Praxiswissen
Seiteninhalte
Stand 02 / 20253 MinutenNur für Mitglieder

Datenschutz-Grundverordnung: Datenschutzfolgenabschätzung

Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutz- Folgenabschätzung vorzunehmen. Wie dies im Detail zu geschehen hat, erklärt Ihnen dieses Praxiswissen.

Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht

Vorbemerkung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Möchten Sie weiterlesen?

Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.

Passwort vergessen

Sie sind noch kein HBE-Mitglied?

Mitgliedschaft beantragen

Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?

Zur Erstanmeldung

Datenschutzfolgenabschätzung (Art. 35, ErwGr 84, 89-93)

Inhalt (grob)

Wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutz-Folgenabschätzung vorzunehmen.

Sanktionen bei Verstoß

Geldbuße bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen

Thema: Erforderlichkeit
Erklärung

Eine Datenschutzfolgenabschätzung ist erforderlich, wenn die beabsichtigte Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. ((Rechtsgrundlage: Art. 35 (1) ))

Insbesondere erfasst sind folgende Fälle: 

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung und darauf basierende Entscheidungen mit Rechtswirkung für den Betroffenen 
  • umfangreiche Verarbeitung von besonderen Kategorien von Daten nach Art. 9 oder 10 DS-GVO
  • systematische umfangreiche Überwachung öffentlich zugänglicher Räume (z. B. Videoüberwachung).((Rechtsgrundlage: Art. 35 (3) ))

Die Datenschutzaufsichtsbehörden werden eine Liste von Verarbeitungsvorgängen erstellen, bei denen grds. eine Datenschutzfolgenabschätzung erforderlich ist (sog. Blacklist). Sie können auch eine Liste erstellen über Verarbeitungsvorgänge, bei denen eine Datenschutzfolgenabschätzung grds. nicht erforderlich ist (sog. Whitelist).((Rechtsgrundlage: Art. 35 (4), (5) ))

Durchführung

Zu berücksichtigen sind im Rahmen einer objektiven Bewertung die Art, der Umfang, die Umstände und die Folgen der Datenverarbeitung.((Rechtsgrundlage: Art. 35 (1), ErwGr 76, ))

Kriterien für die Ermittlung des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Schwere des möglichen Schadens und dessen Eintrittswahrscheinlichkeit.((Rechtsgrundlage: ErwGr 90 ))

Schäden sind physische, materielle oder immaterielle Schäden, z. B.:((Rechtsgrundlage: ErwGr 75))

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • Finanzielle Verluste
  • Rufschädigung
  • Kontrollverlust über die eigenen Daten
Inhalt

Mindestinhalte der Datenschutzfolgenabschätzung sind:((Rechtsgrundlage: Art. 35 (7)))

  • eine systematische Beschreibung der Verarbeitungsvorgänge (z. B. Prozessschaubild, Darstellung als Datenflussdiagramm, ggfs. verwendete IT-Systeme und Anwendungen), Zwecke und ggfs. berechtigten Interessen des Verantwortlichen
  • eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den Zweck
  • eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen (s. o.)
  • Maßnahmen zur Risikominderung, z. B. erhöhte Kontrollmechanismen, Pseudonymisierung und Verschlüsselung
Folgen

Der Verantwortliche hat ggfs. zu überprüfen, ob die Datenverarbeitung gemäß der Datenschutzfolgenabschätzung durchgeführt wird.((Rechtsgrundlage: Art. 35 (11)))

Besteht trotz Maßnahmen zur Risikominderung ein hohes Restrisiko, muss der Verantwortliche((GENDERNOTICE)) vor der Verarbeitung die Aufsichtsbehörde konsultieren und ihr folgende Informationen mitteilen:((Rechtsgrundlage: Art. 36 (1)))

  • die Datenschutzfolgenabschätzung (s. o.)
  • die Zwecke und Mittel der geplanten Verarbeitung
  • die zum Schutz der Rechte und Freiheiten der Betroffenen vorgesehenen Maßnahmen und Garantien
  • die Kontaktdaten des Datenschutzbeauftragten
  • die Zuständigkeiten des Verantwortlichen ((Rechtsgrundlage: Art. 36 (3)))

Die Aufsichtsbehörde kann innerhalb von 8 Wochen schriftliche Empfehlungen erteilen oder die Aufsichtsbefugnisse nach Art. 58 DS-GVO ausüben. In Abhängigkeit von der Komplexität kann die Frist um 6 Wochen verlängert werden.((Rechtsgrundlage: Art. 36 (2)))

Handlungsempfehlungen
  • Die bisher geltende Vorabkontrolle von Datenverarbeitungen nach § 4 (5) BDSG-alt ist auf die Datenschutzfolgenabschätzung umzustellen. Zuständig ist dafür der Verantwortliche, nicht – wie bei der Vorabkontrolle – der Datenschutzbeauftragte.
  • Die Veröffentlichung von Black- und Whitelists durch die Aufsichtsbehörden ist zu beobachten.
  • Erstellung/Anpassung von Vorlagen 
  • Integration in Prozesse bei neuen Projekten, insbes. bei neuen Technologien
  • Prozess zur Überwachung der Risikominderungsmaßnahmen (Art. 35 (11))
  • Bei Entscheidung gegen die Durchführung einer Datenschutzfolgenabschätzung: Dokumentation der Gründe und im Zweifelsfall Einholung der Behördenmeinung

Ihre Ansprechpartner zu diesem Thema

ms
ms
Dr. Melanie Eykmann
Bezirksgeschäftsführerin
089 55118-124
089 55118-118
Themen: Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht
Artikel als PDF
Artikel als PDF
Ansprechpartner
Daten­schutz­ein­stel­lun­gen

Diese Webseite nutzt externe Medien, wie z.B. Karten und Videos, und externe Analysewerkzeuge, welche alle dazu genutzt werden können, Daten über Ihr Verhalten zu sammeln. Dabei werden teils auch Cookies gesetzt. Die Einwilligung zur Nutzung der Cookies & Erweiterungen können Sie jederzeit anpassen bzw. widerrufen. Technisch notwendige Cookies sind immer aktiv.
Eine Übersicht zu den Cookies, Analysewerkzeugen und externen Medien finden Sie in unseren Datenschutzinformationen.

Welche optionalen Cookies bzw. Erweiterungen möchten Sie erlauben?
Impressum
Barrierefreiheit