Mit der Datenschutz-Grundverordnung (DS-GVO) wurde das Konstrukt der Vorabkontrolle, welche die alte Fassung des Bundesdatenschutzgesetzes vorsah, durch die sog. Datenschutz-Folgenabschätzung (DS-FA) ersetzt. Aufgrund geringer Anhaltpunkte, wann genau eine Folgenabschätzung stattfinden soll, entstanden viele Unsicherheiten. Wie genau dies gelöst werden sollte und worum es sich bei einer Datenschutz-Folgenabschätzung handelt, erklären wir Ihnen jetzt.

Was ist eine Datenschutz-Folgenabschätzung?

Mit Hilfe der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) wird – wie vormals auch die Vorabkontrolle nach § 4d BDSG a.F. – das Ziel verfolgt, für Datenverarbeitungen, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchzuführen. Dabei soll insbesondere geprüft werden, ob die Verarbeitungsvorgänge mit den datenschutzrechtlichen Vorrausetzungen vereinbar sind sowie insbesondere, ob die Verarbeitung verhältnismäßig und erforderlich ist.

Wann erfolgt eine Datenschutz-Folgenabschätzung?

Nicht jeder Datenverarbeitungsvorgang löst die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung aus (DS-FA). Die Pflicht zur DS-FA besteht, wenn ein Datenverarbeitungsvorgang hohe Risiken für die Rechte und Freiheiten einer natürlichen Person zur Folge hat.

Nach Art. 35 Abs. 3 DS-GVO ist eine Datenschutz-Folgenabschätzung insbesondere dann erforderlich, wenn eine

„ a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“

erfolgt.

Die Aufsichtsbehörde erstellt zudem gemäß Art. 35 Abs. 4 DS-GVO eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (Blacklist) und kann gemäß Art. 35 Abs. 5 DS-GVO eine Liste herausgeben, welche Verarbeitungsvorgänge aufzeigt, für die keine Datenschutz-Folgenabschätzung durchgeführt werden muss (Whitelist).

Eine sog. Blacklist wurde von der Datenschutzkonferenz, die aus den unabhängigen Datenschutzbehörden des Bundes und der Länder besteht, auf der Webseite veröffentlicht.  Daneben haben auch die Aufsichtsbehörden der einzelnen Bundesländer bereits in Teilen Black- und Whitelists vorbereitet und veröffentlicht. Diese sind in der Regel über die Webseite der jeweiligen Aufsichtsbehörde abrufbar.

Verarbeitungsvorgang nicht in Blacklist – Muss trotzdem eine DS-FA durchgeführt werden?

Neben den Verarbeitungstätigkeiten nennen einige Aufsichtsbehörden maßgebliche Kriterien zur Zuordnung, die aus der Leitlinie in WP 248 der Artikel-29-Datenschutzgruppe stammen. Kriterien, die ein Indiz für ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sind, wären demnach insbesondere:

  1. Bewertung und Einstufung (Scoring)
  2. Automatisierte Entscheidungsfindung mit rechtlichen oder ähnlich signifikanten Auswirkungen für Betroffene
  3. Systematische Überwachung
  4. Verarbeitung von vertraulichen oder höchstpersönlichen Daten, unter anderem besondere Kategorien personenbezogener Daten
  5. Datenverarbeitung in großem Umfang (Umfangreiche Datenmengen)
  6. Abgleichen/Zusammenführen/ Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden
  7. Daten zu schutzbedürftigen Personen, z. B. Kindern
  8. Nutzung innovativer Technologien oder neuer organisatorischer Lösungen
  9. Verhinderung, dass die betroffene Person ein Recht ausüben oder eine Dienstleistung oder einen Vertrag ausführen kann

Sofern ein Verarbeitungsvorgang zwei oder mehr der aufgeführten Kriterien erfüllt, so sollte eine Datenschutz-Folgenabschätzung durchgeführt werden, allerdings dürfte es Einzelfälle geben, in denen nur ein Kriterium erfüllt ist und dennoch aufgrund eines hohen Risikos eine Datenschutz-Folgenabschätzung erforderlich ist.

Aus diesem Grund sollte im Wege einer Vorabprüfung eingeschätzt werden, ob die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist. Das Ergebnis der Vorabprüfung sollte dringend dokumentiert werden.

Ähnliche Beiträge

Mögliches Datenschutzrisiko unter der US-Regierung Trumps – Worauf europäische Unternehmen beim Datentransfer in die USA achten sollten

Mögliches Datenschutzrisiko unter der US-Regierung Trumps – Worauf europäische Unternehmen beim Datentransfer in die USA achten sollten

Veröffentlicht auf

Seit der Amtseinführung des neuen US-Präsidenten Trump herrscht vielfach große Unsicherheit in der Welt. Wir möchten hier keinerlei politische Statements setzen, sondern vielmehr mögliche…