an die Stelle der bisher geltenden Vorabkontrolle (§4d Abs. 5 DBSG).
Normiert ist sie in Art. 35 DSGVO. Doch wann liegt ein „voraussichtlich hohes Risiko“ überhaupt vor? Bei der Einordnung dieser Frage kann Erwägungsgrund 75 helfen. Demnach riskiert man bei einer Datenverarbeitung die sogenannten Rechte und Freiheiten betroffener Personen, wenn sie zu physischen, materiellen und immateriellen Schäden führen kann. Darunter fallen beispielsweise Diskriminierungen, finanzielle Schäden, Rufschädigung, Identitätsdiebstahl oder die Hinderung der Kontrolle über eigene Daten.
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Grundsätzlich lässt sich festhalten, dass eine Datenschutz-Folgenabschätzung nur für Datenverarbeitungsvorgänge vorgenommen werden muss, die nach Inkrafttreten der DSGVO am 25. Mai 2018 begonnen wurden. Trotzdem ist es ratsam, alle bereits bestehenden Datenverarbeitungsprozesse hinsichtlich der Notwendigkeit einer solchen Folgenabschätzung zu überprüfen. Grund hierfür ist vor allem die unsichere Rechtslage. Durch die schwammigen Formulierungen der DSGVO wird sich die deutsche Gerichtsbarkeit in naher Zukunft mit der Auslegung der Regelungen auseinandersetzen müssen. Aufgrund dessen sollte zumindest eine Risikobewertung der Verarbeitungsprozesse vorgenommen werden.
Art. 35 Abs. 1 DSGVO sieht eine Datenschutz-Folgenabschätzung vor, wenn „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“. Außerdem werden in Art. 35 Abs. 3 DSGVO eine Reihe von Regelbeispielen genannte, bei denen eine sogenannte Durchführungspflicht besteht. Darunter fallen unter anderem die systematische weiträumige Überwachung öffentlich zugänglicher Bereiche oder die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten, wie zum Beispiel Daten über Straftaten und strafrechtliche Verurteilungen.
In der Praxis wird abzuwarten sein, wie schnell die Aufsichtsbehörden ihrer Pflicht nachkommen und für ihre jeweiligen Zuständigkeitsbereiche Listen erstellen, welche einerseits Verarbeitungsprozesse benennen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist und andererseits solche Prozesse benennen, die explizit keine erfordern.
Wie muss eine Datenschutz-Folgenabschätzung aufgebaut sein?
In Art. 35 Abs. 7 DSGVO werden Mindestanforderungen bezüglich des Inhaltes einer Datenschutz-Folgenabschätzung genannt. Nach dieser Vorschrift müssen folgende Punkte enthalten sein:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
Es sei noch einmal darauf hingewiesen, dass es sich hierbei nur um Mindestanforderung handelt. Wer eine Datenschutz-Folgenabschätzung durchzuführen hat, muss dabei den Rat des Datenschutzbeauftragten einholen. Sie können die Datenschutz-Folgenabschätzung aber auch in Gänze vom Datenschutzbeauftragen erledigen lassen.
Was ist darüber hinaus im Rahmen einer Datenschutz-Folgenabschätzung zu beachten?
Grundsätzlich muss eine solche Folgenabschätzung nicht veröffentlich werden. Experten raten jedoch dazu, über eine Veröffentlichung nachzudenken, vor allem in Fällen von Videoüberwachung im öffentlichen Raum. Darüber hinaus rät die sogenannte Artikel-29-Datenschutzgruppe dazu, eine Datenschutz-Folgenabschätzung alle drei Jahr zu erneuern. Damit soll der stetigen Weiterentwicklung von Technik und Anforderungen Rechnung getragen werden.
Fazit
Dieser Beitrag verschafft Ihnen lediglich einen groben Überblick über die Datenschutz-Folgenabschätzung und deren Aspekte. Als Unternehmer sollten Sie sich absichern und eine Beratung in Anspruch nehmen. Denn bei Nichtbeachtung von Art. 35 DSGVO drohen zum Teil empfindliche Geldstrafen von bis zu 10 Millionen Euro.