Datenschutz-Folgenabschätzung: Ein Überblick

Die Datenschutz-Folgenabschätzung zeigt mögliche Herausforderungen bei der Verarbeitung personenbezogener Daten auf. Sie ist immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Gemäß Art. 35 DSGVO ist eine Folgenabschätzung für alle Verarbeitungsvorgänge anzuwenden, bei denen erwartungsgemäß ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Betroffen von der DSFA sind vor allem Unternehmen, die im großen Umfang vertrauliche oder höchst persönliche Daten verarbeiten. Dazu gehören beispielsweiße Gesundheitsdaten, Daten, die eine persönliche politische oder sexuelle Einstellung verraten. Die deutschen Datenschutzaufsichtsbehörden haben eine Liste von Verarbeitungstätigkeiten veröffentlicht, die zwingend eine DSFA nach sich ziehen. Das bedeutet jedoch nicht, dass alle anderen Verarbeitungen keine DSFA nach sich ziehen. Hier gilt, dass der Verantwortliche abwägen muss, wie hoch das Risiko für den Betroffenen ist.

Was ist eine Datenschutz-Folgenabschätzung?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nicht nur in Deutschland, sondern in allen Mitgliedstaaten der Europäischen Union unmittelbar anzuwenden. Die DSGVO sieht in Art. 35 vor, dass bei Vorliegen bestimmter Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist.

Die DFSA ist ein Mittel zur Identifizierung und Bewertung von Risiken, die sich insbesondere bei Verwendung neuer Technologien ergeben. Diese sollen durch geeignete und wirksame Maßnahmen eingedämmt werden können, um eine Vereinbarkeit mit der DSGVO zu gewährleisten.

Gegenstand der DSFA ist die Rechtmäßigkeit des geplanten Verarbeitungsverfahrens.

Art. 35 Abs. 7 DSGVO beschreibt vier Mindestbestandteile einer Datenschutz-Folgenabschätzung. Dazu gehören die systematische Darstellung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck und der Risiken für die Rechte und Freiheiten der betroffenen Personen. Außerdem sollen die Abhilfemaßnahmen dargestellt werden, die zur Bewältigung der Risiken geplant sind.

Für den Fall, dass ein Datenschutzbeauftragter benannt wurde, ist der Verantwortliche gem. Art. 35 Abs. 2 DSGVO dazu verpflichtet, bei der Durchführung einer Datenschutz-Folgenabschätzung dessen Rat einzuholen. Zusätzlich muss er gem. Art. 35 Abs. 9 DSGVO den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Hierunter fallen z.B. Verbraucherschutzverbände.

Wann ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig?

Die DSGVO sieht in Art. 35 vor, dass die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) dann notwendig ist, wenn ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Ein besonders hohes Risiko besteht zum Beispiel bei der personenbezogenen Verarbeitung von Gesundheitsdaten durch Arztpraxen, Krankenhäuser oder Krankenkassen. Auch bei Betrieb von Dating- und Kontaktportalen, bei Betrieb von großen sozialen Netzwerken oder Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden, besteht besonders hohes Risiko.

Art. 35 Abs. 3 DSGVO enthält drei Regelbeispiele, bei deren Vorliegen die Durchführung einer Datenschutz-Folgenabschätzung zwingend erforderlich ist.

Im Einzelnen ist dies der Fall bei der systematischen und umfassenden Erfassung vertraulicher oder höchst persönlicher Daten natürlicher Personen, bei automatisierten Einzelentscheidungen einschließlich Profiling und Scoring, der umfangreichen Verarbeitung sensibler Daten und der umfangreichen systematischen Überwachung öffentlich zugänglicher Bereiche.

Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 Abs. 4 DSGVO ferner bei den Verarbeitungsvorgängen, die von der Aufsichtsbehörde in eine entsprechende Liste aufgenommen wurden, durchzuführen. Diese Liste lässt sich zum Beispiel bei der Landesdatenschutzbehörde Baden-Württemberg herunterladen.

Ist nach dem Ergebnis einer Datenschutz-Folgenabschätzung das Risiko einer geplanten Datenverarbeitung nicht unter die Schwelle des hohen Risikos zu senken, ist es gem. Art. 36 Abs. 1 DSGVO erforderlich, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren.

Tags
  • DSGVO
  • Datenschutz
  • Datenschutz-Folgenabschätzung
  • DSFA
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649