Die Datenschutz Folgenabschätzung
Neu in der Datenschutz Grundverordnung (DSGVO) wird die sogenannte Datenschutz Folgenabschätzung sein.
Eigentlich verbirgt sich dahinter ein alter Bekannter, nämlich die Vorabkontrolle laut §4d Abs. 5 Bundesdatenschutzgesetz.
Diese Folgenabschätzung ist immer dann durchzuführen, wenn sensible Daten (siehe §3 Abs. 9 Bundesdatenschutzgesetz) verarbeitet werden. Dies ist besonders dann der Fall, wenn die Datenverarbeitung dazu benutzt wird, Persönlichkeitsrechte von Betroffenen , inklusive seiner Fähigkeiten, Leistung, oder sein Verhalten zu bewerten, oder wenn zum Beispiel Gesundheitsdaten betroffen sind.
Hier prüft der Datenschutzbeauftragte die Besonderheiten, die sich aus dem Verfahren im Hinblick auf die Risiken für Rechte und Freiheiten des Betroffenen ergeben. Als Resultat dieser Prüfung, erstellt der Datenschutzbeauftragte in aller Regel eine Stellungnahme, in der er die Rechtmäßigkeit der Datenverarbeitung beurteilt und auf Risiken hinweist.
Genau wie die Vorabkontrolle, dient die Datenschutz-Folgenabschätzung also der Beurteilung von besonderen Risiken und deren Folgen, die sich für Betroffene und auch die Verarbeitende Stelle ergeben.
Wann muss die Datenschutz Folgenabschätzung vorgenommen werden ?
Laut Art. 35 Abs. 1 DSGVO ist die Datenschutz Folgenabschätzung immer dann durchzuführen wenn:
„….eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat“.
Darüber hinaus sind in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Wie ist eine Datenschutz Folgenabschätzung durchzuführen?
In der DSGVO werden sieben Mindestanforderungen genannt, welche die Folgenabschätzung beinhalten muss.
Diese sind:
- eine detaillierte Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
Bei der Durchführung einer Datenschutz-Folgenabschätzung ist weiterhin stets der Rat des Datenschutzbeauftragten einzuholen (Art. 35 Abs. 2 DSGVO).
Fazit
Verarbeiten Unternehmen Daten, welche besonders Riskant für die Wahrung von Rechten von Betroffenen sind, ist eine sehr genaue Prüfung der Vorgänge erforderlich.
Diese Prüfung sollte in sich schlüssig sein und auch schriftlich dokumentiert werden.
Nur so kann die Datenverarbeitung rechtskonform erfolgen.