Mit der neuen Datenschutz-Grundverordnung, welche ab 2018 für alle europäischen Mitgliedstaaten gilt, ergeben sich neue Regelungen, mit denen sich Unternehmen auseinandersetzen sollen, um ungewollten Verstößen zu entgehen. Einen kurzen Überblick über die Neuregelung in der DS-GVO können Sie einem unserer Beiträge entnehmen.

Eines dieser neuen Elemente, welche mit der DS-GVO einhergeht, ist die Datenschutz-Folgenabschätzung (kurz DSFA), welche im Art. 35 DS-GVO geregelt wird.

Definition Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung ist nach dem Art. 35 Abs. 1 DS-GVO, eine vorab durchzuführende Abschätzung der Folgen, die bei Datenverarbeitungsmaßnahmen, besonders aber bei der Implementierung neuer Technologien, durchzuführen ist.

Dieses Verfahren ist in Deutschland nicht gänzlich unbekannt, da es der Vorabkontrolle nach § 4 Abs. 5 Bundesdatenschutzgesetz (BDSG) ähnelt.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen? – Allgemeine Vorgaben des Art. 35 DS-GVO

Eine Datenschutz-Folgenabschätzung ist nach Art. 35 DS-GVO immer dann vorzunehmen, wenn:

 „[…] eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung vorrausichtlich ein hohes Risiko für persönliche Rechte und Freiheiten zur folge [hat].“

Gleiches gilt auch für die Vorabkontrolle, die ebenfalls durchzuführen ist, wenn die Rechte und Freiheiten des Betroffenen durch bestehende oder beabsichtigte neue Verfahren eingeschränkt werden (vgl. § 3 Abs. 9 BDSG mit Art. 35 Abs. 1 DS-GVO).

Der Art. 35 DS-GVO nennt jedoch im Gegensatz zu der Regelung der Vorabkontrolle für die Datenschutz-Folgenabschätzung Regelbeispiele, bei denen eine Durchführungspflicht besteht. Eine Durchführungspflicht besteht demnach, wenn

  • eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf einer automatischen Verarbeitung einschließlich des Profiling gründet, erfolgt, welche ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten und diese in ähnlicher Weise erheblich beeinträchtigen.
  • eine umfangreiche Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 verarbeitet werden oder
  • eine systematisch weiträumige Überwachung öffentlich zugänglicher Räume erfolgt.

Demzufolge hat eine Datenschutz-Folgenabschätzung im Vergleich zur Vorabkontrolle des BDSG einen wesentlich weiteren Anwendungsbereich. Dabei wird der recht offene Tatbestand des Art. 35 Abs. 1 DS-GVO nicht nur durch das Arbeitspapier der Artikel 29-Datenschutzgruppe näher erläutert, sondern auch durch die Vorschrift selbst. Gemäß des Art. 35 Abs. 4 DS-GVO ist die zuständige Aufsichtsbehörde verpflichtet, eine Liste von Verarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei der eine Datenschutz-Folgenabschätzung erfolgen soll. Zudem erhalten die Aufsichtsbehörden durch den Art. 35 Abs. 5 DS-GVO die Ermächtigung, eine Liste von Datenverarbeitungsvorgängen zu erstellen bei denen eine Datenschutz-Folgenabschätzung stattzufinden hat. Zusätzlich werden diese allgemeinen Vorgaben durch das Arbeitspapier der Art. 29-Datenschutzgruppe ergänzt.

Ergänzung der allgemeinen Vorgaben des Art. 35 DS-GVO durch das Arbeitspapier der Art. 29-Datenschutzruppe

Diese eher vage Erklärung des Durchführungszeitpunktes wurde durch die Artikel 29-Datenschutzgruppe, die sich aus Vertretern der Aufsichtsbehörden aller Mitgliedsstaaten der europäischen Union zusammensetzt, durch ein dazu veröffentlichtes Arbeitspapier konkretisiert. Die im Arbeitspapier enthaltenen Leitlinien sehen vor, in welchen Fällen eine Datenschutz-Folgenabschätzung erfolgen muss. Eine Datenschutz-Folgenabschätzung ist dabei nicht nur auf einen Datenverarbeitungsprozess beschränkt, sondern kann nach Art. 35 DS-GVO und Erwägungsgrund 92 auch aus wirtschaftlichen Gründen, durch eine gemeinsame Überprüfung mehrerer gleichgearteter Datenverarbeitungsprozesse mit vergleichbarem Risikopotenzial erfolgen. Eine gemeinsame Datenschutz-Folgenabschätzung ist jedoch nur dann möglich, wenn mit einer vergleichbaren Technologie dieselbe Art von Daten zum gleichen Zweck verarbeitet wird. Das Arbeitspapier der Artikel 29-Datenschutzgruppe nennt hierzu unter anderem folgende Beispiele:

  • Mehrere Kommunen setzen ein vergleichbares Überwachungskamerasystem ein oder
  • ein Bahnbetrieb führt an all seinen Bahnhöfen eine Videoüberwachung durch.

Risikobeurteilung – die 10 Kriterien der Art. 29-Datenschutzgruppe

Das Arbeitspapier der Art. 29 Datenschutzgruppe dient dabei nicht nur dazu, den Durchführungszeitpunkt der Datenschutz-Folgenabschätzung klarer zu umreißen, sondern stellt auch Kriterien für die Risikobewertung auf. Um das Vorliegen eines „erhöhten Risikos“ näher zu erläutern, nennt das Arbeitspapier 10 Kriterien. Je mehr der genannten Kriterien das betreffende Datensystem erfüllt, desto wahrscheinlicher ist es, dass dieses ein „erhöhtes Risiko“ aufweist. Ein „erhöhtes Risiko“ liegt dann vor, wenn das betreffende Datensystem folgende Prozesse beinhaltet:

  • das Scoring, Profiling oder die Evaluation von Daten, z.B. Verhaltensanalysen oder die Einschätzung der Kreditwürdigkeit;
  • eine Verarbeitung sensibler Daten, z.B. Gesundheitsdaten;
  • eine systematische Überwachung, z.B. Videoüberwachung;
  • ein System, bei der eine Entscheidung ausschließlich auf einer automatischen Auswertung persönlicher Daten beruht (automatische Einzelfallentscheidung), z.B. die Entscheidung einer Kündigung, die auf den Ergebnissen eines Scoringsystems beruht;
  • den Vergleich und das Zusammenführen von Datensätzen;
  • eine umfangreiche Datenverarbeitung (Faktoren, die hierbei berücksichtigt werden sollten, werden ebenfalls in dem Arbeitspapier aufgeführt);
  • den Datentransfer außerhalb der EU;
  • die Einbindung innovativer Technologien oder neuer Verarbeitungsvorgänge (z.B. Gesichtserkennung) oder
  • sofern das System die betroffene Person in ihrem Recht behindert, eine Dienstleistung oder einen Vertrag durchzuführen.

In der Regel sollte, nach dem Arbeitspapier, eine Datenschutz-Folgenabschätzung immer dann erfolgen, wenn das betreffende System bereits zwei bis drei der genannten Kriterien erfüllt.

Durchführung einer Datenschutz-Folgenabschätzung

Der Art. 35 Abs. 7 DS-GVO regelt, wie eine Datenschutz-Folgenabschätzung zu erfolgen hat. Demnach enthält eine Datenschutz-Folgenabschätzung zumindest:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und des Zwecks der Verarbeitung sowie gegebenenfalls des – von dem Verantwortlichen verfolgten – berechtigten Interesses;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Absatz 1 DS-GVO und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Person sowie sonstiger Betroffener Rechnung getragen wird.

Verantwortlich für die Durchführung der Datenschutz-Folgenabschätzung ist die verantwortliche Stelle, welche durch den Datenschutzbeauftragten beraten wird (Art. 35 Abs. 2 DS-GVO). Der Datenschutzbeauftragte prüft dabei, ob genannte Einschränkungen des Betroffenen durch die bestehenden oder beabsichtigten Datenverarbeitungsvorgänge bestehen und gibt eine konkrete Abschätzung, ob eine Verwendung der Maßnahme unbedenklich ist oder Alternativen vorzuziehen sind.

Wie genau die verantwortliche Stelle mit den Vorgaben umgeht, liegt in ihrem Ermessen.

Die Art. 29-Datenschutzgruppe gibt diesbezüglich nur grobe Angaben, welche die Erfassung der Risiken beinhaltet.

 Die dazu vorgeschlagenen Schritte sind:

  1. Beschreibung der vorgesehenen Verarbeitung
  2. Verhältnismäßigkeitsprüfung
  3. Bewertung der Risiken bezüglich der Rechte und Freiheiten
  4. Maßnahmen zur Feststellung der Risiken
  5. Dokumentation
  6. Überwachung und Übersicht.

Die Art. 29-Datenschutzgruppe rät weiterhin, die Datenschutz-Folgenabschätzung zu veröffentlichen, sofern Risiken für die Öffentlichkeit bestehen. Wobei eine Wiederholung der Datenschutz-Folgenabschätzung – in Abhängigkeit zur Art der Verarbeitung und ggf. der Veränderung der Verarbeitung sowie sonstiger Umstände- alle drei Jahre empfohlen wird.

Weiterer Anhaltspunkt dafür, wie eine Datenschutz-Folgenabschätzung durchzuführen ist, gibt ein Whitepaper, welches vom vorwiegend wissenschaftlich ausgerichteten „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ veröffentlicht wurde.

Diese genannten Vorgaben können von den verantwortlichen Stellen dazu genutzt werden, um eine einzelfallspezifische Datenschutz-Folgenabschätzung zu entwickeln und durchzuführen.

Benachrichtigung der Aufsichtsbehörde

Ergibt die Datenschutz-Folgenabschätzung, dass trotz Risikominimierung immer noch ein erhöhtes Risiko mit dem Verfahren verbunden ist, so hat die verantwortliche Stelle die Pflicht, dies an die zuständige Aufsichtsbehörde zu übermitteln. Diese Vorgabe wird durch den Art. 36 DS-GVO zusammen mit dem Erwägungsgrund 84 (Risikoevaluation und Folgenabschätzung) und 94 (Konsultierung der Aufsichtsbehörde) konkretisiert. Die Aufsichtsbehörde unterliegt dabei der Pflicht, auf das Ersuchen der betroffenen verantwortlichen Stelle innerhalb von 8 Wochen zu antworten.

Folge bei der Aussetzung einer Datenschutz-Folgenabschätzung

Wird hingegen von einer Datenschutz-Folgenabschätzung abgesehen oder auch die zuständige Aufsichtsbehörde nicht konsultiert, kann dies mit hohen Bußgeldern von bis zu 10 Millionen bzw. 2 % des gesamten weltweiten Jahresumsatzes nach Art. 83 Abs. 4 lit. a DS-GVO belegt werden. Zusätzlich können Imageschäden drohen, die möglicherweise dauerhafte und langwierige Nachteile für die verantwortliche Stelle mit sich bringen.

Fazit

Mit der Einführung der Datenschutz-Grundverordnung wird die bereits bestehende Vorabkkontrolle des BDSG durch die Datenschutz-Folgenabschätzung abgelöst, welche einen weiteren Anwendungsbereich aufweist. Dabei dient diese – wie auch die Vorabkontrolle – dazu, etwaige Risiken kritischer Datenverarbeitungsvorgänge zu erfassen. Zusätzliche Indizien zur Norm, wie und wann eine Datenschutz-Folgenabschätzung durchzuführen ist, liefern das Arbeitspapier der Art. 29-Datenschutzgruppe und das Whitepaper vom „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt““.

Unerlässlich bei der Datenschutz-Folgenabschätzung ist die Einbeziehung des Datenschutzbeauftragten, welcher als Ansprechpartner fungiert. Neben diesen kann eine Einbeziehung des IT-Sicherheitsbeauftragten oder auch eines Datenschutzberaters von Nutzen sein.

Findet keine Datenschutz-Folgenabschätzung oder eine mitunter erforderliche Konsultation der zuständigen Aufsichtsbehörde statt, können dem Betroffenen ein empfindliches Bußgeld sowie erhebliche Imageschäden drohen.

Verantwortliche Stellen sollten daher vor der Implementierung neuer Verfahren nicht nur eine Datenschutz-Folgenabschätzung vornehmen, sondern gegebenenfalls auch eine Absprache mit der verantwortlichen Aufsichtsbehörde durchführen.

Sofern Sie sich über die weiteren Neuerungen der Datenschutzgrundverordnung informieren wollen, können Sie dies in unserem Beitrag zur DS-GVO nachlesen.

Sollten Sie weitere Fragen zur Datenschutz-Folgenabschätzung haben oder Auskunft über andere Datenschutzthemen benötigen, stehen wir Ihnen gerne als Ansprechpartner zur Seite.

Ähnliche Beiträge