Datenschutz-Folgenabschätzung: Was ist das überhaupt?

daten 40
Fachbeitrag

Mit der EU-Datenschutzgrundverordnung wird 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 35 DSGVO). Was sich dahinter verbirgt, beschreiben wir in unserem heutigen Beitrag.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).

Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Wann ist eine DSFA vorzunehmen?

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Darüber hinaus werden in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Dies lässt im Vergleich zum BDSG einen größeren Anwendungsbereich für die Datenschutz-Folgeabschätzung erwarten, als dies noch für die Vorabkontrolle der Fall war. Durch den relativ offenen Tatbestand des Art. 35 Abs. 1 DSGVO wird aber auch Klärungsbedarf geschaffen, wann dieser denn nun genau erfüllt ist. Hier kommen die Aufsichtsbehörden ins Spiel. Diese müssen nämlich gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und  veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist. Art. 35 Abs. 5 DSGVO enthält zudem eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgeabschätzungen durchgeführt werden müssen.

Wie ist eine DSFA durchzuführen?

Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgeabschätzung. Diese muss demnach enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).

Whitepaper zur DSFA

Die Grundverordnung kann nicht mehr leisten als die oben genannten allgemeine Vorgaben zu machen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen bleibt weitgehend offen. Experten des interdisziplinären „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ haben deshalb ein in einem Whitepaper vorgestelltes Konzept zur Umsetzung der DSFA vorgelegt, an dem Forscherinnen und Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt haben. Beschrieben wird das Whitepaper durch das ULD folgendermaßen:

„Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ enthält grundlegende Informationen für alle, die aus jeweils unterschiedlicher Perspektive mit dem neuen Instrument zu tun haben werden: im politischen Entscheidungsprozess, in der Gesetzgebung, in der Technikgestaltung, in der Anwendungskonzeption und schließlich in der Prüfung der Datenverarbeitung. Das Dokument beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.“

Fazit

Die besonders genaue Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen ist notwendig und wichtig und bleibt auch in Zukunft erhalten. Das kürzlich veröffentliche Whitepaper bietet zudem eine gute Grundlage für alle, die sich näher mit diesem Thema beschäftigen wollen oder müssen, um in diesem Bereich gerüstet für die Einführung der EU-Datenschutz-Grundverordnung zu sein.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.