Mit Datenschutzrisiken angemessen umgehen

Sinn und Zweck einer Datenschutz-Folgenabschätzung (DSFA) ist die Evaluierung und anschließende Eliminierung oder Minimierung hoher Risiken für natürliche Personen, die aus einer Datenverarbeitung resultieren. Eine solche Abschätzung der Folgen ist nach der DSGVO für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen, zwingend erforderlich. Solche Risiken im Sinne des Datenschutzrechts sind etwa Identitätsdiebstahl oder -betrug, ein finanzieller Verlust, eine Rufschädigung oder andere "erhebliche wirtschaftliche oder gesellschaftliche Nachteile".

Die Datenschutz-Folgenabschätzung ist nach Art. 35 DSGVO gesetzlich vorgeschrieben. Nach Maßgabe des Art. 35 Abs. 1 DSGVO ist vom Verantwortlichen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, sofern die Verarbeitung insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Nach Art. 35 Abs. 1 S. 2 DSGVO kann für ähnliche Verarbeitungen eine DSFA durchgeführt werden.

Die Durchführung einer DSFA ist gem. Art. 35 Abs. 3 DSGVO in folgenden Fällen verpflichtend:

Darüber hinaus müssen die sog. Positivlisten der Aufsichtsbehörden nach Art. 35 Abs. 4 DSGVO berücksichtigt werden. In diesen Positivlisten sind beispielhaft Verarbeitungsvorgänge genannt, für die nach Auffassung der jeweiligen Aufsichtsbehörde eine DSFA verpflichtend durchzuführen ist. Die Positivliste der für Verantwortliche mit Hauptsitz in Hessen zuständigen Aufsichtsbehörde (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit; HBDI) findet sich unter den nachfolgenden Links:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge%20-Muss-Liste%20Berlin%20%28002%29.pdf

https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/liste-von-verarbeitungsvorg%C3%A4ngen-nach-art-35-abs-4-ds-gvo

Diese Positivliste ist nicht abschließend, sondern stellt vielmehr eine Mindestanforderung dar. Der Verantwortliche ist dazu angehalten, das Risiko von weiteren Verarbeitungen selbst zu bestimmen und die Erforderlichkeit einer DSFA zu überprüfen. In diesem Zusammenhang führt der HBDI auch die Prüfkriterien der Art. 29-Datenschutzgruppe an und plädiert für eine eigenständige Anwendung dieser:

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/WP_248rev_01_deutsch.pdf

Die neun Kriterien aus dem WP 248 (Working Paper) der Art. 29-Datenschutzgruppe sind folgende:

  1. Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
  3. Systematische Überwachung (“Systematic monitoring”)
  4. Vertrauliche oder höchstpersönliche Daten (“Sensitive data or data of a highly personal nature”)
  5. Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
  6. Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
  7. Daten zu schutzbedürftigen betroffenen Personen (“Data concerning vulnerable data subjects”)
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
  9. Betroffene Personen werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)

Sofern mindestens zwei dieser Kriterien zutreffen, liegt für die betroffene Person ein hohes Risiko vor und eine DSFA wäre vom Verantwortlichen durchzuführen.

Wir unterstützen Sie dabei, die Verarbeitungen mit hohen Risiken herauszufinden und helfen Ihnen bei der Durchführung der DSFA. Darauf aufbauend unterstützen wir Sie, entsprechende Maßnahmen zur Beseitigung oder Eindämmung der ermittelten Risiken zu treffen. Wir klären Sie nicht nur über die notwendigen Maßnahmen auf, sondern unterstützen Sie auch in der Implementierung, etwa in der Erstellung von erforderlichen Dokumenten.

Kontaktieren Sie uns unverbindlich!

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten