09.05.2016

Beitragsreihe DSGVO: Datenschutz-Folgenabschätzung

Die Einführung der Datenschutz-Grundverordnung (DSGVO) im vergangenen Jahr war bestimmt von den Zielen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen in Bezug auf ihre Daten besser zu schützen. Ihre Regelungen betreffen Unternehmen, Bürger und Behörden gleichermaßen.

Dieser Beitrag geht auf die Einführung der Datenschutz-Folgenabschätzung ein, mit welcher die Pflicht zur Vorabkontrolle nach dem alten Bundesdatenschutzgesetz (BDSG-alt) ersetzt wurde.

Alte Vorabkontrolle und neue Datenschutz-Folgenabschätzung

Mit der Vorabkontrolle gemäß § 4d Abs. 5 und 6 BDSG-alt sollten Datenverarbeitungen, die ein besonderes Risiko für Rechte und Freiheiten von Bürgern darstellten, unter den Vorbehalt einer Meldung an die Behörden oder einer Prüfung durch einen Datenschutzbeauftragten gestellt werden.

Das Verfahren hing davon ab, ob das Unternehmen einen Datenschutzbeauftragten bestellt hatte. War das Unternehmen dazu verpflichtet, prüfte er die beabsichtigte Datenverarbeitung unter Berücksichtigung der gesetzlichen Vorgaben auf ihre Zulässigkeit. Dem Datenschutzbeauftragten oblag zudem die grundsätzliche Entscheidung, ob eine Vorabkontrolle notwendig war. An die Stelle der Vorabkontrolle ist die Datenschutz-Folgenabschätzung des Art. 35 DSGVO getreten. Die Vorschrift betrifft solche Datenverarbeitungen, die ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen zur Folge haben, insbesondere beim Einsatz neuer Technologien und bei der Verarbeitung großer Datenmengen. Nun muss ein Unternehmen unabhängig von der Tatsache, ob ein Datenschutzbeauftragter bestellt wurde, in diesen Fällen eine umfassende Prüfung der beabsichtigten Datenverarbeitungen vornehmen und dabei insbesondere den Schutz personenbezogener Daten im Blick haben.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Zur Einschätzung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, empfiehlt sich ein mehrschrittiges Vorgehen. Zunächst ist zu beurteilen, ob eine Durchführung gänzlich ausgeschlossen ist. Ausnahmen können beispielsweise in den Datenschutzgesetzen der Länder normiert oder in Listen der Aufsichtsbehörden, sogenannten Whitelists, aufgeführt sein. Ebenso muss nach Art. 35 Abs. 1 S. 2 DSGVO keine Folgenabschätzung erfolgen, wenn eine solche für einen ähnlichen Verarbeitungsvorgang bereits vorhanden ist.

Sofern aber keine Ausnahme greift, ist die zentrale Vorschrift Art. 35 Abs. 3 DSGVO, die zu einer Datenschutz-Folgenabschätzung in drei Fällen verpflichtet:

  1. Bei einer automatisierten, systematischen und umfassenden Bewertung natürlicher Personen, die als Grundlage rechtserheblicher Entscheidungen dient.
  2. Bei einer umfangreichen Verarbeitung besonders sensibler, höchstpersönlicher Daten.
  3. Bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Diese offen gehaltenen Formulierungen werden durch Listen der Aufsichtsbehörden, vor allem der Datenschutzkonferenz (DSK) konkretisiert, in denen Verarbeitungstätigkeiten aufgezählt sind, für die eine Datenschutz-Folgenabschätzung vorgenommen werden muss. Teilweise bieten die Länder zusätzlich noch eigene Listen an.

Aber auch solche sogenannten Blacklists können nicht abschließend alle Arten von Verarbeitungsvorgängen abbilden, weshalb nicht alle Datenschutzvorgänge in ihnen wiedergefunden werden können. Helfen sowohl Art. 35 Abs. 3 DSGVO als auch die Blacklists nicht weiter, muss der Verantwortliche das Risiko und die Notwendigkeit einer Datenschutz-Folgenabschätzung selbst beurteilen. Hier ist Vorsicht geboten, denn eine Nichtdurchführung trotz Erforderlichkeit begründet bereits einen Verstoß gegen die DSGVO, welcher mit Bußgeldern bestraft werden kann.

Vorgaben für die Datenschutz-Folgenabschätzung

Eine Folgenabschätzung muss mindestens die folgenden Punkte enthalten: eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten Betroffener sowie die Maßnahmen, die zur Bewältigung dieser Risiken getroffen werden sollen. Art. 35 Abs. 8 DSGVO nennt auch die Einhaltung von anerkannten Verhaltenskodizes bzw. Codes of Conduct als relevantes Merkmal für die Beurteilung der Auswirkungen von Datenverarbeitungen.

Ergibt sich bei der Datenschutz-Folgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und Erwägungsgrund 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig. Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind. Als wichtig ist hier hervorzuheben, dass das pure Bestehen von Restrisiken nicht automatisch zu einem Verbot der Datenverarbeitung führt.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 4 und 2.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Einschätzung und Konsequenzen für die Praxis

Die Datenschutz-Folgenabschätzung erscheint als Instrument zur Überprüfung von Verarbeitungsvorgängen mit besonders hohem Risiko sinnvoll, da im Gegensatz zur bloßen Meldung solcher Vorgänge Datenschutzvorfälle schon im Vorfeld vermieden werden können. Negativ fällt aber die Unbestimmtheit in Bezug auf die Voraussetzungen zur Notwendigkeit der Folgenabschätzungen auf, für die Konkretisierungen durch die Aufsichtsbehörden notwendig wie vorgesehen sind. Eine Einheitlichkeit kann somit nur mittels enger Abstimmung der Behörden erzielt werden, wenn man bedenkt, dass allein in Deutschland die Negativlisten je nach Bundesland unterschiedlich sein können.

Ebenso gibt es für den Prozess der Datenschutz-Folgenabschätzung keine konkreten Vorgaben, sodass ein Großteil der Risikobeurteilung dem Verantwortlichen selbst obliegt. Das kann von Vorteil sein, da die Eigenarten des Einzelfalls besser berücksichtigt werden können, bedeutet zugleich aber auch einen erhöhten Einsatz an Zeit und Bürokratie. Die Unternehmen sind angehalten, ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen.

Unternehmen sollten aber schlussendlich auch bedenken, dass eine effiziente Folgenabschätzung Sanktionen vermeiden helfen kann, die nach der Datenschutz-Grundverordnung in beträchtlicher Höhe verhängt werden können. Insofern ist die Datenschutz-Folgenabschätzung ein nützliches Instrument für den Schutz personenbezogener Daten, dessen Umsetzung aber doch einen merkbaren Aufwand bedeutet.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …