Datenschutz-Folgenabschätzung – was genau ist das?

Datenschutz-Folgenabschätzung – was genau ist das?

Die Datenschutz-Folgenabschätzung ist eine optimierte und strukturierte Risikoanalyse: Sie soll die Risiken bewerten, die einzelne Datenverarbeitungsvorgänge für die Betroffenen mit sich bringen. Unternehmen müssen sie machen, bevor sie personenbezogene Daten verarbeiten, deren Verarbeitung hohe Risiken für die Betroffenen mit sich bringt.

Das DSFA soll Unternehmen dazu ermutigen, Strategien zu entwickeln, um die Risiken für die betroffenen Personen so gering wie möglich zu halten. Es sollte auch sicherstellen und nachweisen, dass Unternehmen die gesetzlichen Datenschutzanforderungen einhalten. Es ist eine der wichtigsten Neuerungen in der allgemeinen Datenschutzverordnung und ersetzt die bisherige Vorabprüfung nach dem alten Bundesdatenschutzgesetz (BDSG).

Das DSFA ist in Artikel 35 der allgemeinen Datenschutzverordnung (DSGVO) der EU geregelt. Dort heißt es: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Ein DSFA ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Sie muss spätestens alle drei Jahre wiederholt werden.

Was ändert sich im Vergleich zur früheren Vorabkontrolle?

Bisher wurde durch die Vorabkontrolle nur sichergestellt, dass der Datenschutzbeauftragte in bestimmten Fällen die Datenverarbeitung intern überprüfen musste. Bei der Datenschutz-Folgenabschätzung besteht eine zusätzliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde – sofern die Datenverarbeitung mit einem hohen Datenschutzrisiko verbunden ist. Die Aufsichtsbehörde kann dem Unternehmen dann innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen es nachbessern muss, um den größtmöglichen Datenschutz sicherzustellen. Es ist wichtig zu beachten, dass Unternehmen ihr Datenverarbeitungsverfahren dem staatlichen Datenschutzbeauftragten melden müssen, bevor sie mit der Datenverarbeitung beginnen.

Wer muss eine Folgenabschätzung zum Datenschutz durchführen?

Eine Datenschutz-Folgenabschätzung ist nur erforderlich, wenn irgendeine Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Bürger darstellt. Aber wie erkennen Sie ein wahrscheinlich hohes Risiko? Sie können drei Entscheidungshilfen als Leitfaden verwenden:

• Beispiele, die in der DSGVO selbst stehen
• Leitlinien der Artikel-29-Gruppe
• Blacklists der Aufsichtsbehörden.

Beispiele in der DSGVO

Die DSGVO nennt in Artikel 35, Absatz 3 folgende Fälle, in denen eine Datenschutz-Folgenabschätzung vorgeschrieben ist:

• Wenn in erheblichem Umfang besondere personenbezogene Daten nach Artikel 9 Absatz 1 der DSGVO verarbeitet werden oder Daten über Verurteilungen und Straftaten. Unter besondere personenbezogene Daten fallen:

1. rassische und ethnische Herkunft
2. politische Meinungen
3. religiöse oder weltanschauliche Überzeugungen
4. Gewerkschaftszugehörigkeit
5. genetische und biometrische Daten zur eindeutigen Identifizierung einer Person
6. Gesundheitsdaten
7. Daten zum Sexualleben oder der sexuellen Orientierung

• Bei der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche, vor allem per Videoüberwachung
• Bei automatisierten Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring in Wirtschaftsauskunfteien, Online Kreditanträge oder Online-Einstellungsverfahren)

Blacklists der Landesdatenschutzbehörden

Die staatlichen Datenschutzbehörden haben inzwischen sogenannte Blacklists oder Positivlisten veröffentlicht. Sie listen Branchen und Verarbeitungsbetriebe auf, für die eine Datenschutz-Folgenabschätzung erforderlich ist. Die Listen der Aufsichtsbehörden der Bundesländer sind weitgehend identisch – hier gibt es eine Übersicht. Zum Beispiel enthalten die Listen:

• soziale Netzwerke
• Dating-, Kontakt- und Bewertungsportale
• Mobilitätsdienste und die optoelektronische Erfassung öffentlicher Bereiche durch Fahrzeuge, wie es für das vernetzte und autonome Fahren notwendig ist
• Verzeichnisse von Privatinsolvenzen, Inkassodienstleistungen
• Scoring durch Auskunfteien, Banken, Versicherungen
• Big-Data-Analysen von Kundendaten, die mit Drittquellen angereichert sind
• Offline-Tracking von Kundenbewegungen in Warenhäusern
• Verkehrsstromanalysen mittels Mobilfunkdaten und Geo Lokalisierung von Beschäftigten etwa über Fahrzeuge oder Arbeitsgeräte
• alle RFID-/NFC-Anwendungen durch Apps oder Karten
• Einsatz von Data-Loss-Prevention Systemen, die systematisch Profile der Beschäftigten erzeugen, also zum Beispiel den Internetverlauf aufzeichnen oder die Aktivitäten am Arbeitsplatz
• Erfassung des Kaufverhaltens, zum Beispiel durch Kundenkarten
• Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
• Fraud-Prevention-Systeme
• zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Wie führt man eine Folgenabschätzung zum Datenschutz durch?

Im Prinzip müssen Unternehmen einen Bericht schreiben, in dem:

• sie die geplanten Datenverarbeitungsvorgänge systematisch beschreiben und angeben, warum sie die Daten verarbeiten wollen.
• sie bewerten, ob die Datenverarbeitung notwendig und verhältnismäßig ist, um den Zweck zu erfüllen.
• sie die Risiken der Datenverarbeitung für die Rechte und die Freiheit der betroffenen Personen bewerten.
• sie darstellen, was sie getan haben, um die Risiken für die Betroffenen zu minimieren: Welche Sicherheitsvorkehrungen und Verfahren sollen den Schutz der personenbezogenen Daten sicherstellen?

Unternehmen müssen auch die verbleibenden Risiken auflisten und angeben, wie sie mit ihnen umgehen möchten. Wenn die DSFA feststellt, dass trotz technischer und organisatorischer Maßnahmen für mehr Datenschutz immer noch ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen sie die zuständige Datenschutzaufsichtsbehörde konsultieren. Die DSGVO enthält nur grobe Richtlinien, wie eine Folgenabschätzung zum Datenschutz aussehen sollte. Auf Anfrage müssen Unternehmen in der Lage sein, die Datenschutz-Folgenabschätzung der Aufsichtsbehörde vorzulegen.

Was passiert, wenn Sie keine Datenschutz-Folgenabschätzung durchführen? 

Wenn Unternehmen keine Datenschutz-Folgenabschätzung durchführen, obwohl dies erforderlich ist, führen sie eine DSFA nicht ordnungsgemäß durch oder konsultieren die zuständige Aufsichtsbehörde nicht, obwohl die obligatorischen Datenschutzbehörden eine Geldbuße verhängen können. Dies kann bis zu 10 Mio. EUR oder bis zu 2 Prozent des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres betragen, wobei der höhere der beiden Beträge entscheidend ist.