Beitragsreihe DSGVO: Datenschutz-Folgenabschätzung

Update am 11.7.2019

Die Einführung der Datenschutz-Grundverordnung (DSGVO) im vergangenen Jahr war bestimmt von den Zielen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen in Bezug auf ihre Daten besser zu schützen. Ihre Regelungen betreffen Unternehmen, Bürger und Behörden gleichermaßen.

Dieser Beitrag geht auf die Einführung der Datenschutz-Folgenabschätzung ein, mit welcher die Pflicht zur Vorabkontrolle nach dem alten Bundesdatenschutzgesetz (BDSG-alt) ersetzt wurde.

Alte Vorabkontrolle und neue Datenschutz-Folgenabschätzung

Mit der Vorabkontrolle gemäß § 4d Abs. 5 und 6 BDSG-alt sollten Datenverarbeitungen, die ein besonderes Risiko für Rechte und Freiheiten von Bürgern darstellten, unter den Vorbehalt einer Meldung an die Behörden oder einer Prüfung durch einen Datenschutzbeauftragten gestellt werden.

Das Verfahren hing davon ab, ob das Unternehmen einen Datenschutzbeauftragten bestellt hatte. War das Unternehmen dazu verpflichtet, prüfte er die beabsichtigte Datenverarbeitung unter Berücksichtigung der gesetzlichen Vorgaben auf ihre Zulässigkeit. Dem Datenschutzbeauftragten oblag zudem die grundsätzliche Entscheidung, ob eine Vorabkontrolle notwendig war. An die Stelle der Vorabkontrolle ist die Datenschutz-Folgenabschätzung des Art. 35 DSGVO getreten. Die Vorschrift betrifft solche Datenverarbeitungen, die ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen zur Folge haben, insbesondere beim Einsatz neuer Technologien und bei der Verarbeitung großer Datenmengen. Nun muss ein Unternehmen unabhängig von der Tatsache, ob ein Datenschutzbeauftragter bestellt wurde, in diesen Fällen eine umfassende Prüfung der beabsichtigten Datenverarbeitungen vornehmen und dabei insbesondere den Schutz personenbezogener Daten im Blick haben.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Zur Einschätzung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, empfiehlt sich ein mehrschrittiges Vorgehen. Zunächst ist zu beurteilen, ob eine Durchführung gänzlich ausgeschlossen ist. Ausnahmen können beispielsweise in den Datenschutzgesetzen der Länder normiert oder in Listen der Aufsichtsbehörden, sogenannten Whitelists, aufgeführt sein. Ebenso muss nach Art. 35 Abs. 1 S. 2 DSGVO keine Folgenabschätzung erfolgen, wenn eine solche für einen ähnlichen Verarbeitungsvorgang bereits vorhanden ist.

Sofern aber keine Ausnahme greift, ist die zentrale Vorschrift Art. 35 Abs. 3 DSGVO, die zu einer Datenschutz-Folgenabschätzung in drei Fällen verpflichtet:

  1. Bei einer automatisierten, systematischen und umfassenden Bewertung natürlicher Personen, die als Grundlage rechtserheblicher Entscheidungen dient.
  2. Bei einer umfangreichen Verarbeitung besonders sensibler, höchstpersönlicher Daten.
  3. Bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Diese offen gehaltenen Formulierungen werden durch Listen der Aufsichtsbehörden, vor allem der Datenschutzkonferenz (DSK) konkretisiert, in denen Verarbeitungstätigkeiten aufgezählt sind, für die eine Datenschutz-Folgenabschätzung vorgenommen werden muss. Teilweise bieten die Länder zusätzlich noch eigene Listen an.

Aber auch solche sogenannten Blacklists können nicht abschließend alle Arten von Verarbeitungsvorgängen abbilden, weshalb nicht alle Datenschutzvorgänge in ihnen wiedergefunden werden können. Helfen sowohl Art. 35 Abs. 3 DSGVO als auch die Blacklists nicht weiter, muss der Verantwortliche das Risiko und die Notwendigkeit einer Datenschutz-Folgenabschätzung selbst beurteilen. Hier ist Vorsicht geboten, denn eine Nichtdurchführung trotz Erforderlichkeit begründet bereits einen Verstoß gegen die DSGVO, welcher mit Bußgeldern bestraft werden kann.

Vorgaben für die Datenschutz-Folgenabschätzung

Eine Folgenabschätzung muss mindestens die folgenden Punkte enthalten: eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten Betroffener sowie die Maßnahmen, die zur Bewältigung dieser Risiken getroffen werden sollen. Art. 35 Abs. 8 DSGVO nennt auch die Einhaltung von anerkannten Verhaltenskodizes bzw. Codes of Conduct als relevantes Merkmal für die Beurteilung der Auswirkungen von Datenverarbeitungen.

Ergibt sich bei der Datenschutz-Folgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und Erwägungsgrund 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig. Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind. Als wichtig ist hier hervorzuheben, dass das pure Bestehen von Restrisiken nicht automatisch zu einem Verbot der Datenverarbeitung führt.

Einschätzung und Konsequenzen für die Praxis

Die Datenschutz-Folgenabschätzung erscheint als Instrument zur Überprüfung von Verarbeitungsvorgängen mit besonders hohem Risiko sinnvoll, da im Gegensatz zur bloßen Meldung solcher Vorgänge Datenschutzvorfälle schon im Vorfeld vermieden werden können. Negativ fällt aber die Unbestimmtheit in Bezug auf die Voraussetzungen zur Notwendigkeit der Folgenabschätzungen auf, für die Konkretisierungen durch die Aufsichtsbehörden notwendig wie vorgesehen sind. Eine Einheitlichkeit kann somit nur mittels enger Abstimmung der Behörden erzielt werden, wenn man bedenkt, dass allein in Deutschland die Negativlisten je nach Bundesland unterschiedlich sein können.

Ebenso gibt es für den Prozess der Datenschutz-Folgenabschätzung keine konkreten Vorgaben, sodass ein Großteil der Risikobeurteilung dem Verantwortlichen selbst obliegt. Das kann von Vorteil sein, da die Eigenarten des Einzelfalls besser berücksichtigt werden können, bedeutet zugleich aber auch einen erhöhten Einsatz an Zeit und Bürokratie. Die Unternehmen sind angehalten, ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen.

Unternehmen sollten aber schlussendlich auch bedenken, dass eine effiziente Folgenabschätzung Sanktionen vermeiden helfen kann, die nach der Datenschutz-Grundverordnung in beträchtlicher Höhe verhängt werden können. Insofern ist die Datenschutz-Folgenabschätzung ein nützliches Instrument für den Schutz personenbezogener Daten, dessen Umsetzung aber doch einen merkbaren Aufwand bedeutet.

Landgericht Düsseldorf: Webseitenbetreiber müssen bei Nutzung von Social Plugins Einwilligung der Nutzer einholen

Social Plugins von Facebook, Twitter und Co (wie beispielsweise der Facebook Like-Button) gehören mittlerweile zum Standardrepertoire von Internetseiten. Vorteile die sich Webseitenbetreiber hierdurch erhoffen sind Kundenbindung, Personalisierung der User-Experience, zielgerichtetes Marketing und viele mehr.

(mehr …)

Landesarbeitsgericht Berlin: Arbeitgeber darf Browserdaten der Mitarbeiter auslesen

Eine der sicherlich am Häufigsten diskutiertesten Problematiken im Bereich des Datenschutzrechts ist die Frage der privaten Internetnutzung am Arbeitsplatz. Insbesondere für Arbeitgeber stellt sich hier immer wieder die Frage, welche Konsequenzen es hat, wenn eine private Nutzung des betrieblich zur Verfügung gestellten Internets gestattet ist. Wird der Arbeitgeber zum Telekommunikationsanbieter? Dürfen Browserdaten protokolliert werden und wenn ja in welchem Umfang? Zu welchen Zwecken darf auf diese Daten zugegriffen werden? Und natürlich die letzte Frage würde eine Einwilligung des Arbeitnehmers benötigt, wenn man solche Browserdaten speichern und ggf. auf sie zugreifen möchte?

(mehr …)

„Privacy Shield“ statt „Safe Harbor“ – bleibt alles anders?

EU-Kommission und US-Regierung einigen sich auf Safe-Harbor-Nachfolger „Privacy Shield“

Nach langen und schwierigen Verhandlungen gaben die EU-Kommission und Vertreter der US-Regierung am 2. Februar 2016 bekannt, dass sie sich über ein neues Abkommen zum transatlantischen Datenaustausch geeinigt haben.

(mehr …)

Neue EU-Richtlinie für Cybersicherheit – Worauf müssen sich Unternehmen einstellen?

Der Cyber-Raum durchdringt heute nahezu alle Bereiche des staatlichen, wirtschaftlichen und sozialen Lebens. In allen Bereichen schafft die digitale Vernetzung unzählige und bisher noch nicht ausgeschöpfte Potenziale. Mit der zunehmenden Vernetzung wächst aber auch die Abhängigkeit des Staates, der Wirtschaft und Verbraucher von der Funktionsfähigkeit der IT-Systeme und des Cyber-Raums.

(mehr …)

EU–Datenschutzgrundverordnung (EU-DSGVO)

Die Datenschutzgrundverordnung kommt und führt zu weitreichenden Änderungen im Datenschutz. Betroffene Unternehmen sollten sich daher frühzeitig mit den Neuerungen und deren Implementierung auseinandersetzen.

(mehr …)

Datenschutz: Neues Klagerecht für Verbraucherverbände

Am 17. 12. 2015 hat der Bundestag ein neues Gesetz im Datenschutz- und Verbraucherschutzrecht beschlossen. Mit dieser Neuregelung können Verbraucher- und Wirtschaftsverbände sowie Wirtschaftskammern bei Verstößen von Unternehmen gegen verbraucherschutzrelevante Vorschriften des Datenschutzrechts Unterlassungsansprüche geltend machen.

Ausgangslage
Bislang galt nach dem Bundesdatenschutzgesetz (BDSG), dass Betroffene ihre ihnen nach dem Gesetz zustehenden Rechte gegenüber den verantwortlichen Stellen nur selbst geltend machen konnten. So musste ein Verbraucher eine Verletzung des Datenschutzrechts zu seinen Lasten selbst nachweisen und rechtliche Schritte gegen das jeweilige Unternehmen einleiten. Diese Rechtslage stand teilweise in der Kritik, weil einzelne Verbraucher sich auf Grundlage der alten Bestimmungen häufig gegen Unternehmen mit großer Marktmacht durchsetzen mussten.

Die gesetzlichen Neuerungen
Durch das neue Gesetz können Verbraucher- und Wirtschaftsverbände sowie Industrie-, Handwerks- und Handelskammern Datenschutzverstöße im Wege der Unterlassungsklage verfolgen, soweit Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden. Soweit diese Voraussetzungen erfüllt sind, sind Verstöße gegen alle Vorschriften des Datenschutzrechts verfolgbar.
Zugleich wurde beschlossen, die Anforderungen an die Form von Erklärungen des Verbrauchers zu senken. Grundsätzlich soll der Verbraucher Erklärungen gegenüber dem Unternehmen stets in Textform tätigen dürfen. Die Kündigung eines Vertrages kann daher in AGB nicht mehr an die Schriftform gebunden werden. Es genügt in der Regel eine Erklärung per E-Mail.

Reaktionen und Konsequenzen für die Praxis
Die Bundesregierung preist ihr Gesetz als Gewinn für Verbraucher, die nun nicht mehr allein gegen scheinbar übermächtige Unternehmen vorgehen müssen. Die aus den Parteien Bündnis 90/Die Grünen und Die Linke bestehende Opposition im Bundestag hatte sogar noch weitergehende Klagerechte für Verbände beantragt.
Vertreter von Unternehmen sehen demgegenüber Schwächen der neuen Rechtslage: Der Bundesverband Deutsche Startups e. V. kritisiert die Reform wegen der Entstehung einer zusätzlichen Kontrollinstanz, die anders als die zuständigen Behörden weder unabhängig sei noch Interesse an Kompromissen habe. Es sei eine Klagewelle zu befürchten, welche die Arbeit und den Erfolg der deutschen Unternehmen massiv beeinträchtigen werde.

Im Ergebnis bleibt abzuwarten, wie die Verbände ihre neuen Befugnisse nutzen werden. Unternehmen werden aber in jedem Fall mit einer noch strengeren Überprüfung hinsichtlich der Umsetzung rechtlicher Vorgaben rechnen müssen. Dies stellt insbesondere für kleinere Unternehmen und Start-Ups eine nicht unerhebliche Hürde dar, weil sich hier die für die fehlerlose Umsetzung der Vorschriften notwendigen unternehmerischen Strukturen noch in der Entstehung befinden.
Zur Vermeidung von Nachteilen sollten sich diese Unternehmen schon in der Anfangsphase um eine umfassende und kompetente rechtliche Beratung bemühen.

Aber auch etablierten Unternehmen ist zu empfehlen, ihre datenschutzrechtlichen Regelungen zu überprüfen – gerade im Hinblick auf die im Datenschutz recht häufig unklare Rechtslage ist auch hier mit einer Vielzahl von Abmahnungen zu rechnen.

Datenübermittlungen ohne Safe-Harbor?

Dem EuGH wurde die Frage vorgelegt, ob das Safe-Harbor-Abkommen Datenübermittlungen in die USA weiterhin rechtfertigen kann. Konkret stand zur Debatte, ob Datenschutzbehörden einen Export personenbezogener Daten in die USA auch dann prüfen müssen, wenn sich das datenimportierende Unternehmen auf die Einhaltung einer EU-Kommissions-Entscheidung beruft. Dies hat der Europäische Gerichtshof (EuGH) in seiner heutigen Entscheidung bejaht und das Safe Harbor-Abkommen für ungültig erklärt. Die ISiCO empfiehlt ihren Kunden vor diesem Hintergrund, verstärkt nach europäischen Alternativen zu US-amerikanischen Cloud-, Mail-, Chat- und anderen Diensten Ausschau zu halten. Für Unternehmen, die auf US-amerikanische Dienstleister angewiesen sind, besteht gleichwohl kein Grund zur Panik, da ein Datenexport auf Basis der EU-Standardvertragsklauseln nach unserer Auffassung auch weiterhin rechtskonform möglich ist. (mehr …)

Plädoyer des Generalanwalts am EuGH: Safe-Harbor vor dem Aus?

Generalanwalt am EuGH: Entscheidung der EU-Kommission zu Safe-Harbor-Grundsätzen (2000/520/EG) verstößt gegen Datenschutzrecht und ist ungültig.

(mehr …)

Auswirkungen des IT-Sicherheitsgesetzes auf Webseitenbetreiber

Das IT-Sicherheitsgesetz bringt nicht nur Neuerungen für Anbieter von kritischen Infrastrukturen

Am 10.07.2015 hat der Bundesrat das IT-Sicherheitsgesetz gebilligt, das einen Monat zuvor durch den Bundestag verabschiedet wurde. Allgemein bekannt ist, dass das Gesetz Meldepflichten für Betreiber kritischer Infrastrukturen – wie Energieversorger oder Einrichtungen des Gesundheitswesens – vorsieht und diese verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Weniger bekannt ist jedoch, dass das IT-Sicherheitsgesetz Regelungen für „normale“ Webseitenbetreiber enthält: (mehr …)

Datenschutz in Personalabteilungen: Recruiting-Plattformen in der Cloud

Mit cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten. Denn das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung kann damit verwaltet und gesteuert werden. So ist es für Personalverantwortliche nicht mehr notwendig, auf Excel-Tabellen oder ähnliche Tools zurückzugreifen. (mehr …)

Binding Corporate Rules (BCR) – „Allheilmittel“ für den Datenschutz in multinational agierenden Unternehmen?

Binding Corporate Rules – verbindliche Unternehmensrichtlinien – etablieren sich zunehmend bei multinational agierenden Unternehmen um personenbezogene Daten über Staatsgrenzen hinweg mit anderen Konzerngesellschaften zu transferieren. (mehr …)

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.