Mit der Einführung der europäischen Datenschutzgrundverordnung wurde auch das Instrument der Datenschutz-Folgenabschätzung (DSFA) als besondere Form der Risikoanalyse in Art. 35 DSGVO eingeführt. Sie dient der Bewertung potenzieller Risiken und deren Folgen für die Rechte und Freiheiten betroffener Personen.
Das Wichtigste auf einen Blick:
- Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse die vor einer geplanten Datenverarbeitung stattfindet
- Sie ist verpflichtend, wenn die Verarbeitung mit einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist
- Den Mindestinhalt regelt Art. 35 Abs. 7 DSGVO. Darunter fällt unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Verarbeitungszwecke
- Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen durchzuführen
- Verstöße gegen Vorgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung können mit Bußgeldern mit bis zu 2 % des Jahresumsatzes sanktioniert werden
1. Was ist eine Datenschutz-Folgenabschätzung?
Die in Art. 35 DSGVO geregelte DSFA, ist eine besondere Form der Risikoanalyse und dient als Vorabkontrolle der Analyse und Bewertung von Risiken und der daraus resultierenden Folgen für die persönlichen Rechte und Freiheiten der betroffenen Personen. Ihr Ziel ist es, Risiken für Betroffene zu analysieren, indem potenzielle Schäden sowie die dafür möglichen Ursachen identifiziert werden, sodass geeignete Maßnahmen getroffen werden können, um diese Risiken zu minimieren und damit Datenschutzgrundverordnung eingehalten wird.
2. Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Wann die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist, hängt insbesondere von der jeweiligen Verarbeitungsform ab. Sie ist stets im Vorfeld der jeweiligen Datenverarbeitung durchzuführen und zu dokumentieren, wenn die geplante Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt. Dies ist insbesondere dann der Fall, wenn bei der datenverarbeitenden Tätigkeit neue Technologien verwendet werden, welche nach Art, Umfang, Umstände und Zwecke ein solches Risiko begründen.
Art 35 DSGVO enthält eine nicht abschließende Auflistung der Verarbeitungen, für welche eine Datenschutz-Folgenabschätzung verpflichtend sei. Unter anderem dann, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage einer automatisierten Datenverarbeitung erfolgt, die eine Grundlage für Entscheidungen darstellt, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder diese in vergleichbarer Weise antasten.
Eine Datenschutz-Folgenabschätzung ist auch dann verpflichtend, sobald eine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO stattfindet. Auch im Falle einer systematisch ausgiebigen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung erforderlich.
Oftmals ist es schwierig zu ermitteln, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Aus diesem hat die Aufsichtsbehörde eine Liste solcher Verarbeitungsvorgänge erstellt, für die eine DSFA verpflichtend ist (sog. „Blacklist“).
3. Wie sieht eine Datenschutz-Folgenabschätzung aus?
Den Mindestinhalt einer solche Datenschutz-Folgenabschätzung bestimmt Art. 35 Abs. 7 DSGVO. Zunächst werden die beabsichtigten Verarbeitungsvorgänge erfasst und in Bezug auf die Vorgehensweise sowie den verfolgten Zweck möglichst genau systematisch beschrieben. Es sollte genauestens beschrieben werden, weshalb eine bestimmte Datenverarbeitung erfolgt. Dabei ist unter Umständen das berechtigte Interessen, das vom Verantwortlichen verfolgt wird, zu berücksichtigen. Erfolgen mehrere vergleichbare Vorgänge, so können diese in einer Datenschutz-Folgenabschätzung zusammengefasst werden.
Anschließend ist eine Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den verfolgten Zweck vorzunehmen. Danach erfolgt eine Betrachtung des Verhältnisses des Verarbeitungszwecks zu den Risiken für die Rechte und Freiheiten der Betroffenen. Erst, wenn Verarbeitungsvorgang und Verarbeitungszweck in einem angemessenen Verhältnis zu den Risiken stehen, ist der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen.
Andernfalls sind Abhilfemaßnahmen zur Bewältigung der erwarteten Risiken, sowie Garantien, Sicherheitsvorkehrungen und Verfahrensweisen festzulegen, die den Schutz personenbezogener Daten gewährleisten und einen Nachweis über die Einhaltung des Datenschutzes erbringen. Diese Risikobehandlungsmaßnahmen müssen an die jeweiligen Risikofaktoren angepasst sein.
Generell ist die Datenschutz-Folgenabschätzung nicht als einmaliger Vorgang, sondern ein ständiger Prozess. Kommt es zu entscheidenden Änderungen der Datenverarbeitungsabläufe und ergeben sich daraus neue Risiken, muss überprüft werden, ob diese bereits von einer bestehenden Datenschutz-Folgenabschätzung umfasst sind oder gegebenenfalls eine Aktualisierung erforderlich ist.
Grundsätzlich kann der Verantwortliche im Rahmen datenschutzrechtlicher Mindestanforderungen selbstständig entscheiden, wie und mit welchen Methoden eine solche Risikoanalyse durchgeführt wird. In der Regel empfiehlt es sich eine Richtlinie mit Regeln für die Durchführung einer DSFA zu erstellen, um eine einheitliche und datenschutzkonforme Risikoeinschätzung der unternehmensinternen Datenverarbeitungsvorgänge zu gewährleisten.
4. Wer ist für die Durchführung einer DSFA verantwortlich?
Eine Datenschutz-Folgenabschätzung ist stets von dem für die Datenverarbeitung Verantwortlichen durchzuführen, Art. 35 Abs. 1 DSGVO. Zudem ist in Art. 35 Abs. 2 DSGVO festgelegt, dass der Verantwortliche Beratung des Datenschutzbeauftragten in Anspruch nehmen muss, sofern einer benannt wurde.
Werden Datenverarbeitungen von Auftragsverarbeitern durchgeführt, ist dennoch der Verantwortliche für die Durchführung einer DSFA zuständig. Der Auftragsverarbeiter hat ihn allerdings dabei zu unterstützen.
Unter Umständen muss die Aufsichtsbehörde vor dem Beginn einer Verarbeitung konsultiert werden, Art. 36 Abs. 1 DSGVO. Dies ist dann der Fall, wenn ein hohes Risiko festgestellt wird, die erforderlichen Schutzmaßnahmen praktisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind.
Darüber hinaus ist zu beachten, dass gegebenenfalls im Vorfeld der Standpunkt der betroffenen Personen eingeholt werden sollte, Art. 35 Abs. 9 DSGVO. Dieses Erfordernis ist allerdings nur in wenigen Bereichen von praktischer Relevanz.
5. Welche Konsequenzen hat das Fehlen einer erforderlichen DSFA?
Ist eine Datenschutz-Folgenabschätzung zwingend erforderlich und wird diese trotzdem nicht durchgeführt, drohen Bußgelder nach Art. 83 ff. DSGVO. Dementsprechend können Verstöße gegen Vorgaben im Hinblick auf die Datenschutz-Folgenabschätzung nach Maßgabe des Art. 83 Abs. 4 DSGVO mit Geldbuße i.H.v. bis zu 10 Mio. Euro oder im Falle eines Unternehmens bis zu 2 % des weltweit erzielten gesamten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem welche Summe höher ist, sanktioniert werden.
6. Fazit
Zusammenfassend lässt sich festhalten, dass jeder Datenverarbeitungsprozess einzelfallbezogen betrachtet und datenschutzrechtlich evaluiert werden muss. Werden Risiken nicht eingedämmt, kann es zu Datenschutzverletzungen kommen. Dies können sowohl für das eigene Unternehmen, als auch für Kunden oder Geschäftspartner, aber vor allem für die Betroffenen gravierende Folgen haben und gegebenenfalls sogar Schadenersatzansprüche oder Bußgelder nach sich ziehen. Es empfiehlt sich daher stets Experten mit Kompetenzen in den Bereichen Datenschutz, Risikoermittlung und Fachprozesse zurate zu ziehen.
