Datenschutz-Folgenabschätzungen

Mit Datenschutzrisiken angemessen umgehen

Sinn und Zweck einer Datenschutz-Folgenabschätzung (DSFA) ist die Evaluierung und anschließende Eliminierung oder Minimierung hoher Risiken für natürliche Personen, die aus einer Datenverarbeitung resultieren. Eine solche Abschätzung der Folgen ist nach der DSGVO für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen, zwingend erforderlich. Solche Risiken im Sinne des Datenschutzrechts sind etwa Identitätsdiebstahl oder -betrug, ein finanzieller Verlust, eine Rufschädigung oder andere "erhebliche wirtschaftliche oder gesellschaftliche Nachteile".

Gesetzliche Regelung der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO gesetzlich vorgeschrieben. Nach Maßgabe des Art. 35 Abs. 1 DSGVO ist vom Verantwortlichen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, sofern die Verarbeitung insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Nach Art. 35 Abs. 1 S. 2 DSGVO kann für ähnliche Verarbeitungen eine DSFA durchgeführt werden.

Die Durchführung einer DSFA ist gem. Art. 35 Abs. 3 DSGVO in folgenden Fällen verpflichtend:

• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Notwendigkeit zur Durchführung einer DSFA

Darüber hinaus müssen die sog. Positivlisten der Aufsichtsbehörden nach Art. 35 Abs. 4 DSGVO berücksichtigt werden. In diesen Positivlisten sind beispielhaft Verarbeitungsvorgänge genannt, für die nach Auffassung der jeweiligen Aufsichtsbehörde eine DSFA verpflichtend durchzuführen ist. Die Positivliste der für Verantwortliche mit Hauptsitz in Hessen zuständigen Aufsichtsbehörde (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit; HBDI) findet sich unter den nachfolgenden Links:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2022-11/dsfa_muss_liste_dsk_de.pdf

Diese Positivliste ist nicht abschließend, sondern stellt vielmehr eine Mindestanforderung dar. Der Verantwortliche ist dazu angehalten, das Risiko von weiteren Verarbeitungen selbst zu bestimmen und die Erforderlichkeit einer DSFA zu überprüfen. In diesem Zusammenhang führt der HBDI auch die Prüfkriterien der Art. 29-Datenschutzgruppe an und plädiert für eine eigenständige Anwendung dieser:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/WP_248rev_01_deutsch.pdf

Die neun Kriterien aus dem WP 248 (Working Paper) der Art. 29-Datenschutzgruppe sind folgende:

1. Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
3. Systematische Überwachung (“Systematic monitoring”)
4. Vertrauliche oder höchstpersönliche Daten (“Sensitive data or data of a highly personal nature”)
5. Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
6. Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
7. Daten zu schutzbedürftigen betroffenen Personen (“Data concerning vulnerable data subjects”)
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
9. Betroffene Personen werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)

Sofern mindestens zwei dieser Kriterien zutreffen, liegt für die betroffene Person ein hohes Risiko vor und eine DSFA wäre vom Verantwortlichen durchzuführen.

Notos Xperts als Ihre Anlaufstelle

Wir unterstützen Sie dabei, die Verarbeitungen mit hohen Risiken herauszufinden und helfen Ihnen bei der Durchführung der DSFA. Darauf aufbauend unterstützen wir Sie, entsprechende Maßnahmen zur Beseitigung oder Eindämmung der ermittelten Risiken zu treffen. Wir klären Sie nicht nur über die notwendigen Maßnahmen auf, sondern unterstützen Sie auch in der Implementierung, etwa in der Erstellung von erforderlichen Dokumenten.

Kontaktieren Sie uns unverbindlich!

← zurück