Schlagwort: Datenschutzfolgenabschätzung

Datenschutz-Folgenabschätzung bei Einführung einer internen Meldestelle

28. August 2023

Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.

Datenschutzrechtliche Herausforderungen

Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Schwellenwertanalyse und Anwendungsfälle

Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.

In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.

Europäischer Datenschutzausschuss und hohe Risiken

Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.

Fazit

Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.

Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

Videoüberwachung in Chemnitz

11. Oktober 2018

Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.

Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.

Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 1)

7. Juli 2017

Der heutige Beitrag der “Themenreihe DSGVO” befasst sich in einem ersten Teil mit den datenschutzrechtlichen Anforderungen die die Datenschutzgrundverordnung an die Unternehmen stellt.

Zweck des Datenschutzes ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang. Gerade im Unternehmen gibt es eine Vielzahl verschiedener Schnittstellen, an denen es zu einer Verarbeitung von personenbezogenen Daten kommt. Exemplarisch zu nennen sind hier insbesondere die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden. Auch hinsichtlich dieser Daten hat die DSGVO verschiedene Regelungen aufgestellt, die zu beachten sind und die Rechte der Betroffenen in einem ausreichenden Maße schützen sollen. Die Einhaltung dieser Anforderungen ist nicht zuletzt auf Grund der empfindlichen Bußgelder, die bei Verstoß gegen die DSGVO vorgesehen sind, essentiell.

Im Folgenden wird auf verschiedene Regelungen der DSGVO eingegangen, die zum Teil bereits heute, nach der aktuell gültigen Rechtsordnung, insbesondere des BDSG, bestehen und von den Unternehmen zu beachten sind.

I. Auftragsdatenverarbeitung, Art. 28 ff.

Gerade im Unternehmen trifft man häufig auf die Konstellation der sog. Auftragdatenverarbeitung. Diese ist bereits heute im § 11 BDSG geregelt und betrifft solche Verarbeitungen personenbezogener Daten, die nicht von der verantwortlichen Stelle selber, sondern von einem Auftragsdatenverarbeiter vorgenommen werden. In einem Unternehmen kommt es zu einer Auftragsdatenverarbeitung vor allem dann, wenn die Verarbeitungstätigkeit an einen externen Diensleister outgesourced wird, der Auftraggeber der Datenverarbeitung, also das outsourcende Unternehmen aber weiterhin über die Verarbeitung der Daten, per Weisungsrecht, entscheidet. Klassische Fälle des Outsourcings finden sich in der Verarbeitungstätigkeit von externen Dienstleistern, die die Gehalts- und Lohnabrechnungen für Unternehmen übernehmen oder Hostingmöglichkeiten anbieten, die die personenbezogenen Daten, die im Unternhemen verarbeitet werden in eigenen Rechenzentren speichern.

Die rechtlichen Aspekte regelt bisher allen voran der § 11 BDSG. Auch die DSGVO enthält mit Art. 28 DSGVO eine Vorschrift zur Auftragsdatenverarbeitung. Beide Regelungen ähneln sich inhaltlich, sodass die Auswirkungen des Inkrafttretens der DSGVO hinsichtlich der Regelungen zur Auftragsdatenverarbeitung eher gering ausfallen. Vor allem trifft dies im Vergleich zu anderen Regelungen, die durch DSGVO gänzlich neu hinzukommen, zu.

Mit der Übermittlung von Daten geht das Risiko für den Betroffenen einher, dass seine Rechte nicht ausreichend geschützt sind. Art. 28 DSGVO knüpft die Zulässigkeit einer Auftragsdatenverarbeitung daher an strenge Voraussetzungen. Eine zentrale Anforderung ist die klare Zuteilung von Verantwortlichkeiten. Gleichzeitig soll eine Auftragsdatenverarbeitung aufgrund ihrer wirtschaftlichen Vorteile nicht gänzlich unmöglich gemacht werden. Art. 28 DSGVO zielt daher darauf ab, die Interessen von Datenverarbeitern und den von der Verarbeitung Betroffenen im Wege der praktischen Konkordanz in einen gerechten Ausgleich zu bringen.

1. Anforderungen an die Auftragsdatenverarbeitung

Nach § 11 BDSG ist für eine rechtskonforme Auftragsdatenverarbeitung ein schriftlicher Vertrag erforderlich. Am Erfordernis einer vertraglichen Regelungen der Auftragsdatenverarbeitung ändert sich auch mit Inkrafttreten des Art. 28 DSGVO nichts, allerdings muss diese nicht mehr ausschließlich schriftlich vorliegen sondern kann auch in einem elektronischen Format abgeschlossen werden. Auch die Anforderungen, die ein Auftragsdatenverarbeitungsvertrag inhaltlich nach der DSGVO erfüllen muss, orientieren sich zum Größteil an denen des bisherigen § 11 BDSG. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungpflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

2. Wer ist für die Datenverarbeitung verantwortlich? Wer haftet?

Wie bisher wird auch künftig der Auftraggeber bzw. der für die Verarbeitung Verantwortliche und nicht der Auftragsdatenverarbeiter sein. Er ist sowohl der erste Ansprechpartner für die Betroffenen, als auch für die rechtskonforme Ausgestaltung der Auftragsdatenverarbeitung veranwortlich. Die Auftragsdatenverarbeitung im Sinne des Art. 28 DSGVO ist dabei, von der gesetzlich in Art. 26 DSGVO geregelten Konstellation, der sog. “Joint Control” zu unterscheiden. Bei der Joint Control regeln zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten gleichberechtigt und transparent. In einem solchen Fall kann der Betroffene seine Rechte gegen jeden Verantwortlichen geltend machen.

Die Frage nach der Haftung im Schadensfall wird hingegen neu geregelt. Wo nach der bisherigen Regelung im BDSG ausschließlich der Auftraggeber dem Betroffenen gegenüber haftet, sieht die DSGVO schärfere Haftungsregeln, insbesondere für Auftragsverarbeiter vor. So haften nach der DSGVO grundsätzlich der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeitet gemeinsam. Dabei beschränkt sich die Haftung des Auftragsverarbeiters allerdings auf Verstöße gegen die speziell ihm auferlegeten Pflichten.  Beiden Parteien steht zudem die Möglichkeit der Exkulpation zur Verfügung. Damit können sie einer Haftung entgehen, wenn sie nachweisen können, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

3. Pflichten des Auftraggebers/Pflichten des Auftragnehmers

Da die DSGVO die rechtliche Ausgestaltung der Pflichten des Auftraggebers die derzeitigen Regelungsgrundsätze des BDSG nahezu vollständig übernommen hat, gibt es hierzu keine Neuerungen, die beachtet werden müssen.

Dies gilt jedoch nicht für die Pflichten des Auftragnehmers. Nach Art. 30 Abs. 2 DSGVO müssen ab Mai 2018 auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den Verantwortlichen durchführen. Bislang musste ein solches Verzeichnis nur von Auftraggebern geführt werden.

4. Mögliche Sanktionen

Erfüllt eine Auftragsdatenverarbeitung nicht die gesetzlichen Anforderungen drohen dem Auftraggeber und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

II. Meldung von Datenpannen in der DSGVO, Art. 33, 34 DSGVO

Ein Unternehmen verstößt gegen den Datenschutz, wenn es zu sog. Datenpannen (engl. Data Breaches) kommt. Darunter sind Verstöße zu verstehen, bei denen Unberechtigten personenbezogene Daten bekannt werden. Dabei ist es irrelevant, ob die Kenntnis vermutlich oder erwiesenermaßen vorliegt und aus welchem Grund es zu der Datenpanne gekommen ist. So kann sie aus einem Hackerangriff, dem Diebstahl eines Smartphones oder der unbefugten Weitergabe durch Mitarbeiter resultieren.

Unter der Datenschutzgrundverordnung, die ab Mai 2018 Geltung haben wird und von den Unternehmen beachtet werden muss, wird das Vorgehen im Falle einer Datenpannen in zwei Vorschriften geregelt. Dabei regelt Art. 33 DSGVO die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen betrifft.

1. Meldepflicht an die Aufsichtsbehörde, Art. 33 DSGVO

Nach dem Wortlaut des Art. 33 DSGVO ist die Aufsichtsbehörde immer dann zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Wie oben dargelegt, liegt eine solche Verletzung nach Art. 4 Nr. 12 DSGVO auch stets bei Datenpannen vor.

Im Vergleich zum aktuell noch geltenden § 42a BDSG, der die Meldepflicht bei Datenpannen bisher regelt, gilt die Pflicht zur Meldung nicht nur bei Datenpannen hinsichtlich bestimmter “sensibler” personenbezogener Daten, wie etwa Gesundheits- oder Bankdaten, sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen muss, wenn “die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.” Es ist also eine Risikoabwägung durchzuführen. Welche Erwägungen bei der Risikoabwägungen miteinzubeziehen sind, nennt der Erwägungsgrund 75 DSGVO.

Führt die Risikoabwägung zu dem Ergebnis, dass eine Meldepflicht besteht, so ist die Aufsichtsbehörde unverzüglich zu informieren. Als Richtwert für die Unverüglichkeit der Meldung bestimmt Art. 33 DSGVO eine 72 Stunden-Frist nach Bekanntwerden der Datenpanne.

Nach Art. 33 Abs. 5 DSGVO muss der Verantwortliche bezüglich der sog. Data Breach Notification Dokumentationspflichten erfüllen und alle Verletzungen des Schutzes personenbezogener Daten, einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen dokumentieren.

2. Meldepflicht an die Betroffenen, Art. 34 DSGVO

Gelangt man an Hand der Risikoabwägung zu dem Ergebnis, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind gemäß Art. 34 DSGVO auch die Betroffenen zu informieren.

Art. 34 Abs. 3 DSGVO nennt allerdings Ausnahmen, bei denen die Meldepflicht an die Betroffenen entfällt. Dies ist dann der Fall, wenn

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

3. Inhalt der Meldung

Sowohl Art. 33 als auch Art. 34 DSGVO nennt die formalen Anforderungen, die eine Meldung an die Aufsichtsbehörde bzw. an die Betroffenen, erfüllen muss. Inhalte, die die Meldung an die Aufsichtsbehörde und die Betroffenen gleichermaßen enthalten sollen, sind folgende:

  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzubng des Schutzes personenbezogener Daten und gegebenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Meldung an die Aufsichtsbehörde muss zusätzlich

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

enthalten.

4. Sanktionen

Kommt ein Unternehmen seiner Meldepflicht nicht nach, so stellt auch dies einen Verstoß gegen den Datenschutz dar und Aufsichtsbehörden können den Verantwortlichen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes sanktionieren.

III. Datenschutzfolgenabschätzung, Art. 35 DSGVO

Ein gänzlich neues Instrument der Datenschutzgrundverordnung wird ab Mai 2018 die sog. Datenschutzfolgenabschätzung sein. Diese ist in Art. 35 DSGVO normiert und ist grundsätzlich nicht anderes als die im nationalen Datenschutzrecht schon bekannte und praktizierte Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG. Sie dient daher der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Vergleich zur Vorabkontrolle ist der Umfang einer solchen Folgenabschätzung aber deutlich größer.

Die Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann vorzunehmen, wenn Datenverarbeitungen ein hohes Risiko für die Freiheitsrechte bergen. Dies ist insbesondere der Fall beim Einsatz neuer Technologien und der Verarbeitung großer Datenmengen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Aufgrund des offenen Tatbestandes des Absatzes 1 ist im weiteren Verlauf noch eine Konkretisierung durch die Aufsichtsbehörde nötig, die Klarheit bezüglich der Frage schafft, wann der Tatbestand genau erfüllt ist und eine Folgenabschätzung zu erfolgen hat.

1. Anforderungen an die Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DSGVO

Der Inhalt einer solchen Datenschutzfolgenabschätzung ist in Art. 35 Abs. 7 DSGVO näher umschrieben. Die Folgenabschätzung muss daher folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnun getragen werden soll.

Ist ein Datenschutzbeauftragter für das Unternehmen tätig, so ist gemäß Art. 35 Abs. 2 DSGVO stets sein Rat einzuholen.

2. Ausnahmen von der Pflicht zur Datenschutzfolgenabschätzung, Art. 35 Abs. 10 DSGVO

Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedsstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.

3. Folgen einer Datenschutzfolgenabschätzung

Ergibt sich bei der Datenschutzfolgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrundes 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig.

Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von 8 Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.

 

Das Thema der nächsten Woche ist der 2. Teil des Bereichs Datenschutzes im Unternehmen