DSGVO – Was ist eine Datenschutz-Folgenabschätzung und warum so wichtig

Hierbei handelt es sich um eine wichtige Vorgabe der Datenschutz-Grundverordnung DSGVO und bietet eine Hilfestellung bei der Bewertung von Risiken für die Verarbeitung von personenbezogenen Daten.

Diese Folgenabschätzung (Abkürzung DSFA) ist im Artikel 35 der Datenschutzgrundverordnung DSGVO beschrieben und deshalb nach Verpflichtend nach Art. 35 Abs. 4 DSGVO. Dabei handelt es sich um eine vor Installation der Datenverarbeitung durchzuführende strukturierte Risikoanalyse. Eine solche Analyse ist als Kontroll-Mechanismus für datenverarbeitende Stellen entwickelt worden. Dadurch soll der Schutz von personenbezogenen Daten sichergestellt werden. Dies erfolgt durch die Bewertung der Datenverarbeitungsvorgänge für die betroffenen Personen. Hier kommt auch der Art. 6 DSGVO zur Anwendung und das Grundgesetz gemäß Art. 1 Abs. 1 GG & Art. 2 Abs. 1 GG muss hier ebenfalls beachtet werden.

Die DSFA kann mit der im deutschen Datenschutzrecht bisher schon eingebauten Vorabkontrolle (§ 4d, Abs. 5 (BDSG – Bundesdatenschutzgesetz) verglichen werden.

 

Wann ist eine solche Folgenabschätzung durchzuführen?

Die Datenverarbeitung hat nach DSGVO rechtmäßig zu erfolgen, wenn durch die Datenverarbeitung es zu erhöhten oder hohen Risiken für die persönlichen Rechte und Freiheiten von davon betroffenen Personen kommt. Dabei sind im Artikel 35 Absatz 3 der Grundschutzverordnung hier einige Beispiele aufgeführt, bei deren die Pflicht der Durchführung der Folgenabschätzung besteht.

Dazu gehören zum Beispiel die umfangreiche Datenverarbeitung über strafrechtliche Verurteilungen und Straftaten. Ebenso gehört hier auch eine weiträumige und systematische Überwachung von öffentlichen Bereichen mit dazu.

Desweiteren ist eine solche Folgenabschätzung auch durchzuführen, wenn eine umfassende Bewertung von persönlichen Einschätzungen und Aspekten von natürlichen Personen erfolgt. Als Basis für eine solche Bewertung können ein „Profiling“ sowie eine automatisierte Verarbeitung von solchen Daten sein. Diese Daten werden dann als Entscheidungsbasis für Rechtswirkungen gegenüber diesen Personen verwendet und können dann dadurch eine erhebliche Beeinträchtigung bei solchen Personen auslösen.

Was ist im Rahmen einer Datenschutz-Folgenabschätzung zu machen?

Nach dem Wortlaut der Art. 35 der Schutzgrundverordnung muss vorab geprüft werden, ob ein Risiko für die Freiheiten und Rechte natürlicher Personen besteht. Dazu gehören zum Beispiel auch bestimmte Situationen.

Wenn, wie bereits erwähnt, eine umfassende und systematische Bewertung von persönlichen Aspekten von natürlichen Personen vorgenommen wird. Diese Daten werden daraus automatisiert verarbeitet. und dann als Basis für Entscheidungen, die dann Rechtswirkungen gegenüber natürliche Personen auslösen, verwendet. Diese Rechtswirkung kann dann diese Person auf erhebliche Weise beeinträchtigen.

Wenn umfangreiche Verarbeitungen von besonderen personenbezogenen Daten erfolgen, muss eine Folgenabschätzung vorgenommen werden. Dazu gehören zum Beispiel Daten über die Gesundheit von Personen, Daten über die ethnische und rassische Herkunft, biometrische Daten zur eindeutigen Identifizierung sowie Daten über die politischen Meinungen und über die sexuelle Orientierung einer Person.

Auch gehören hier die Daten über Straftaten sowie über strafrechtliche Verurteilungen nach Artikel 10 und die Überwachung von öffentlichen Bereichen, wie bereits erwähnt, mit dazu.

Was hat eine Datenschutz-Folgenabschätzung zu enthalten?

In dem Artikel 35 Absatz 7 sind die Mindestanforderungen beschrieben. Dabei müssen als Mindestanforderung einige Inhalte erfüllt sein.

Dazu gehören die exakte Beschreibung der durchzuführenden Vorgänge bei der Verarbeitung und den jeweiligen Verarbeitungszweck und die sich daraus vorhandenen Interessen der Verantwortlichen.

Desweiteren ist eine Mindestanforderung die Bewertung und Analyse der Verhältnismäßigkeit und die Notwendigkeit der Datenerhebung und deren Verarbeitung dieser personenbezogenen Daten für den jeweiligen Zweck.

Außerdem muss eine Bewertung und Analyse der durch die Verarbeitung entstehenden Risiken für die Rechte und die Freiheit der betroffenen Personen vorgenommen werden.

Die Unternehmen haben ihre Interessen mit dem Interesse der Personen abzuwägen. Dabei haben aber auch die Mitarbeiter das Recht auf informationelle Selbstbestimmung.

Auch müssen die geplanten Maßnahmen zur Überwindung der Risiken festgehalten und überprüft werden.

Wenn zum Beispiel in einer Organisation (Unternehmen, Behörde, etc.) ein Datenschutzbeauftragter benannt ist, muss bei der Durchführung dieser Folgenabschätzung dessen Art eingeholt werden (festgehalten in Artikel 35, Absatz 2).

Die Einrichtungen, welche eine Datenschutz Folgenabschätzung durchführen müssen

Nicht jede Organisation und nicht jedes Unternehmen muss bei seiner Datenverarbeitung von personenbezogenen Daten eine solche Folgenabschätzung durchführen. Bei den im Artikel 35 der Grundverordnung genannten Beispielfällen sind jedoch einige öffentliche und nichtöffentliche Stellen zu einer Vorabkontrolle verpflichtet.

Dazu gehören Organisationen, die systematisch Räume, die öffentlich zugänglich sind, per Video überwachen.

Ebenfalls gehören hierzu auch Wirtschaftsauskunfteien, welche mit personenbezogenen Scoringverfahren täglich umgehen und arbeiten.

Außerdem sind hier auch solche Organisationen dazu verpflichtet, die Daten erheben, verarbeiten und speichern, welche sich auf strafrechtliche Verurteilungen und auf Straftaten beziehen.

Viele Organisationen und Unternehmen fragen sich aufgrund der etwas umständlichen Formulierungen im Gesetz, wann sie eine solche Folgeabschätzung durchführen müssen.

Hierfür gibt es von den Datenschutzaufsichtsbehörden, die dafür in den einzelnen Bundesländern zuständig sind, Listen, wer solche Abschätzungen durchzuführen hat. Hierzu gibt es einen Link zu Vorlagen der Datenschutzaufsichtsbehörden der einzelnen Bundesländer.

Fazit

Eine solche Folgenabschätzung ist ein wichtiges Instrument für Organisationen und Unternehmen, um datenschutzrechtliche Risiken vor der Einführung von neuen Datenverarbeitungsprozessen zu bewerten und dann entsprechend im Vorfeld zu reagieren.

Beratung über Max2-Consulting GmbH:

Max2-Consulting GmbH bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/

 

Weiterer Beitrag zum Thema:

DSGVO: Verarbeitungsverzeichnis – wichtige Tipps und Infos