Datenschutz-Folgenabschätzung – was genau ist das?
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Die Datenschutz-Folgenabschätzung ist eine optimierte und strukturierte Risikoanalyse: Sie soll die Risiken bewerten, die einzelne Datenverarbeitungsvorgänge für die Betroffenen mit sich bringen. Unternehmen müssen sie machen, bevor sie personenbezogene Daten verarbeiten, deren Verarbeitung hohe Risiken für die Betroffenen mit sich bringt.
Das DSFA soll Unternehmen dazu ermutigen, Strategien zu entwickeln, um die Risiken für die betroffenen Personen so gering wie möglich zu halten. Es sollte auch sicherstellen und nachweisen, dass Unternehmen die gesetzlichen Datenschutzanforderungen einhalten. Es ist eine der wichtigsten Neuerungen in der allgemeinen Datenschutzverordnung und ersetzt die bisherige Vorabprüfung nach dem alten Bundesdatenschutzgesetz (BDSG).
Das DSFA ist in Artikel 35 der allgemeinen Datenschutzverordnung (DSGVO) der EU geregelt. Dort heißt es: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Ein DSFA ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Sie muss spätestens alle drei Jahre wiederholt werden.
Bisher wurde durch die Vorabkontrolle nur sichergestellt, dass der Datenschutzbeauftragte in bestimmten Fällen die Datenverarbeitung intern überprüfen musste. Bei der Datenschutz-Folgenabschätzung besteht eine zusätzliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde – sofern die Datenverarbeitung mit einem hohen Datenschutzrisiko verbunden ist. Die Aufsichtsbehörde kann dem Unternehmen dann innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen es nachbessern muss, um den größtmöglichen Datenschutz sicherzustellen. Es ist wichtig zu beachten, dass Unternehmen ihr Datenverarbeitungsverfahren dem staatlichen Datenschutzbeauftragten melden müssen, bevor sie mit der Datenverarbeitung beginnen.
Eine Datenschutz-Folgenabschätzung ist nur erforderlich, wenn irgendeine Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Bürger darstellt. Aber wie erkennen Sie ein wahrscheinlich hohes Risiko? Sie können drei Entscheidungshilfen als Leitfaden verwenden:
Die DSGVO nennt in Artikel 35, Absatz 3 folgende Fälle, in denen eine Datenschutz-Folgenabschätzung vorgeschrieben ist:
Die staatlichen Datenschutzbehörden haben inzwischen sogenannte Blacklists oder Positivlisten veröffentlicht. Sie listen Branchen und Verarbeitungsbetriebe auf, für die eine Datenschutz-Folgenabschätzung erforderlich ist. Die Listen der Aufsichtsbehörden der Bundesländer sind weitgehend identisch – hier gibt es eine Übersicht. Zum Beispiel enthalten die Listen:
Im Prinzip müssen Unternehmen einen Bericht schreiben, in dem:
Unternehmen müssen auch die verbleibenden Risiken auflisten und angeben, wie sie mit ihnen umgehen möchten. Wenn die DSFA feststellt, dass trotz technischer und organisatorischer Maßnahmen für mehr Datenschutz immer noch ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen sie die zuständige Datenschutzaufsichtsbehörde konsultieren. Die DSGVO enthält nur grobe Richtlinien, wie eine Folgenabschätzung zum Datenschutz aussehen sollte. Auf Anfrage müssen Unternehmen in der Lage sein, die Datenschutz-Folgenabschätzung der Aufsichtsbehörde vorzulegen.
Wenn Unternehmen keine Datenschutz-Folgenabschätzung durchführen, obwohl dies erforderlich ist, führen sie eine DSFA nicht ordnungsgemäß durch oder konsultieren die zuständige Aufsichtsbehörde nicht, obwohl die obligatorischen Datenschutzbehörden eine Geldbuße verhängen können. Dies kann bis zu 10 Mio. EUR oder bis zu 2 Prozent des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres betragen, wobei der höhere der beiden Beträge entscheidend ist.
1 Kommentar. Hinterlasse eine Antwort
[…] liegt die Verantwortung der Datenschutz-Folgeabschätzung beim Verantwortlichen des Unternehmens (Art 35 Abs 2 DSGVO). Der Datenschutzbeauftragte berät und […]