Datenschutz-Folgenabschätzung (DSFA)

Datenschutz-Folgenabschätzung

Sobald ein Unternehmen beginnt, sich mit dem Datenschutz auseinanderzusetzen, sollte es die Vorgänge, bei denen personenbezogene Daten verarbeitet werden, genauer auf mögliche Risiken bei der Datenverarbeitung hin betrachten. Dabei sind vorausschauend die möglichen Risiken für die Rechte und Freiheiten Betroffener zu beurteilen.  Aber auch die zur Vermeidung der Risiken getroffenen Maßnahmen sind zu bewerten. Eine überschlägige Risikobetrachtung ist bereits bei der Wahl der angemessenen technischen und organisatorischen Schutzmaßnahmen nach Art. 32 DSGVO durchzuführen. Werden besonders viele, besonders sensible Daten in einer besonders gefahrenträchtigen bzw. neuen Art und Weise verarbeitet, ist eine formale Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vom Verantwortlichen durchzuführen. Hierbei darf er die Beratung eines Datenschutzbeauftragten und externe Unterstützung hinzuziehen.

Die Definition des Begriffs „Datenschutz-Folgenabschätzung“

Die Datenschutz-Folgenabschätzung (auch: Datenschutzfolgenabschätzung, kurz: DSFA) ist ein Dokument, welches entweder in elektronischer oder analoger Form erstellt werden kann. – Die französische Datenschutzaufsichtsbehörde hat für die elektronische Erstellung übrigens eine kostenfreie Software entwickelt, die durch ihre organisch von Frage zu Frage weiterführende Form eine große Hilfe bei der Erstellung einer Datenschutz-Folgenabschätzung darstellt: PIA. – Die Datenschutz-Folgenabschätzung beinhaltet die Beschreibung eines Verarbeitungsvorgangs oder mehrerer zusammengefasster Prozesse und geht systematisch auf die möglichen Risiken für die Rechte und Freiheiten betroffener Personen durch den jeweiligen Verarbeitungsvorgang ein. Übrigens, die Schwere des jeweiligen Risikos ist aus Sicht der betroffenen Person zu betrachten.

Pflicht der Durchführung einer Datenschutz-Folgenabschätzung

Die Verpflichtung, eine Datenschutz-Folgenabschätzung durchführen zu müssen, hängt – wie in der Einleitung schon erwähnt – davon ab, wie wahrscheinlich und schwerwiegend das Risiko für die Rechte und Freiheiten betroffener Personen ist. Es kommt also einerseits auf die Einschätzung des datenverarbeitenden Unternehmens – dem Verantwortlichen – an, andererseits auch auf die DSGVO oder die sogenannte Muss-Liste der Aufsichtsbehörden. Die DSGVO enthält Hinweise dazu, wann eine Datenschutz-Folgenabschätzung durchzuführen und zu dokumentieren ist. So hängt dies gemäß Art. 35 Abs. 1 DSGVO von der Verarbeitungsform, der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung ab, aber auch davon, ob neue und damit noch nicht langjährig erprobte Technologien verwendet werden. Sich darauf beziehend führt Abs. 3 von Art. 35 DSGVO weiterhin aus, dass die Durchführung einer Datenschutz-Folgenabschätzung in folgenden Fällen unabdingbar ist:

1)    bei „[…] systematischer [sic] und umfassender [sic] Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,

2)    bei „[…] umfangreicher [sic] Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder […]“

3)    bei „[…] systematisch [sic] umfangreicher [sic] Überwachung öffentlich zugänglicher Bereiche.“

Führt ein Verantwortlicher eine verpflichtend durchzuführende Datenschutz-Folgenabschätzung nicht durch, stellt das einen Bußgeldtatbestand dar, den die Aufsichtsbehörde nach Art. 83 Abs. 4 lit. a) DSGVO mit einem Bußgeld von bis zu zehn Millionen Euro oder 2 % des Jahresgesamtumsatzes sanktionieren kann. Der litauischen Gesundheitsbehörde wurden wegen Betrieb einer Covid-19-Quarantäne-App ohne Datenschutz-Folgenabschätzung ein Bußgeld von 12.000 Euro auferlegt (mehr dazu hier).

Inhalt einer Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung sollte so präzise wie möglich sein und gemäß Art. 35 Abs. 7 DSGVO mindestens Folgendes enthalten:

1)    Beschreibung der geplanten Verarbeitungsvorgänge,

2)    Zwecke der Verarbeitung,

3)    gegebenenfalls die vom Unternehmen verfolgten berechtigten Interessen,

4)    Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,

5)    Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 1 DSGVO und

6)    die geplanten technischen und organisatorischen Maßnahmen und Garantien.

Die Rolle des Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung

Den Datenschutzbeauftragten trifft keine Pflicht, die Datenschutz-Folgenabschätzung durchzuführen oder zu erstellen, aber er muss dem Verantwortlichen beratend zur Seite stehen.

Fazit

Es könnte eventuell der Eindruck entstehen, die Durchführung einer Datenschutz-Folgenabschätzung beruhe überwiegend und wenn nicht gerade durch Listen der Datenschutzaufsichtsbehörden vorgeschrieben auf freiwilliger Basis. Wie durch diesen Beitrag allerdings ersichtlich geworden sein dürfte, ist dem nicht so. Sofern die Datenschutzaufsichtsbehörden es nicht für bestimmte Fallkonstellationen in ihrer Muss-Liste faktisch vorgeben, muss ein Verantwortlicher selbst kritisch einschätzen, ob er eine Datenschutz-Folgenabschätzung durchführen muss. Es ist auch zu beachten, dass ein Verantwortlicher die Datenschutz-Folgenabschätzung vor Aufnahme der Verarbeitungstätigkeit erarbeiten muss. Anhand dieser kann ein Verantwortlicher schließlich auch erkennen, inwiefern er gegebenenfalls weitere oder strengere technische und organisatorische Maßnahmen einführen muss, um den identifizierten Risiken begegnen und dadurch den Datenschutz gewährleisten zu können. Ergeben sich spätere Änderungen von Einzelheiten des Verarbeitungsvorgangs, müssen diese in der Datenschutz-Folgenabschätzung aktualisiert werden.

Bei der Einführung eines Datenschutzmanagementsystems in Ihrem Unternehmen stellt die eventuelle Durchführung einer Datenschutz-Folgenabschätzung einen wichtigen Bestandteil zur DSGVO-Konformität dar. Wir können Sie dabei unterstützen. Auf Wunsch erstellen wir Ihnen gern ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.