Datenschutz-Folgenabschätzung
Was ist eine Datenschutz-Folgenabschätzung?
Die gesetzlichen Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) dienen dem Schutz von personenbezogenen Daten einzelner Personen. Um die Rechte dieser Personen bestmöglich zu schützen, soll bei umfangreichen oder potentiell riskanten Datenverarbeitungen bereits im Vorfeld geprüft werden, ob ein besonderes Risiko für die Rechte der Betroffenen besteht.
Ziel der Datenschutz-Folgenabschätzung DSFA ist eine Bestandsaufnahme, auf deren Basis beurteilt werden kann, ob die geplante Nutzung der personenbezogenen Daten zulässig ist. Letztendlich handelt es sich bei der DSFA um ein schriftliches Gutachten, welches sich juristisch mit den Folgen risikobehafteter Datenverarbeitungen auseinandersetzt.
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist für jedes Unternehmen ein verpflichtender Bestandteil in der Umsetzung der DSGVO und zwar für Inhaber, Geschäftsleitung und Mitarbeiter gleichermaßen. Zu erstellen ist die Folgeabschätzung vom Verantwortlichen selbst.
Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn:
„…. eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“.
Eine Datenschutz-Folgenabschätzung DSFA ist erforderlich, z.B. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 35 Abs. 3 b DSGVO) und bei einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 c DSGVO).
Kriterien für eine Datenschutz-Folgenabschätzung
‣ Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort
‣ Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen
‣ Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten
‣ umfangreiche Verarbeitungsvorgänge
‣ zusammengeführte oder kombinierte Datensätze
‣ Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern
‣ Nutzung neuer Technologien wie IoT-Entwicklungen
‣ Datentransfers außerhalb der EU
‣ Datenverarbeitung kann dazu führen, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (z.B. Prüfung auf Kreditwürdigkeit)
Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dennoch muss trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung).
Die Durchführung einer DSFA ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Neben der Dokumentation der technischen und organisatorischen Maßnahmen (TOM) und der Verfahrensverzeichnisse, nimmt auch die DSFA eine wichtige Rolle ein.
Artikel 35 der DSGVO regelt, dass eine DSFA immer dann durchzuführen ist, wenn „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht. Dies ist insbesondere der Fall, wenn besonders sensible Daten, wie z.B. Gesundheitsdaten oder Daten, aus denen die ethnische Herkunft, die weltanschauliche Überzeugung oder die sexuelle Orientierung hervorgeht, in umfangreicher Weise verarbeitet werden. Aber auch bei sogenanntem Profiling, Big Data-Projekten oder einer umfangreichen Videoüberwachung kann die Durchführung einer DSFA Pflicht sein.
Allerdings muss klar zwischen der eigentlichen DSFA und einer Risikoabschätzung unterschieden werden.
Darüber hinaus ist eine DSFA um so einfacher aufzustellen, je gründlicher das Verzeichnis von Verarbeitungstätigkeiten und die TOM ausgearbeitet wurden.
Anhand der Verfahren im Verfahrensverzeichnis kann nämlich relativ schnell ermittelt werden, ob eine DSFA überhaupt notwendig wird.
Zusätzlich zu den oben genannten Angaben, muss gemäß DSGVO auch die Rechtsgrundlage genannt werden, auf die sich die Verarbeitung bezieht.
Mit den rein gesetzlichen Inhalten ist es aber theoretisch nicht getan. Es muss außerdem ein Datenschutzsystem nachgewiesen werden, d.h. es muss auch dokumentiert werden:
‣ Dokumentation wie Prozesse im Unternehmen strukturiert sind
‣ Werden Mitarbeiter geschult?
‣ Was sind die Ziele bzgl. Datenschutz im Unternehmen?
Kriterien für eine Datenschutzfolgenabschätzung:
‣ Scoring und Evaluierung, inkl. Profilbildung und Vorhersagen
‣ Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung o systematische Beobachtung (z. B. von Arbeitsräumen)
‣ Sensible personenbezogene Daten
‣ Datenverarbeitung in großem Umfang
‣ Datensätze, die abgeglichen oder kombiniert werden
‣ Daten von besonders schutzbedürftigen Personen (z. B. Arbeitnehmer, Kinder)
‣ Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
‣ Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen
Welche Konsequenzen kann eine Datenschutz-Folgenabschätzung haben?
Je nach Ergebnis der DSFA sind gegebenenfalls schärfere (Sicherheits-)Maßnahmen zu ergreifen, um einen ausreichenden Datenschutz zu gewährleisten. Hat die Datenschutz-Folgenabschätzung zum Ergebnis, dass besonders hohe Risiken für die Rechte natürlicher Personen bestehen, so ist sogar die zuständige Aufsichtsbehörde zu konsultieren. In diesem Fall kann es auch passieren, dass Projekte dauerhaft beendet werden müssen.
Drohen Strafen, wenn eine Datenschutz-Folgenabschätzung unterbleibt?
Die Aufsichtsbehörden können im Falle eines Verstoßes gegen die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung Bußgelder in Höhe von bis zu 10.000.000 Euro oder von bis zu 2% des weltweit erzielten Jahresumsatzes eines Unternehmens verhängen – je nachdem welcher Betrag höher ist.
Kostenlose Erstberatung zur Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung hat einen wichtigen Platz in der Datenschutz Dokumentation im Unternehmen, allerdings werden die meisten Unternehmen mit einer gut begründeten und dokumentierten Risikoeinschätzung arbeiten und sich so absichern können.
Aufgrund der hohen Bußgelder, die im Falle einer fehlenden Datenschutz-Folgenabschätzung drohen, sollten Sie bei umfangreichen Projekten stets prüfen lassen, ob eine Pflicht zur Durchführung einer DSFA besteht. Für die Durchführung selbst sollte immer rechtliche Beratung eingeholt werden.
Mit einer Datenschutz-Folgenabschätzung können Sie im Falle eines meldepflichtigen Datenlecks oder Datenverstoßes belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.
Unsere Experten erstellen nach einem ersten Audit und im Zusammenhang der DSGVO in Ihrem Unternehmen eine Datenschutz-Folgenabschätzung, um Ihr Datenschutzmanagement rundum abzusichern.
Fachanwälte stehen Ihnen zu dem Thema Datenschutz-Folgenabschätzung gerne in allen Belangen zur Seite. Hierbei können wir auch auf unsere Partner zurückgreifen und auf Wunsch qualifizierte IT-Experten hinzuziehen.
Rufen Sie uns an unter +49 861 213 94 95 88 (Beratung bundesweit) oder nutzen Sie unseren kostenlosen Rückruf-Service.
Auch per Email sind wir jederzeit für Sie da info@datenschutz-bestspeakers.de