Datenschutz-Folgenabschätzung löst Vorabkontrolle ab

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft und mit ihr die Neufassung des Bundesdatenschutzgesetztes (BDSG). Dazu gehört auch das neue Instrument der Datenschutz-Folgenabschätzung (DSFA), das Datenschutzbeauftragte in Zukunft mehr fordern wird.

Vorabkontrolle & Datenschutz-Folgenabschätzung

Eine ähnliche Pflichtmaßnahme bestand bereits in der alten Fassung des BDSG (§ 4d Abs. 5) in Form der „Vorabkontrolle“. Im Falle der Verarbeitung von sensiblen Daten nach § 3 Abs. 9 BDSG prüfte der Datenschutzbeauftragte Risiken und Folgen für die Rechte des Betroffenen, dessen Daten verarbeitet wurden. Nach der Prüfung des Vorgangs nimmt der Datenschutzbeauftragte Stellung zur Rechtmäßigkeit der Verarbeitung.

Die DSFA erweitert und präzisiert diese Maßnahmen nun in insgesamt 11 Absätzen und nimmt damit Unternehmen stärker in die Pflicht, die personenbezogene Daten verarbeiten. 

Wann wird eine DSFA benötigt?

 Art. 35 Abs. 1 DSGVO beschreibt die Indikation wie folgt:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Entscheidend ist also, ob durch die Verarbeitung seiner Daten ein „hohes Risiko“ für den Betroffenen entsteht. Gibt es im Unternehmen einen Datenschutzbeauftragten, ist er bei der Durchführung der Datenschutz-Folgeabschätzung hinzuzuziehen (Art. 35 Abs. 2 DSGVO).

Nach Art. 35 Abs. 3 DSGVO besteht dieses Risiko zum Beispiel bei systematischer Bewertung personenbezogener Daten und „automatisierte[r] Verarbeitung einschließlich Profiling“ und umfangreicher Verarbeitung einzelner Kategorien personenbezogener Daten, strafrechtlich relevante Informationen, sowie Überwachung öffentlicher Orte. 

In ihrem „Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DSGVO“ empfiehlt die Datenschutzkonferenz die Datenschutz-Folgenabschätzung nicht als linearen oder abgeschlossenen Prozess zu sehen, sondern die Verarbeitungsprozesse stets auf Einhaltung der EU-Datenschutzverordnung hin zu überprüfen.

Inhalt & Umfang einer DSFA

 Laut Art. 35 Abs. 7 DSGVO muss eine DSFA folgende vier verpflichtende Inhaltspunkte umfassen:

  1. „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen“
  2. „eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“
  3. „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen […]“ und
  4. „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.

Als externer Datenschutzbeauftragter übernehmen wir für Sie natürlich auch die Prozesse rund um die Datenschutz-Folgenabschätzung. Kontaktieren Sie uns noch heute für ein unverbindliches Angebot!