Praxis-Checklisten zur Datenschutz-Folgenabschätzung
Unternehmen und andere für Datenverarbeitungen Verantwortliche müssen künftig eine Datenschutz-Folgenabschätzung durchführen, bevor sie Verarbeitungen vornehmen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Das Unternehmen muss auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können.
Führen Verantwortliche Verfahren ein, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen, müssen sie zuvor eine Datenschutz-Folgenabschätzung durchführen und gegebenenfalls die zuständige Aufsichtsbehörde konsultieren. Unterlässt ein Verantwortlicher eine vorgeschriebene Datenschutz-Folgenabschätzung oder führt diese nicht korrekt durch, kann dies mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet werden.
Die nachstehende Checkliste führt Indizien dafür auf, dass vor der Inbetriebnahme einer Verarbeitung zwingend eine Datenschutz-Folgenbschätzung vorzunehmen ist. Im Zweifel sollten Unternehmen allerdings prüfen, ob sie im Rahmen eines effektiven Datenschutz-Management-Systems freiwillig auch für weniger eingriffsintensive Verarbeitungen Datenschutz-Folgenabschätzungen durchführen.
Checkliste: Anhaltspunkte dafür, dass eine Datenschutz-Folgenabschätzung durchzuführen ist
- Neue Technologien: Verfahren mit neuen Technologien, zu denen der Verantwortliche noch keine Daten-schutz-Folgenabschätzung durchgeführt hat
- Neue Verarbeitungen: Neuartige Verarbeitungsvorgänge, zu denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat
- Verarbeitung großer Datenmengen: Umfangreiche Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder übernationaler Ebene zu verarbeiten
- Personenanzahl: Verarbeitung von Daten einer großen Anzahl betroffener Personen
- Sensibilität: Verarbeitung besonderer Kategorien personenbezogener Daten, biometrischer Daten oder Daten über Straftaten oder strafrechtliche Verurteilungen sowie damit zusammenhängender Sicherungsmaßregeln
- Profiling: Verarbeitungsvorgänge, in denen die Daten für Entscheidungen im An-schluss an eine systematische und eingehende Bewertung persönlicher Personen auf der Grundlage eines Profilings verwendet werden
- Erschwerte Rechtsausübung: Verarbeitungsvorgänge, die betroffenen Personen die Ausübung ihrer Rechte erschweren
- Systematische Verarbeitungen: Verarbeitungen, die systematisch in großem Umfang durchgeführt werden
- Öffentliche Überwachung: Weiträumige Überwachung öffentlicher Bereiche, insbesondere per Videoanlagen
Mindestinhalte einer Datenschutz-Folgenabschätzung, Art. 35 Abs. 3 DSGVO
Die nachstehende Checkliste fasst die Mindestinhalte einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zusammen. Dabei sollten Verantwortlicher und Datenschutzbeauftragter berücksichtigen, dass sie auch im Rahmen der Durchführung von Datenschutz-Folgenabschätzungen einen risikobasierten Ansatz verfolgen müssen. Je risikobehafteter Verarbeitungen sind, desto umfassender und genauer müssen sie die jeweilige Datenschutz-Folgenabschätzung durchführen.
- Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung: Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge, führt der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durch; z.B. bei systematischer und umfassender automatisierter Bewertung persönlicher Aspekte natürlicher Personen, die Rechtswirkungen gegen-über natürlichen Personen entfalten oder diese in ähnlicher Weise beeinträchtigen
- Vorgaben der Aufsichtsbehörden: Die Aufsichtsbehörden sollen verbindliche Negativlisten oder Positivlisten für Verarbeitungen veröffentlichen, bei denen Datenschutz-Folgenabschätzungen typischerweise durchzuführen sind. Sofern die für den Verantwortlichen zuständigen Aufsichtsbehörden entsprechende Vorgaben gemacht haben, sind diese zu berücksichtigen
- Ähnliche Verarbeitungsvorgänge: Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden
- Beteiligung Datenschutzbeauftragter: Sofern ein Datenschutzbeauftragter benannt ist, holt der Verantwortliche dessen Rat bei der Durchführung der Datenschutz-Folgenabschätzung ein
- Beschreibung: Die Datenschutz-Folgenabschätzung umfasst zumindest eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der vom Verantwortlichen verfolgten Interessen
- Verhältnismäßigkeitsprüfung: Im Rahmen einer Datenschutz-Folgenabschätzung bewertet der Verantwortliche unter anderem auch die Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitungsvorgänge in Bezug auf den vom Verantwortlichen verfolgten Zweck
- Maßnahmen zur Risikoverringerung: Eine Datenschutz-Folgenabschätzung umfasst auch die Dokumentation und Bewertung der zur Bewältigung von Datenschutzrisiken geplanten Abhilfemaßnahmen, z.B. Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz personenbezogener Daten und zum Nachweis, dass die Bestimmungen der DSGVO eingehalten werden
- Abstimmung mit betroffenen Personen: Gegebenenfalls soll der Verantwortliche den Standpunkt betroffener Personen oder ihrer Vertreter zu der geplanten Verarbeitung einholen; der Schutz gewerblicher bzw. öffentlicher Interessen oder der Sicherheit der Datenverarbeitung soll hierbei nicht eingeschränkt werden
- Feststellung zu späteren Überprüfungen: Soweit erforderlich, führt der Verantwortliche spätere Überprüfungen durch, um zu bewerten, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung durchgeführt wird, insbesondere wenn bezüglich der Risiken der Datenverarbeitung Veränderungen eingetreten sind
- Abschließende Risikobewertung: Der Verantwortliche stellt fest, ob die geplante Verarbeitung nach der Datenschutz-Folgenabschätzung hohe Risiken für die Rechte und berechtigten Interessen der betroffenen Personen zur Folge hätte
- Feststellung zu Konsultationspflicht: Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Verarbeitung hohe Risiken zur Folge hätte, leitet sie das nach Art. 36 DSGVO vorgeschriebene Konsultationsverfahren mit der Aufsichtsbehörde ein
Zusammenfassung und Handlungsempfehlungen
Die in Art. 35 DSGVO geregelte Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen sie eine sinnvolle Neuerung. Unternehmen sollten zeitnah interne Strukturen schaffen, die es ihnen ermöglichen, effektive Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO durchzuführen. Für viele Datenschutz-Abteilungen sind Privacy Impact Assessments bereits seit Langem Teil eines wirksamen Datenschutz-Management-Systems. Zudem sind Datenschutz-Folgenabschätzungen ein gutes Mittel, um den Dokumentationspflichten nach Art. 24 Abs. 1 DSGVO zu entsprechen und den Nachweis führen zu können, dass sie die Vorgaben der Verordnung umsetzen. Kommt es später zu Rechtsstreitigkeiten über Fragen des Datenschutzes, können gut dokumentierte Datenschutz-Folgensabschätzungen zudem ein wertvolles Beweismittel sein.
Teil 1 dieser Blog-Serie finden Sie hier.