Datenschutz-Folgenabschätzung: Was ist das überhaupt?

Fachbeitrag

Mit der EU-Datenschutzgrundverordnung wird 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 35 DSGVO). Was sich dahinter verbirgt, beschreiben wir in unserem heutigen Beitrag. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).

Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Wann ist eine DSFA vorzunehmen?

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Darüber hinaus werden in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Dies lässt im Vergleich zum BDSG einen größeren Anwendungsbereich für die Datenschutz-Folgenabschätzung erwarten, als dies noch für die Vorabkontrolle der Fall war. Durch den relativ offenen Tatbestand des Art. 35 Abs. 1 DSGVO wird aber auch Klärungsbedarf geschaffen, wann dieser denn nun genau erfüllt ist. Hier kommen die Aufsichtsbehörden ins Spiel. Diese müssen nämlich gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und  veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist. Art. 35 Abs. 5 DSGVO enthält zudem eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzungen durchgeführt werden müssen.

Wie ist eine DSFA durchzuführen?

Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).

Whitepaper zur DSFA

Die Grundverordnung kann nicht mehr leisten als die oben genannten allgemeine Vorgaben zu machen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen bleibt weitgehend offen. Experten des interdisziplinären „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ haben deshalb ein in einem Whitepaper vorgestelltes Konzept zur Umsetzung der DSFA vorgelegt, an dem Forscherinnen und Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt haben. Beschrieben wird das Whitepaper durch das ULD folgendermaßen:

„Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ enthält grundlegende Informationen für alle, die aus jeweils unterschiedlicher Perspektive mit dem neuen Instrument zu tun haben werden: im politischen Entscheidungsprozess, in der Gesetzgebung, in der Technikgestaltung, in der Anwendungskonzeption und schließlich in der Prüfung der Datenverarbeitung. Das Dokument beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.“

Fazit

Die besonders genaue Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen ist notwendig und wichtig und bleibt auch in Zukunft erhalten. Das kürzlich veröffentliche Whitepaper bietet zudem eine gute Grundlage für alle, die sich näher mit diesem Thema beschäftigen wollen oder müssen, um in diesem Bereich gerüstet für die Einführung der EU-Datenschutz-Grundverordnung zu sein.

Zwischenzeitlich hat sich auch die Artikel-29-Datenschutzgruppe dem Thema angenommen: Erster Entwurf für Leitlinien zur Folgenabschätzung.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

    • Wie in dem Artikel beschrieben, bestimmt Art. 35 DSGVO wann eine Folgenabschätzung durchzuführen ist. Lässt sich der Sachverhalt bzw. das Verfahren nicht unter diese Norm subsumieren, muss dann eben keine Folgenabschätzung durchgeführt werden. Dies ist im Einzelfall zu prüfen. Ansonsten können festgelegte Ausnahmen bzw. Verarbeitungsvorgänge bei denen keine Folgenabschätzung durchzuführen ist von der Aufsichtsbehörde veröffentlicht werden, Art. 35 Abs. 5 DSGVO.

  1. Zitat:
    „…Ansonsten können festgelegte Ausnahmen bzw. Verarbeitungsvorgänge bei denen keine Folgenabschätzung durchzuführen ist von der Aufsichtsbehörde veröffentlicht werden, Art. 35 Abs. 5 DSGVO.“
    Gibt es diebezüglich von den Aufsichtsbehörden bereits Listen?

  2. sorry
    wer soll den KAUDERWELSCH noch verstehen ?
    haben die Politiker das auch verstanden?
    wo sind die ausführungen die für einen durchschnittlich normal inteligenten verständlichen sind ??
    wenn sich jeder einen RA nur für die Erfüllung dieser Vorgaben nehmen muss dann haben wir zu wenig RA
    und wir haben bald KEINE mehr die noch was Produktiv arbeiten können Ohne von gravirenden Fehlern im Datenschutz bedroht zu sein.
    und Keinen mehr der das Risiko zu einem normalen Preis eingeht.

    Versucht mal KLARE EINDEUTIGE VORGABEN die JEDER Dahergelaufe auf der Straße versteht zu veröffentlichen.
    wenn die Ampel Rot ist hast du Stehen zu bleiben ! kann jeder nachvollziehen und verstehen !

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.