Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich rechtskonform für die Datenschutzgrundverordnung im Mai 2018 aufzustellen. Teil 10 hat die Voraussetzungen der Datenschutz-Folgenabschätzung zum zentralen Thema.
ENTHALTENE ASPEKTE
Die Datenschutz-Folgenabschätzung (DSFA) soll gem. Art. 35 DS-GVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen. Sie ersetzt die bisherige Vorabkontrolle nach § 4d Abs. 5 BDSG a.F., wobei beide Instrumente nicht in allen Teilen vollständig deckungsgleich sind. Enthalten sind nach Art. 35 Abs. 7 DS-GVO zumindest folgende Aspekte:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen (lit. a);
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (lit. b);
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 (lit. c) und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird (lit d). Die vorliegende Praxishilfe widmet sich zunächst der vorgelagerten Frage, unter welchen Voraussetzungen und zu welchem Zeitpunkt eine DSFA durchzuführen ist.
TATBESTAND
Schon nach dem BDSG war es erforderlich, in bestimmten Fällen eine Vorabkontrolle durchzuführen, nämlich dann, wenn sich aus der automatisierten Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergeben (§ 4d Abs. 5 BDSG a.F.). Als Beispiele nennt das BDSG die Verarbeitung besonderer Arten personenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Bewer- tung einer Person. Ähnlich formuliert es Art. 35 DS- GVO, ohne jedoch ausdrücklich zu definieren, wann eine Verarbeitung ein hohes Risiko für den Betroffenen zur Folge hat. Allerdings werden in Abs. 3 Anwendungsfälle aufgeführt, die im Wesentlichen den bisherigen Beispielen des BDSG entsprechen. Ergänzt werden diese Anwendungsfälle durch die Erwägungsgründe 89 bis 91, die zusätzlich auf den Umfang der Verarbeitung und den Einsatz neuer Technologien abstellen. Die Praxishilfe liefert hierzu Anwendungsfälle und Beispiele.
PRÜFUNGSSCHEMA
Beim Verantwortlichen muss jederzeit klar sein, wie mit neuen oder geänderten Verfahren umzugehen ist. Insbesondere ist bei neuen oder geänderten Verfahren sicherzustellen, dass jemandem die Entscheidung obliegt, ob eine DSFA durchzuführen ist. Nach der Vorstellung des Verordnungsgebers trifft diese Entscheidung der Verantwortliche, während der DSB hierbei berät (vgl. Art. 35 Abs. 2 & Art. 39 Abs. 1 lit c DS-GVO). Auslösendes Ereignis für die Prüfung ist das Bekanntwerden oder die Bekanntgabe einer Neuerung, z.B. im Rahmen eines Projektantrages oder im Austausch zwischen Fachbereich und DSB
Erster Schritt: Rechtmäßigkeit
- Findet sich ein Erlaubnistatbestand für die geplante Verarbeitung? Wenn nein: Prüfung beendet.
Zweiter Schritt: Pflicht zur DSFA
- Ist die Verarbeitung gewhitelistet gem. Art. 35 Abs. 5 DS-GVO? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Liegt bereits eine vorweggenommene Folgenabschätzung im Sinne des Art. 35 Abs. 10 DS-GVO vor und hat der Mitgliedsstaat keine darüber hinausgehende DSFA angeordnet? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Liegt bereits eine DSFA für einen ähnlichen Verarbeitungsvorgang mit ähnlich hohem Risiko im Sinne von Art. 35 Abs. 1 Satz 2 DS- GVO vor? –> Wenn ja: keine DSFA notwendig, Prüfung beendet.
- Ist die Verarbeitung geblacklistet gem. Art. 35 Abs. 4 DS-GVO? –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei
- Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?
- Ist eine der Fallgruppen des Art. 35 Abs. 3 litt. a bis c DS-GVO erfüllt? –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei.
- Ist ein sonstiges hohes Risiko im Sinne des Art. 35 Abs. 1 DS-GVO erkennbar? (Mögliche Anknüpfungspunkte: eigene Checkliste des DSB, eigene Checkliste des Fachbereichs, Checkliste nach WP 248 der Artikel-29-Gruppe.) –> Wenn ja: DSFA notwendig, weiter mit Schritt Drei
Dritter Schritt: Durchführung der DSFA
Die DSFA besteht zumindest aus den in Art. 35 Abs. 7 litt a bis d DS-GVO niedergelegten Punkten. Derzeit sind mehrere Modelle in der Diskussion, wie bei einer DSFA am besten vorzugehen sei. Entsprechende Links finden sich in der Praxishilfe.
EINZELFALL VS. STANDARDVERFAHREN
NACHTRÄGLICHE DSFA
Die Praxishilfe liefert aber auch Infos zu nachträglichen DSFA aufgrund von Risikoänderung, nachgeschobenen Blacklists usw. Aber insbesondere eben auch für Altverfahren. Die Artikel-29-Datenschutzgruppe geht im kürzlich überarbeiteten WP 248 davon aus, dass die DSFA auch für bestehende Verarbeitungen durchzuführen ist, soweit ein hohes Risiko für die Betroffenen besteht. Hiervon könne lediglich abgewichen werden, wenn eine Vorabkontrolle nach altem Recht durchgeführt worden sei und sich die die Umstände seitdem nicht verändert hätten. Die Auffassung der Artikel-29-Gruppe findet allerdings keine Stütze im Gesetz!
Nach dem Wortlaut des Art. 35 Abs. 1 DS-GVO soll die DSFA präventiv wirken. ErwGr 171 S. 1 DS-GVO sieht vor, dass laufende Verarbeitungsvorgänge materiellrechtlich mit der DS-GVO in Einklang gebracht werden, die DSFA hat jedoch eine reine Ordnungsfunktion.
Die Artikel-29-Gruppe berücksichtigt insb. nicht, dass nach § 4d Abs. 5 Satz 2, Hs. 2 BDSG a.F. befugtermaßen von einer Vorabkontrolle abgesehen werden durfte, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorlag oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich war.
Es wäre höchst widersprüchlich, wenn Verarbeitungsvorgänge, die nach altem Recht ordnungsgemäß implementiert wurden, seit Jahren beanstandungsfrei laufen und nach neuem Recht materiell vollkommen rechtmäßig sind, mangels nachträglicher DSFA plötzlich ein erhebliches Haftungsrisiko bedeuten würden. Verarbeitungen, die nach altem Datenschutzrecht aufgenommen worden sind und gleichbleibend fortgeführt werden, können daher nicht dem Art. 35 Abs. 1 DS-GVO unterliegen.
TÄTIGKEIT DES DATENSCHUTZBEAUFTRAGTEN BEI DER DSFA
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer DSFA unterliegen, haben sie gem. § 38 Abs. 1 Satz 2 BDSG-neu unabhängig von der Anzahl ihrer Beschäftigten einen DSB zu benennen. Welche Rolle hat nun der DSB bei der Durchführung einer DSFA?
Art 35 Abs. 2 DS-GVO ist recht eindeutig: „Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten […] ein.“ Art. 39 DS-GVO, der die Aufgaben des DSB beschreibt, wiederholt: „Dem DSB obliegen zumindest folgende Aufgaben: … c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung“. Damit scheint die Rollenverteilung klar. Der Verantwortliche führt die DSFA durch und der DSB berät und überwacht.
Dass es in der Praxis so nicht funktionieren kann, weiß zumindest jeder, der sich in der Vergangenheit mit dem Vorgängerprozess, der Vorabkontrolle, beschäftigt hat. Hier muss es ein Miteinander des für den Verarbeitungsvorgang Verantwortlichen und dem DSB geben, wobei allerdings die daten- schutzrechtliche Verantwortung zur ordnungsgemäßen Durchführung der DSFA gem. Art. 35 Abs. 1 DS-GVO bei der verantwortlichen Stelle liegt. Der Verantwortliche hat zunächst die Pflicht, den geplanten Verarbeitungsvorgang systematisch zu beschreiben. Für die Bewertungsphase, das heißt für die Einschätzung der Risiken, sollte er sich mit dem DSB beraten, bzw. ihn so früh wie möglich einbeziehen. Beide Funktionen sollten gemeinsam überlegen, welche Maßnahmen geeignet sind, die ermittelten Risiken einzudämmen.
Den Verantwortlichen mit diesen Aufgaben al- leine zu lassen, hieße ihn zu überfordern. Andererseits wäre es aber auch abwegig, die Durchführung einer DSFA insgesamt auf den DSB zu delegieren. Abgesehen davon, dass der DSB zwingend auf Informationen zu dem geplanten Verarbeitungsvorgang angewiesen wäre, bedeutete eine Aufgabendelegierung einen Interessenkonflikt. Denn ein DSB kann seine gesetzliche Überwachungspflicht nicht interessenfrei wahrnehmen bei einer DSFA, die er selbst und alleine durchgeführt hat. Zudem würde eine Delegierung der Durchführung der DSFA auf den DSB der gesetzlich in Art. 35 Abs. 1 DS-GVO festgelegten Rollenverteilung widersprechen, die insoweit dem Verantwortlichen als Aufgabe auf- erlegt ist. Mit Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO die jeweilige natürliche oder juristische Person gemeint, die über die Zwecke und Mitte der Verarbeitung von personenbezogenen Daten entscheidet. Das kann nicht der DSB sein, dessen Aufgaben in Art. 39 DS-GVO klar umrissen sind. Hier sind also Verantwortlicher und DSB aufgerufen, in einer abgestimmten und kooperativen Vorgehens- weise den Prozess der DSFA zu beginnen und iterativ durchzuführen. Dabei sind gegebenenfalls und idealerweise auch die Meinungen der betroffenen Personen oder ihrer Vertreter, z. B. Gremien der Mitbestimmung, einzuholen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz