Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

Datenschutz verstehen –  Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

Zusammenfassung
  1. Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchzuführen ist.
  2. Eine Datenschutz-Folgenabschätzung muss unter anderem verpflichtend durchgeführt werden, wenn die Verarbeitung einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen ausgesetzt ist oder besondere Kategorien personenbezogener Daten verarbeitet werden.
  3. Es existieren klare Vorgaben, welche Punkte eine Datenschutz-Folgenabschätzung enthalten muss. Hierzu gehören unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie die Zwecke der Verarbeitung.
  4. Die Datenschutz-Folgenabschätzung ist von der verantwortlichen Stelle durchzuführen.
  5. Verstöße gegen die Bestimmungen bezüglich der Datenschutz-Folgenabschätzung werden mit Bußgeldern von bis zu 10 Mio. EUR oder im Fall eines Unternehmens mit bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres bestraft.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider
 

Die Datenschutz-Folgenabschätzung ist ein in der DSGVO geregeltes neues Verfahren. Zuvor existierte im alten BDSG mit der Vorabkontrolle ein ähnliches Instrument, welches nicht in das BDSG-neu aufgenommen wurde. Was die Datenschutz-Folgenabschätzung ist und wann genau eine Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung durchführen ist, erfahren Sie in diesem Blogbeitrag.

 

Datenschutz-Folgenabschätzung – Was ist das?

Die Datenschutz-Folgenabschätzung (DSFA) ist in Art. 35 DSGVO geregelt. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Dabei ist die Datenschutz-Folgenabschätzung nicht vor jeder Datenverarbeitungstätigkeit durchzuführen.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von der der jeweiligen Verarbeitung ab, vgl. Art. 35 Abs. 1 S.1 1. Hs. DSGVO. Für welche Verarbeitung die DSFA einschlägig sein soll, zählt Art. 35 Abs. 1 S.1 im Anschluss auf. Diese Auflistung ist allerdings nicht abschließend (vgl. Formulierung “insbesondere”).

Die Datenschutz-Folgenabschätzung hat eine Kontrollfunktion für datenverarbeitende Stellen und schützt die personenbezogenen Daten der betroffenen Personen, da eine ausführliche Bewertung der Datenverarbeitungsprozesse erfolgt.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung ist in Deutschland dabei gar nicht wirklich neu. Bereits im alten BDSG existierte eine ähnliche Vorgabe: Gem. § 4d Abs. 5 und 6 BDSG-alt mussten verantwortliche Stellen im Fall einer automatisierten Verarbeitung mit besonderen Risiken für Rechte und Freiheiten der betroffenen Personen eine Vorabkontrolle vor Beginn der Verarbeitung durchführen.

 

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Laut Art. 35 Abs. 1 S.1 DSGVO ist die Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, wegen der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In Art. 35 Abs. 3 DSGVO werden weitere Fälle genannt, in welchen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Auch hier werden die Fälle allerdings nicht abschließend, sondern nur beispielhaft genannt.

Gem. Art. 35 Abs. 3 lit. a) DSGVO ist eine DSFA durchzuführen, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die sich auf die automatisierte Verarbeitung inklusive Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen kann.

Nach Art. 35 Abs. 3 lit. b) DSGVO ist eine DSFA auch dann durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen gem. Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO stattfindet. Auch für den Fall der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung durchzuführen, vgl. Art. 35 Abs. 3 lit. c) DSGVO.

Beispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Die bisher genannten Beispiele bezüglich der Erforderlichkeit einer Datenschutz-Folgenabschätzung sind nicht sehr spezifisch, weshalb die Ermittlung der Erforderlichkeit oft Schwierigkeiten bereitet.

Hier hat der europäischer Gesetzgeber aber mit der Regelung in Art. 35 Abs. 4 DSGVO den zuständigen Datenschutzbehörden eine Pflicht auferlegt, weitere Konkretisierungen vorzunehmen: Gem. Art. 35 Abs. 4 S.1 DSGVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, für die gem. Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist. Die meisten Datenschutzbehörden der Bundesländer sind dieser Pflicht, mehr oder weniger, nachgekommen:

Bei den Listen ist zu beachten, dass diese ebenfalls nicht abschließend sind und die aufgezählten Verarbeitungstätigkeiten lediglich Beispiele dafür sind, wann definitiv eine Datenschutz-Folgenabschätzung durchzuführen ist.

Bei einigen Listen ist ferner zu berücksichtigen, dass die Listen gem. Art. 35 Abs. 4 S.2 DSGVO an den europäischen Datenschutzausschuss zu übermitteln sind und diese erst nach Abschluss des in Art. 35 Abs. 6 DSGVO genannten Kohärenzverfahrens Verbindlichkeit erhalten. Lesen und beachten Sie hierzu bitte die Hinweise auf der Webseite der jeweiligen zuständigen Datenschutzbehörde.

 

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Wie genau eine Datenschutz-Folgenabschätzung durchzuführen ist, erläutert Art. 35 Abs. 7 DSGVO. Hier werden Punkte genannt, die eine Datenschutz-Folgenabschätzung mindestens enthalten muss.

  • Hierzu gehört zum einen eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung (Art. 35 Abs. 7 lit. a) DSGVO). Ggfs. müssen auch die von dem Verantwortlichen verfolgten berechtigten Interessen einbezogen werden.
  • Außerdem muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den jeweiligen Zweck bewertet werden, Art. 35 Abs. 7 lit. b) DSGVO.
  • Auch die Risiken für die Rechte und Freiheiten der gem. Art. 37 Abs. 1 DSGVO betroffenen Personen müssen bewertet werden, Art. 35 Abs. 7 lit. c) DSGVO.
  • Ferner muss die Datenschutz-Folgenabschätzung Abhilfemaßnahmen zur Bewältigung der Risiken enthalten, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz von personenbezogenen Daten sichergestellt wird und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird. Dabei muss den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden, Art. 37 Abs. 7 lit. d) DSGVO.

Weitere Informationen bezüglich der Inhalte der Datenschutz-Folgenabschätzung erhalten Sie von Ihrem Datenschutzbeauftragten. Unterlagen und Dokumente zum Thema Datenschutz-Folgenabschätzung erhalten Sie z.B. im Bereich DSFA auf der Webseite des  Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA).

 

Wer muss die Datenschutz-Folgenabschätzung vornehmen?

Gem. Art. 35 Abs. 1 DSGVO ist die Datenschutz-Folgenabschätzung von der verantwortlichen Stelle durchzuführen. Art. 35 Abs. 2 DSGVO macht allerdings deutlich, dass in diesem Zusammenhang in jedem Fall Beratung und Unterstützung beansprucht werden muss. Hiernach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Dies gilt natürlich nur, sofern auch ein Datenschutzbeauftragter benannt wurde. Wann genau ein Datenschutzbeauftragter bestellt werden muss, erfahren Sie hier.

Bei der Beurteilung der Erforderlichkeit und der konkreten Durchführung einer Datenschutz-Folgenabschätzung profitieren verantwortliche Stellen von dem Fachwissen ihres Datenschutzbeauftragten. Auch wenn die DSGVO eine nur beratende Tätigkeit des Datenschutzbeauftragten bei der DSFA vorsieht, ist dies in der Praxis oft anders, da der Datenschutzbeauftragte in diesem Zusammenhang eher federführend agiert.

 

Was passiert, wenn keine DSFA durchgeführt wird?

Wenn trotz Erforderlichkeit eine Datenschutz-Folgenabschätzung nicht durchgeführt wird, droht ein Bußgeld nach Maßgabe der Art. 83 ff. DSGVO. So drohen nach Art. 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Eine allgemeine Übersicht bezüglich der in Deutschland erlassenen Bußgelder seit Anwendbarkeit der DSGVO sehen Sie hier.

In diesem Beitrag handelt sich um allgemeine Informationen zum Thema Datenschutz-Folgenabschätzung. Jeder Datenverarbeitungsprozess muss allerdings einzelfallbezogen betrachtet und datenschutzrechtlich begutachtet werden, weshalb dieser Artikel keine allgemeine Gültigkeit beschreibt. Wir freuen uns, Sie individuell zu beraten.

Dipl.-Jurist Serkan Taskin

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN