Datenschutz-Folgenabschätzung – Begriffserklärung und Durchführung im Überblick

Eine Datenschutz-Folgenabschätzung wird zur Beschreibung, Bewertung und Eindämmung von Risiken genutzt, die durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der betroffenen Personen führen können. Um die Betroffenen zu schützen, müssen vor Beginn der geplanten Datenverarbeitung die möglichen Folgen abgeschätzt und dokumentiert werden.

Prinzipiell muss eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn innerhalb einer Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Beispielhaft könnte dies nach Art. 35 Abs. 3 DSGVO bei einer systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche der Fall sein. Im Vergleich zu der früheren Vorabkontrolle, kann es bei der Datenschutz-Folgenabschätzung zu größeren Anwendungsbereichen kommen.

Um Unklarheiten zu beseitigen, wird nach Art. 35 Abs. 4 DSGVO von den Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellt, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese von der Datenschutzkonferenz (DSK) veröffentlichte Liste wird oft als Muss-Liste oder Blacklist bezeichnet.

Neben dieser bundesweiten Muss-Liste der DSK, gibt es weitere Blacklists der diversen Aufsichtsbehörden der Länder:

• Blacklist Baden-Württemberg (nicht-öffentlicher Bereich)
• Blacklist Bayern (öffentlicher Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Berlin (öffentlicher Bereich, nicht-öffentlicher Bereich)
• Blacklist Brandenburg (öffentlicher und nicht-öffentlicher Bereich), sowie Ergänzung für öffentlichen Bereich
• Blacklist Bremen (öffentlicher Bereich, nicht-öffentlicher Bereich)
• Blacklist Hamburg (öffentlicher Bereich, nicht-öffentlicher Bereich)
• Blacklist Hessen (öffentlicher und nicht-öffentlicher Bereich), dennoch Verweis auf Liste der DSK
• Blacklist Mecklenburg-Vorpommern (öffentlicher Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Niedersachsen (öffentlicher Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Nordrhein-Westfalen (Liste für den öffentlichen Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Rheinland-Pfalz (öffentlicher Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Saarland (keine eigene Liste, Verweis auf die Liste der DSK)
• Blacklist Sachsen (öffentlicher und nicht-öffentlicher Bereich), sowie eine Erläuterung
• Blacklist Sachsen-Anhalt (öffentlicher Bereich), Verweis auf Liste der DSK für nicht-öffentlichen Bereich
• Blacklist Schleswig-Holstein (keine eigene Liste, Verweis auf Liste der DSK)
• Blacklist Thüringen (öffentlicher und nicht-öffentlicher Bereich)
• Blacklist des Bundesdatenschutzbeauftragten für öffentliche Stellen des Bundes

Zudem ist es nach Art. 35 Abs. 5 DSGVO den Aufsichtsbehörden erlaubt, eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzung notwendig ist.

Zur Hilfestellung gibt es u. a. folgende Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen:

• Vertrauliche oder höchst persönliche Daten
• Datenverarbeitung in großem Umfang
• Systematische Überwachung
• Anwendung neuer technologischer oder organisatorischer Lösungen
• Bewerten oder Einstufen (Scoring)
• Datenverarbeitung in großem Umfang

Grundsätzlich gilt, je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist eine Datenschutz-Folgenabschätzung notwendig. Aber auch bei nur einem vorhandenen Kriterium kann ein hohes Risiko bestehen.

Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, stellen Sie sich die folgenden Fragen:

• Wird der durchzuführende Verarbeitungsvorgang auf der Muss-Liste genannt?
• Handelt es sich um eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (gem. Art. 35 Abs. 3 DSGVO)?
• Handelt es sich um eine umfangreiche Verarbeitung von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO?
• Handelt es sich um eine systematische Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DSGVO)?
• Besteht ein hohes Risiko (gem. Art. 35 Abs. 1 DSGVO)?

Bei einer Beantwortung mit „Nein“, muss keine Datenschutz-Folgenabschätzung durchgeführt werden.

Laut der Datenschutzverordnung muss die Durchführung einer Datenschutz-Folgenabschätzung mindestens diese fünf Schritte beinhalten:

1. Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke
2. Beurteilung der Verhältnismäßigkeit und Notwendigkeit
3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
4. Maßnahmen zur Bewältigung dieser Risiken
5. Ergebnis

Außerdem soll nach Art. 35 Abs. 2 DSGVO bei der Durchführung stets der Rat des Datenschutzbeauftragten eingeholt werden, sofern ein solcher im Unternehmen benannt wurde.

Die Erstellung einer Datenschutz-Folgenabschätzung erfordert ebenso wie die meisten Prozesse im Datenschutz Expertise, Erfahrung und viel Zeit. Wir von datenzeit unterstützen Sie bei sämtlichen Belangen rund um das Thema Datenschutz und geben Ihnen somit die Zeit zurück, die Sie für Ihre eigentlichen unternehmerischen Aufgaben benötigen. Melden Sie sich einfach telefonisch bei uns, schreiben Sie eine Mail oder nutzen Sie das Kontaktformular – wir beraten Sie gern und stehen Ihnen mit Rat und Tat zur Seite.