Risikofolgenabschätzung nach der Datenschutz-Grundverordnung

Folgenreich

Tobias Haar

Die Datenschutz-Folgenabschätzung nach der DSGVO ist eine Herausforderung für viele Unternehmen. Praxishilfen und Listen zu Fällen, in denen zwingend eine solche Abschätzung vorgenommen werden muss, können dabei nützlich sein.

Bei bestimmten Verarbeitungstätigkeiten hat der Gesetzgeber in der Datenschutz-Grundverordnung eine sogenannte Datenschutz-Folgenabschätzung vorgesehen. Sie soll das Risiko für eine Bedrohung der Rechte und Freiheiten natürlicher Personen durch die Verarbeitung ihrer personenbezogenen Daten abschätzen.

Neben zahlreichen weiteren verfügbaren Hilfsmitteln hat nun die Datenschutzkonferenz eine Liste mit den für eine solche Abschätzung relevanten Verarbeitungstätigkeiten und -bereichen veröffentlicht.

Im Zweifelsfall sollte lieber eine Abschätzung zu viel als zu wenig erfolgen, denn die Aufsichtsbehörden verfügen über ein breites Instrumentarium an Sanktionsmöglichkeiten – und im Ernstfall haftet die Geschäftsführung.

Seit Ende Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) wirksam. Mit ihr zusammen ist auch die Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. Es enthält Regelungen, bei denen die Verantwortlichen der DSGVO den einzelnen EU-Mitgliedstaaten bewusst einen Gestaltungsspielraum gelassen haben. Eine der zentralen Pflichten, mit denen sich Unternehmen im Rahmen der Verarbeitung personenbezogener Daten intensiv auseinandersetzen müssen, ist die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO. Insgesamt 11 Absätze legen die Vorgaben und auch die besondere Rolle der Aufsichtsbehörden für diesen Bereich fest.

Wie bei vielen Regelungen der DSGVO gab es eine ähnliche Pflicht bereits vor ihrem Wirksamwerden. § 4d Absatz 5 des BDSG, alte Fassung, regelte die sogenannte „Vorabkontrolle“. Bei der Datenschutz-Folgenabschätzung handelt es sich aber nicht nur um alten Wein in neuen Schläuchen, sondern die Pflichten des „Verantwortlichen“ wurden ausgeweitet und präzisiert.

Art. 35 Absatz 1 DSGVO lautet: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Es ist demnach eine sogenannte „Schwellwertanalyse“ erforderlich. Entscheidend ist, ob für die Betroffenen ein „hohes Risiko“ durch die Verarbeitung ihrer personenbezogenen Daten besteht. Soweit es beim Verantwortlichen einen Datenschutzbeauftragten gibt, muss dessen Rat bei der Durchführung der Datenschutz-Folgenabschätzung eingeholt werden (Art. 35 Abs. 2 DSGVO).

Profiling birgt hohe Risiken

Absatz 3 von Art. 35 DSGVO führt abstrakte Fälle auf, in denen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Etwa bei einer „systematische[n] und umfassende[n] Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“.

Die beiden weiteren aufgeführten Fälle betreffen die „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten […] oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten […]“ und die „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“. Für die Frage nach dem Inhalt und Umfang einer Datenschutz-Folgenabschätzung gilt Art. 35 Abs. 7 DSGVO. Er legt vier notwendige Inhalte fest, die enthalten sein müssen:

1. „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen“,

2. „eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“,

3. „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen […]“ und

4. „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.

Eine gute Zusammenstellung der einzelnen Schritte zur Durchführung einer Datenschutz-Folgenabschätzung mit Vorschlägen zum methodischen Vorgehen enthält das „Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DSGVO“ der Datenschutzkonferenz, also des Zusammenschlusses der unabhängigen Datenschutzbehörden des Bundes und der Länder, von Juli 2017 (es ist über ix.de/ix1809046 zu finden).

Dort heißt es auch in Bezug auf die Pflicht zur regelmäßigen Überprüfung, dass eine Datenschutz-Folgenabschätzung „[…] kein strikt linearer oder abgeschlossener Prozess [ist]. Vielmehr muss die Einhaltung der DSGVO während der gesamten Dauer der Verarbeitungsvorgänge fortlaufend überwacht werden. Hierfür bietet sich ein Datenschutz-Managementsystem an. Spätestens wenn sich das mit der Verarbeitung verbundene Risiko ändert, muss erneut eine DSFA durchgeführt werden.“