DS-GVO: Datenschutzfolgenabschätzung
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutzfolgenabschätzung vorzunehmen. Wie dies im Detail zu geschehen hat, erklärt Ihnen dieses Praxiswissen.
Vorbemerkung
Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.
Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.
Sie sind noch kein HBE-Mitglied?
Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?
Datenschutzfolgenabschätzung (Art. 35, ErwGr 84, 89-93)
Wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist eine Datenschutzfolgenabschätzung vorzunehmen.
Geldbuße bis zu 10 Millionen Euro oder bis 2 Prozent des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen
Eine Datenschutzfolgenabschätzung ist erforderlich, wenn die beabsichtigte Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. ((Rechtsgrundlage: Art. 35 (1) ))
Insbesondere erfasst sind folgende Fälle:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung und darauf basierende Entscheidungen mit Rechtswirkung für den Betroffenen
- umfangreiche Verarbeitung von besonderen Kategorien von Daten nach Art. 9 oder 10 DS-GVO
- systematische umfangreiche Überwachung öffentlich zugänglicher Räume (z. B. Videoüberwachung).((Rechtsgrundlage: Art. 35 (3) ))
Die Datenschutzaufsichtsbehörden werden eine Liste von Verarbeitungsvorgängen erstellen, bei denen grds. eine Datenschutzfolgenabschätzung erforderlich ist (sog. Blacklist). Sie können auch eine Liste erstellen über Verarbeitungsvorgänge, bei denen eine Datenschutzfolgenabschätzung grds. nicht erforderlich ist (sog. Whitelist).((Rechtsgrundlage: Art. 35 (4), (5) ))
Zu berücksichtigen sind im Rahmen einer objektiven Bewertung die Art, der Umfang, die Umstände und die Folgen der Datenverarbeitung.((Rechtsgrundlage: Art. 35 (1), ErwGr 76 ))
Kriterien für die Ermittlung des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Schwere des möglichen Schadens und dessen Eintrittswahrscheinlichkeit.((Rechtsgrundlage: ErwGr 90 ))
Schäden sind physische, materielle oder immaterielle Schäden, z. B.:((Rechtsgrundlage: ErwGr 75))
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzielle Verluste
- Rufschädigung
- Kontrollverlust über die eigenen Daten
Mindestinhalte der Datenschutzfolgenabschätzung sind:((Rechtsgrundlage: Art. 35 (7) ))
- eine systematische Beschreibung der Verarbeitungsvorgänge (z. B. Prozessschaubild, Darstellung als Datenflussdiagramm, ggfs. verwendete IT-Systeme und Anwendungen), Zwecke und ggfs. berechtigten Interessen des Verantwortlichen
- eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den Zweck
- eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen (s. o.)
- Maßnahmen zur Risikominderung, z. B. erhöhte Kontrollmechanismen, Pseudonymisierung und Verschlüsselung
Der Verantwortliche hat ggfs. zu überprüfen, ob die Datenverarbeitung gemäß der Datenschutzfolgenabschätzung durchgeführt wird.((Rechtsgrundlage: Art. 35 (11) ))
Besteht trotz Maßnahmen zur Risikominderung ein hohes Restrisiko, muss der Verantwortliche((GENDERNOTICE)) vor der Verarbeitung die Aufsichtsbehörde konsultieren und ihr folgende Informationen mitteilen:((Rechtsgrundlage: Art. 36 (1) ))
- die Datenschutzfolgenabschätzung (s. o.)
- die Zwecke und Mittel der geplanten Verarbeitung
- die zum Schutz der Rechte und Freiheiten der Betroffenen vorgesehenen Maßnahmen und Garantien
- die Kontaktdaten des Datenschutzbeauftragten
- die Zuständigkeiten des Verantwortlichen ((Rechtsgrundlage: Art. 36 (3) ))
Die Aufsichtsbehörde kann innerhalb von acht Wochen schriftliche Empfehlungen erteilen oder die Aufsichtsbefugnisse nach Art. 58 DS-GVO ausüben. In Abhängigkeit von der Komplexität kann die Frist um sechs Wochen verlängert werden.((Rechtsgrundlage: Art. 36 (2) ))
- Die bisher geltende Vorabkontrolle von Datenverarbeitungen nach § 4 (5) BDSG-alt ist auf die Datenschutzfolgenabschätzung umzustellen. Zuständig ist dafür der Verantwortliche, nicht – wie bei der Vorabkontrolle – der Datenschutzbeauftragte.
- Die Veröffentlichung von Black- und Whitelists durch die Aufsichtsbehörden ist zu beobachten.
- Erstellung/Anpassung von Vorlagen
- Integration in Prozesse bei neuen Projekten, insbes. bei neuen Technologien
- Prozess zur Überwachung der Risikominderungsmaßnahmen (Art. 35 (11))
- Bei Entscheidung gegen die Durchführung einer Datenschutzfolgenabschätzung: Dokumentation der Gründe und im Zweifelsfall Einholung der Behördenmeinung
Fußnoten
Ihre Ansprechpartner zu diesem Thema
