Datenschutz-Folgenabschätzung für Unternehmen

,

Die Datenschutz-Folgenabschätzung in der DSGVO

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Bei welchen Datenverarbeitungen muss eine DSFA durchgeführt werden?

Die Datenschutz-Folgenabschätzung wird in Artikel 35 der EU-Datenschutz-Grundverordnung (DSGVO) definiert. Sie ist in folgenden Fällen stets erforderlich:

  1. Mit der Datenverarbeitung soll die Persönlichkeit des Betroffenen systematisch und automatisiert bewertet werden, so dass rechtliche oder andere intensive Eingriffe in die Persönlichkeit des Betroffenen möglich werden.
  2. Es sollen umfangreich besondere Kategorien personenbezogener Daten oder aber Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Artikel 9 DSGVO:
    1. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
    2. Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung des Betroffenen;
    3. genetische und biometrische Daten, sofern mit Ihnen eine einzelne Person identifiziert werden kann.

    Ein möglicher Anwendungsfall ist hier die Durchführung von unternehmensinternen Ermittlungen gegen Mitarbeiter – diese sollten erst nach einer DSFA eingeleitet werden.

  3. Es sollen öffentlich zugängliche Räume überwacht werden. Öffentlich zugänglich ist z. B. auch der Servicebereich eines Unternehmens, in dem Publikumsverkehr herrscht.

Eine DSFA kann auch dann erforderlich sein, wenn keine der genannten Fälle einschlägig ist, die Datenverarbeitung aber dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies gilt auch für Änderungen an einmal eingeführten (und geprüften) Datenverarbeitungen, die Auswirkungen auf das Risiko für den Betroffenen haben. In diesem Fall ist gemäß Artikel 35 Abs. 11 DSGVO eine erneute Datenschutz-Folgenabschätzung durchzuführen.

Die Datenschutzaufsichtsbehörden müssen gemäß Artikel 35 Abs. 4 Datenschutz-Grundverordnung eine (derzeit noch nicht verfügbare) Liste mit Datenverarbeitungen veröffentlichen, für die aus ihrer Sicht unbedingt eine DSFA erforderlich ist. Eine Datenschutz-Folgenabschätzung wird jedoch auch dann erforderlich sein, wenn die Verarbeitung nicht in der Liste enthalten ist, aber unter einen der oben beschriebenen Fälle gefasst werden kann. Die Liste dient insofern nur der Orientierung.

Was muss Gegenstand der Datenschutz-Folgenabschätzung sein?

Eine rechtmäßige DSFA muss insbesondere folgende Fragen dokumentiert beantworten:

  1. Wie ist die Datenverarbeitung beschaffen, welchen Zwecken dient sie und welche berechtigten Interessen hat das Unternehmen an der Datenverarbeitung?
  2. Ist die Datenverarbeitung vor dem Hintergrund des Zwecks bzw. der Zwecke notwendig und verhältnismäßig?
  3. Wie groß und welcher Art sind die Risiken für die Rechte und Freiheiten der betroffenen Personen? Zu berücksichtigen sind hierbei insbesondere die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
  4. Mit welchen Garantien, Sicherheitsvorkehrungen und Verfahren werden die benannten Risiken so bewältigt, dass ein ausreichender Datenschutz im Sinne der Datenschutz-Grundverordnung sichergestellt ist?

Wie muss mit dem Ergebnis der DSFA umgegangen werden?

Ist Ergebnis der DSFA, dass die Datenverarbeitung auf einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung gestützt werden kann (insbesondere Artikel 6 DSGVO), muss sichergestellt werden, dass den analysierten Risiken durch Umsetzung entsprechender technischer und / oder organisatorischer Schutzmaßnahmen ausreichend begegnet wird. Das Gesetz verlangt insofern eine Eindämmung des Risikos. Diese Eindämmung ist umso wichtiger, je größer das Risiko für Betroffenen ist.

Können oder sollen keine Maßnahmen zur Risikoeindämmung getroffen werden, muss das Unternehmen gemäß Artikel 36 DSGVO die Aufsichtsbehörde konsultieren. Folge dieser Konsultation ist zunächst einmal die erhebliche Verzögerung einer möglichen Einführung der Datenverarbeitung, da das Gesetz der Behörde einen Reaktionszeitraum von mindestens acht Wochen einräumt. Die Behörde darf auf den „Antrag auf Konsultation“ des Unternehmens sowohl mit „Empfehlungen“ als auch mit sämtlichen anderen in Artikel 58 DSGVO festgelegten Befugnissen reagieren. Hierzu gehört u. a. die vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots. Auch kann die Behörde ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes gegen das Unternehmen verhängen.

Es empfiehlt sich daher, Änderungen an der gewünschten Datenverarbeitung vorzunehmen, falls die Datenschutz-Folgenabschätzung zu keinem positiven Ergebnis kommt.

Wer ist für die Datenschutz-Folgenabschätzung zuständig?

Die Pflicht eine DSFA durchzuführen obliegt grundsätzlich dem Unternehmen (Artikel 35 Abs. 1 DSGVO). Die Geschäftsführung eines Unternehmens muss somit (wie auch in anderen Risikomanagement-Bereichen) sicherstellen, dass die Erforderlichkeit einer DSFA geprüft und diese dann ggf. durchgeführt wird. Hierzu hat die Geschäftsführung gemäß Artikel 35 Abs. 2 DSGVO den Datenschutzbeauftragten zu konsultieren, sofern ein solcher bestellt wurde.

Zuständig für die Datenschutz-Folgenabschätzung ist somit im Ergebnis der Datenschutzbeauftragte, was in Artikel 39 Abs. 1c DSGVO nochmals klargestellt wird. Der Datenschutzbeauftragte sollte daher stets rechtzeitig über neue Datenverarbeitungsvorhaben informiert werden.

Ist das Unternehmen weder nach der Datenschutz-Grundverordnung noch nach den (alsbald) ergänzenden Regelungen deutschen Datenschutzrechts verpflichtet, einen Datenschutzbeauftragten zu bestellen, muss es gleichwohl das Erfordernis einer DSFA prüfen – und als Konsequenz ggf. einen Datenschutzbeauftragten bestellen.

Fazit: DSFA ist wichtiger Teil des unternehmerischen Risikomanagements

In anderen unternehmerischen Bereichen, wie etwa der Korruptionsbekämpfung oder aber der Steuerbetrugsprävention, ist ein ausgefeiltes Risikomanagement zumindest auf dem gesetzlichen Papier seit Langem etabliert. Dies gilt mit der Datenschutz-Folgenabschätzung nun auch für den Schutz personenbezogener Daten. Angesichts hoher Bußgeldoptionen und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen oder Änderungen an bestehenden Datenverarbeitungen unterrichten. So kann der Beauftragte rechtzeitig prüfen, ob eine DSFA erforderlich ist und eine solche dann ggf. durchführen.

Bitte bewerten Sie diese Inhalte!
[9 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.