Datenschutz-Folgenabschätzung nach DSGVO vs. Vorabkontrolle nach BDSG a. F.
Die Datenschutz-Folgenabschätzung, die in Art. 35 DSGVO festgeschrieben ist, löst die bis Mai 2018 anzuwendende Vorabkontrolle aus § 4d Abs. 5 BDSG a. F. ab. Inhaltlich unterscheiden sich die beiden Instrumente nicht gravierend. Beide werden vor der Verarbeitung personenbezogener Daten angewendet und dienen dazu, Risiken für die Rechte und Freiheiten von Personen zu überprüfen, deren Daten automatisiert verarbeitet werden. Seit dem 25. Mai 2018 ist jedoch nur die Datenschutz-Folgenabschätzung anzuwenden.
Wann müssen Unternehmen eine DSFA erstellen?
Verpflichtend wird die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO, wenn die Verarbeitung der personenbezogenen Daten voraussichtlich ein besonderes Risiko für den Betroffenen birgt. Das besondere Risiko kann sich ergeben, wenn für die Verarbeitungsvorgänge neue Technologien eingesetzt werden, oder aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung.
Hinweis: Ändern sich im laufenden Betrieb Umstände, die der DSFA zugrunde lagen, v. a. hinsichtlich der Risikofaktoren, ist die Verarbeitung zu überprüfen.
Beispiele für ein besonderes Risiko
- Ein besonderes Risiko ist z. B. gegeben, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit Betroffener (Fähigkeiten, Leistung, Verhalten) zu bewerten, und diese Bewertung als Grundlage für Entscheidungen (v. a. bei Scoringverfahren) dienen soll.
- Auch die systematisch umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche stellt ein besonderes Risiko dar.
Um Unternehmen die Einschätzung zu vereinfachen, wann eine DSFA verpflichtend durchzuführen ist, sieht Art. 35 Abs. 4 DSGVO vor, dass die Datenschutzaufsichtsbehörden eine Positivliste von solchen Verarbeitungsvorgängen erstellen, die eine DSFA verlangen.
Positivlisten der Datenschutzaufsichtsbehörden sind wenig zufriedenstellend
Die in der DSGVO geforderte Positivliste haben die Datenschutzaufsichtsbehörden erst um den 25. Mai 2018 herum veröffentlicht. Unternehmen hatten also kaum Vorlaufzeit, um sich vorzubereiten. Und es ergeben sich weitere Umstände, die in diesem Zusammenhang wenig zufriedenstellend sind:
- Nachdem der Datenschutz in Deutschland Ländersache ist und sich die Aufsichtsbehörden nicht auf eine gemeinsame Positivliste einigen konnten, bestehen hierzulande 18 mehr oder weniger unterschiedliche Positivlisten. Bundesweit tätige Unternehmen müssen also mit nennenswerten Unterschieden rechnen.
- Die Positivlisten differenzieren zwischen Verarbeitung in öffentlichen und nicht-öffentlichen Bereichen, was die DSGVO so nicht vorsieht.
- Die Aufzählung von Verarbeitungen in der Positivliste ist nicht abschließend, sondern beinhaltet nur die Fälle, in denen eine DSFA in jedem Fall durchzuführen ist. Der Verantwortliche muss also weiterhin prüfen, ob im Einzelfall doch eine DSFA erforderlich ist.
Inhaltliche Anforderungen an eine DSFA
Bei der inhaltlichen Ausgestaltung einer DSFA müssen Unternehmen auf ein dokumentiertes Vorgehen bei der Folgenabschätzung achten. Nur so kommen sie ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach. Die Mindestanforderungen ergeben sich aus Art. 35 Abs. 7 DSGVO:
- Die Beschreibung der geplanten Verarbeitungsvorgängen und der Zwecke wird systematisch erstellt.
- Auf Basis der systematischen Beschreibung werden die geplanten Verarbeitungen mit den damit verfolgten Zwecken abgeglichen.
- Für die von der Datenverarbeitung betroffene Person ist eine Risikobewertung vorzunehmen.
- Ausgehend von den ermittelten Risiken werden geplante Abhilfemaßnahmen dargestellt. Diese beinhalten Garantien, Sicherheitsvorkehrungen und entsprechende Verfahren.
Auszug aus einer Vorlage zur Datenschutz-Folgenabschätzung
Der Verantwortliche trägt also zusammen, welche Aspekte mindestens zu prüfen sind, und führt die wichtigsten Fragestellungen diesbezüglich auf. Dies kann in einer Art Checkliste erfolgen und folgendermaßen aussehen:
Mit einer bereits ausgearbeiteten Vorlage zur DSFA sparen sich Verantwortliche den Arbeitsaufwand und handeln garantiert rechtssicher. Eine DSFA-Vorlage ist in der „Dokumentenmappe: Datenschutz im Unternehmen“ enthalten.
Was tun, wenn trotz DSFA ein Restrisiko bleibt?
Ergibt die DSFA, dass trotz der geplanten Abhilfemaßnahmen ein Restrisiko hinsichtlich der Verarbeitungsvorgängen bleibt, ist der Verantwortliche verpflichtet, vor Aufnahme der Verarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren (sog. Konsultationspflicht nach Art. 36 DSGVO).
Nach Erhalt aller notwendigen Informationen muss die Aufsichtsbehörde innerhalb von acht Wochen (Zeitraum kann ggf. auf 14 Wochen erweitert werden) eine schriftliche Empfehlung für das weitere Vorgehen abgeben.
Wer ist Verantwortlicher für die Datenschutz-Folgenabschätzung?
Die Durchführung der DSFA kann nicht, wie bisher oft geschehen, an den Datenschutzbeauftragten (DSB) delegiert werden. Aus Art. 35 Abs. 2 DSGVO geht klar hervor, dass der DSB nur beratend wirken kann. Somit ist die Unternehmensleitung gesamtverantwortlich für die DSFA. Die eigentliche Durchführung kann aber an den für die Verarbeitungsvorgänge fachlich intern Verantwortlichen übergeben werden. (juse)
Quellen: „Datenschutz 2018“, „Dokumentenmappe: Datenschutz im Unternehmen“