Wann muss nach DSGVO eine Datenschutz-Folgenabschätzung erfolgen?
Hierzu heißt es in Art. 35 Abs. 1 DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Mindestinhalte einer DSFA (Art. 35 Abs. 7 DSGVO):
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen:
- Systematische Dokumentation,
- ggfs. mehrere Zwecke,
- Dokumentation des Interesses,
- Nachweis der Berechtigung des Interesses.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck:
- Begründung für die Einführung des Verfahrens.
- Begründung für die Einführung des Verfahrens.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- Bewertung der Motive der Organisation als Angreifer (im Hinblick auf Betroffene),
- Verfahren / neue Technik als „Tatwaffe“,
- Beurteilung der Risiken des Eingriffs in das Grundrecht der Betroffenen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird. Darüber hinaus der erbrachte Nachweis dafür, dass diese Verordnung eingehalten wird. Den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener wird hierbei Rechnung getragen.
- Geplante Abhilfemaßnahmen und Nachweise bspw. durch
- Prüfsiegel
- Organisatorische Regelungen
- Technische Sicherheitsvorrichtungen
- Hohe Anforderung an Transparenz
- Wirksamkeit der Maßnahmen muss dokumentierbar/ protokollierbar sein
- Geplante Abhilfemaßnahmen und Nachweise bspw. durch
Welche Risiken können auftreten?
Anders als bei den üblichen Risikobewertungen im Unternehmen, ist im Datenschutz stets die Sicht des Betroffenen einzunehmen. Ein Risiko besteht für den Betroffenen immer dann, wenn die Möglichkeit
- einer Diskriminierung,
- eines Identitätsdiebstahls,
- eines finanziellen Verlusts,
- der Rufschädigung,
- des Verlusts der Vertraulichkeit personenbezogener Daten, die einem Berufsgeheimnis unterliegen (Schweigepflicht),
- der unbefugten Aufhebung der Pseudonymisierung
sowie anderer erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile besteht.
Wann soll denn nun eine DSFA durchgeführt werden?
In Art. 35 Abs. 4 und 5 DSGVO aufgeführt, dass die Aufsichtsbehörden Listen herausgeben. In den Listen ist angegeben, bei welchen Verarbeitungstätigkeiten eine DSFA durchzuführen ist und bei welchen nicht (Black- und Whitelist). Jedoch tun sich die Aufsichtsbehörden schwer mit der Erstellung dieser Listen. Inzwischen sind mehrere Listen aufgetaucht, die aber alle nicht die Vollständigkeit beanspruchen. So muss oft selbst entschieden werden, ob eine DSFA durchgeführt werden sollte. Im Zweifel ist es allerdings so oder so sicherer, eine DSFA durchzuführen. Die Durchführung der DSFA ist vor allem sinnvoll, bevor eine neue Verarbeitungstätigkeit eingeführt wird.
In Art. 35 DSGVO sind insbesondere folgende Fälle genannt:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung – einschließlich Profiling – gründet. Die Bewertung dient ihrerseits als Grundlage für Entscheidungen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Das Wort „insbesondere“ zeigt hier auf, dass vor allem – jedoch nicht ausschließlich bei diesen Fällen – eine DSFA erfolgen muss. Es ist außerdem schwierig, Aussagen wie „umfangreich“ oder „weiträumig“ zu quantifizieren.
Die Art.-29-Datenschutzgruppe, deren Vorgaben durch den ihr folgenden europäischen Datenschutzausschuss (EDSA) bestätigt wurden, fügt dieser Liste darüber hinaus Folgendes hinzu:
- Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener (z.B. Kinder unter 16 Jahren)
- Automatisierte Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen
- Zusammenführen bzw. Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden, sofern Betroffene nicht damit rechnen können
- Einsatz neuer Technologien oder biometrischer Verfahren
- Datentransfer in Länder außerhalb der EU/EWR
Ausnahmen von diesen Vorgaben sind nur gegeben, wenn das (geplante) Datenverarbeitungsverfahren aufgrund einer gesetzlichen Verpflichtung erfolgt (z.B. Umsetzen des Schwerbehindertenausgleichs).