Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung im Jahr 2018 gibt es wichtige Neuerungen, die seitdem zu berücksichtigen sind. Eine davon ist die sogenannte Datenschutz-Folgenabschätzung, die in Artikel 35 DSGVO festgelegt wurde. Was genau das ist und worauf Sie dabei achten müssen, erfahren Sie im nachfolgenden Artikel.
Was ist eine Datenschutz-Folgenabschätzung?
Sie gleicht der früheren Vorabkontrolle, die Sie vielleicht noch vom deutschen Datenschutzrecht kennen. Schon damals ging es darum, eine Art Risikoanalyse durchzuführen, wenn besonders sensible Daten gespeichert und verarbeitet wurden.
Dazu zählen zum Beispiel Daten, die Auskunft über Kreditwürdigkeit, Vorstrafen oder den gesundheitlichen Zustand geben und somit bei einem Datenklau oder Hackerangriff für die Betroffenen große Auswirkungen haben können. Mit der Datenschutz-Folgenabschätzung (DSFA) gilt es, dies zu verhindern.
Sobald man also solche und andere sensible Daten in Unternehmen verarbeitet, ist seit Mai 2018 mindestens alle drei Jahre eine Datenschutz-Folgenabschätzung durchzuführen.
Mit der DSFA, die bereits vor der Speicherung und Verarbeitung von personenbezogenen Daten zu machen ist, sollen die Risiken für Betroffene so gut es geht eingegrenzt bzw. definiert und ein Eintreten verhindert werden. Es werden also alle möglichen Risiken, die bei der Datenverarbeitung eintreten könnten, bewertet und infolgedessen entsprechende Strategien entwickelt und ausgearbeitet, die eben genau diese Risiken minimieren und die Rechte und Freiheit der Betroffenen bestmöglich schützen.
Die Datenschutz-Folgenabschätzung ist eine der wichtigsten Bestandteile der DSGVO. Sie soll außerdem dafür sorgen, dass alle betroffenen Unternehmen die Regelungen und Vorschriften der Datenschutz-Grundverordnung einhalten.
Wann ist eine DSFA durchzuführen?
Die Datenschutz-Folgenabschätzung in Art. 35 DSGVO besagt unter anderem:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
Grundsätzlich ist eine Datenschutz-Folgenabschätzung immer dann erforderlich, wenn die Verarbeitung und Speicherung personenbezogener Daten ein relativ hohes Risiko birgt.
Wenn Sie nicht einschätzen können, wann ein besonders hohes Risiko besteht, gibt es verschiedene Punkte, die als Orientierungshilfe dienen. Eine davon ist Art. 35 Abs. 3 DSGVO. Hier finden Sie einige Beispiele, die veranschaulichen, wann eine DSFA auf jeden Fall notwendig ist:
1. a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
2. b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
3. c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
Im Gegensatz zur Vorabkontrolle des BDSG haben sich die Bedingungen, wann eine solche Risikoanalyse bzw. DSFA durchzuführen ist, erheblich ausgeweitet.
Zu den besonderen Daten, die einer hohen Sicherheitskontrolle bedürfen, zählen unter anderem:
- Gesundheitsdaten
- Daten über sexuelle Orientierung
- Daten, die man zur Identifizierung von Personen verwenden kann
- Angaben über die Gewerkschaftszugehörigkeit
- politische Einstellung
- ethnische Herkunft
- Daten schutzbedürftiger Personen wie z. B. Kinder oder in Behandlung befindliche Patienten
Ist sich das Unternehmen unsicher, ob eine Datenschutz-Folgenabschätzung notwendig ist, kann der zuständige Landesdatenschutzbeauftragte helfen und entsprechend Auskunft darüber geben.
DSFA und Vorabkontrolle: die Unterschiede
Bei der Vorabkontrolle war es bisher nur in bestimmten Fällen nötig, dass der Verantwortliche, also der Datenschutzbeauftragte, eine Überprüfung durchführen musste. Mit der neuen Datenschutz-Folgenabschätzung, die diese Vorabkontrolle nun abgelöst hat, muss nicht nur die Überprüfung stattfinden.
Unternehmen unterliegen zusätzliche einer Meldepflicht gegenüber den zuständigen Aufsichtsbehörden, wenn bei der Datenverarbeitung ein erhöhtes Risiko besteht. Die Aufsichtsbehörde, die für das jeweilige Unternehmen zuständig ist, liefert, falls notwendig, entsprechende Vorschläge zur Nachbesserung in den zutreffenden Bereichen. Nur so kann laut DSGVO Art. 35 die Datensicherheit bestmöglich sichergestellt werden.
Unternehmen dürfen hier außerdem nicht vergessen, dass sie all ihre Verfahren und Prozesse zur Datenverarbeitung an den Landesdatenschutzbeauftragten melden müssen. Vorher darf keine Datenverarbeitung stattfinden.
Der Ablauf einer Datenschutz-Folgenabschätzung
Führt man eine DSFA durch, ist im Grunde eine Art Bericht zu verfassen. Dieser DSFA-Bericht enthält dann in erster Linie Angaben darüber, warum man die Daten verarbeiten möchte und wie die Datenverarbeitungsabläufe und -prozesse im Detail aussehen könnten. Die Verantwortlichen bzw. der Datenschutzbeauftragte des Unternehmens muss prüfen und abwägen, ob die Verarbeitung dieser Daten wirklich notwendig ist, um den vorgesehenen Zweck zu erfüllen.
Dann kommt noch eine Bewertung der möglichen Risiken hinzu, die die Datenverarbeitung für die Betroffenen zur Folge haben könnte und welche sich auf deren Rechte und Freiheit negativ auswirken könnten.
Es gilt außerdem festzulegen, welche Maßnahmen und Vorkehrungen getroffen werden, um genau diese Risiken für die Betroffenen auf ein bestimmtes Mindestmaß zu reduzieren. Dazu müssen die Restrisiken festgehalten werden, die durch die Verarbeitung der personenbezogenen Daten dennoch bestehen.
Wurde die Datenschutz-Folgenabschätzung vorschriftsmäßig durchgeführt und es bleiben dennoch zu hohe Risiken für die betroffenen Personen, muss sich das Unternehmen an die zuständige Aufsichtsbehörde wenden, um die weitere Vorgehensweise abzuklären.
Die DSGVO schreibt in den oben genannten Fällen zwar eine DSFA vor, wie genau diese aussehen muss, ist allerdings nicht sehr detailliert aufgeführt. Hier können Sie sich am besten an unterschiedlichen Vorlagen und den Vorgaben der Datenschutz-Aufsichtsbehörde orientieren.
Ist eine Datenschutz-Folgenabschätzung wirklich nötig?
Wenn Sie zu den datenverarbeitenden Unternehmen zählen, die besonders sensible Daten speichern und verarbeiten (siehe Beispiele oben), dann sind Sie gemäß DSGVO Art. 35 dazu verpflichtet, eine DSFA durchzuführen.
Wird diese nicht gemacht, kann es zu hohen Bußgeldern von bis zu 10 Millionen Euro oder bis zu 2 Prozent des jährlichen Gesamtumsatzes kommen. Hier ist immer der höhere der beiden Beträge maßgeblich.
Beachten Sie jedoch, dass möglicherweise eine einzige DSFA für mehrere Datenverarbeitungsvorgänge notwendig ist. Und zwar dann, wenn sich diese Vorgänge und Verarbeitungsprozesse im Unternehmen sehr ähnlich sind. Gibt es bestimmte Abläufe, die in mehreren Standorten Ihres Unternehmens gleich gehandhabt werden, kann unter Umständen eine einzige Datenschutz-Folgenabschätzung für mehrere oder alle Standorte ausreichen.
Hinweis: Bei Unsicherheiten gibt Ihnen Ihre zuständige Datenschutz-Aufsichtsbehörde gerne Auskunft.
DSFA: Blacklists und Positiv-Listen
Vielleicht haben Sie in Zusammenhang mit der Datenschutz-Folgenabschätzung schon einmal von den sogenannten Blacklists und Positiv-Listen gehört. Dies sind Listen, die von den Landesdatenschutzbehörden erstellt und veröffentlicht wurden und auf denen alle Branchen und Unternehmensvorgänge aufgelistet sind, für die eine Datenschutz-Folgenabschätzung unbedingt gemacht werden muss.
Auf diesen Listen finden sich dann zum Beispiel:
- soziale Netzwerke
- Dating-Portale
- Speicherung von Daten mittels Sensoren wie in Fitness-Trackern und Smartphones
- Speicherung von Daten, die das Kaufverhalten von Kunden betreffen (Kundenkarten etc.)
- Inkassounternehmen
- Listen, die Privatinsolvenzen aufführen
- Scoring, das durch Banken, Versicherungen und Auskunfteien erfolgt
- und viele weitere
Eine DSFA sollte daher nicht unterschätzt werden. Klären Sie am besten schon vor der Verarbeitung sensibler Daten ab, ob Sie dazu verpflichtet sind oder nicht.
Autor: Redaktion privacyXperts