Datenschutz-Folgenabschätzung – Begriffserklärung und Durchführung im Überblick

Fragen
Allgemein

Die Datenschutz-Folgenabschätzung wird mit der bekannten Vorabkontrolle des früheren deutschen Datenschutzrechtes verglichen (§ 4d Abs. 5 BDSG). Diese wurde damals durchgeführt, wenn mit besonders sensiblen Daten gearbeitet wurde oder eine Bewertung der Persönlichkeit des Betroffenen innerhalb der Datenverarbeitung stattgefunden hat. Der Datenschutzbeauftragte prüfte die damit verbundenen Risiken für die Rechte und Freiheiten der Betroffenen und gab eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Ähnlich sieht es bei der heutigen Datenschutz-Folgenabschätzung aus.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung wird zur Beschreibung, Bewertung und Eindämmung von Risiken genutzt, die durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der betroffenen Personen führen können. Um die Betroffenen zu schützen, müssen vor Beginn der geplanten Datenverarbeitung die möglichen Folgen abgeschätzt und dokumentiert werden.

Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Prinzipiell muss eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn innerhalb einer Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Beispielhaft könnte dies nach Art. 35 Abs. 3 DSGVO bei einer systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche der Fall sein. Im Vergleich zu der früheren Vorabkontrolle, kann es bei der Datenschutz-Folgenabschätzung zu größeren Anwendungsbereichen kommen.

Um Unklarheiten zu beseitigen, wird nach Art. 35 Abs. 4 DSGVO von den Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellt, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese von der Datenschutzkonferenz (DSK) veröffentlichte Liste wird oft als Muss-Liste oder Blacklist bezeichnet.

Muss-Liste / Blacklist

Neben dieser bundesweiten Muss-Liste der DSK, gibt es weitere Blacklists der diversen Aufsichtsbehörden der Länder:

Zudem ist es nach Art. 35 Abs. 5 DSGVO den Aufsichtsbehörden erlaubt, eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzung notwendig ist.

Zur Hilfestellung gibt es u. a. folgende Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen:

  • Vertrauliche oder höchst persönliche Daten
  • Datenverarbeitung in großem Umfang
  • Systematische Überwachung
  • Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten oder Einstufen (Scoring)
  • Datenverarbeitung in großem Umfang

Grundsätzlich gilt, je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist eine Datenschutz-Folgenabschätzung notwendig. Aber auch bei nur einem vorhandenen Kriterium kann ein hohes Risiko bestehen.

Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung

Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, stellen Sie sich die folgenden Fragen:

  • Wird der durchzuführende Verarbeitungsvorgang auf der Muss-Liste genannt?
  • Handelt es sich um eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (gem. Art. 35 Abs. 3 DSGVO)?
  • Handelt es sich um eine umfangreiche Verarbeitung von personenbezogenen Daten gem. Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO?
  • Handelt es sich um eine systematische Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DSGVO)?
  • Besteht ein hohes Risiko (gem. Art. 35 Abs. 1 DSGVO)?

Bei einer Beantwortung mit „Nein“, muss keine Datenschutz-Folgenabschätzung durchgeführt werden.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.

Wie sieht die Durchführung einer Datenschutz-Folgenabschätzung aus?

Laut der Datenschutzverordnung muss die Durchführung einer Datenschutz-Folgenabschätzung mindestens diese fünf Schritte beinhalten:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke
  2. Beurteilung der Verhältnismäßigkeit und Notwendigkeit
  3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  4. Maßnahmen zur Bewältigung dieser Risiken
  5. Ergebnis

Außerdem soll nach Art. 35 Abs. 2 DSGVO bei der Durchführung stets der Rat des Datenschutzbeauftragten eingeholt werden, sofern ein solcher im Unternehmen benannt wurde.

Artikel der DSGVO zur Datenschutz-Folgenabschätzung:

  • Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • Vorherige Konsultation (Art. 36 DSGVO)
  • Aufgaben (Art. 57 DSGVO)

Datenschutz-Folgenabschätzung mit datenzeit – Sparen Sie Zeit & Nerven!

Die Erstellung einer Datenschutz-Folgenabschätzung erfordert ebenso wie die meisten Prozesse im Datenschutz Expertise, Erfahrung und viel Zeit. Wir von datenzeit unterstützen Sie bei sämtlichen Belangen rund um das Thema Datenschutz und geben Ihnen somit die Zeit zurück, die Sie für Ihre eigentlichen unternehmerischen Aufgaben benötigen. Melden Sie sich einfach telefonisch bei uns, schreiben Sie eine Mail oder nutzen Sie das Kontaktformular – wir beraten Sie gern und stehen Ihnen mit Rat und Tat zur Seite.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.