Regula Heinzelmann

Zusammenfassung

 
Überblick

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 EU-Datenschutz-Grundverordnung (DSGVO) notwendig, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das gilt insbesondere bei Verwendung neuer Technologien. Kriterien sind auch die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Der Verantwortliche holt bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten ein, sofern es im Unternehmen einen solchen gibt.

 
Gesetze, Vorschriften und Rechtsprechung

Art. 35 DSGVO, § 38 BDSG neu

1 Elemente der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung, abgekürzt DSFA, muss bestimmte Elemente enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Dazu gehören auch Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird. Dabei sind die Rechte und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener zu berücksichtigen.

Der Verantwortliche (Unternehmer, Geschäftsführer oder ein von ihm Beauftrager) holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. Bei Änderungen von Verarbeitungsvorgängen führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der DSFA durchgeführt wird.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen vorgeschrieben::

  • Bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
  • Bei umfangreicher Verarbeitung besonderer Kategorien von sensiblen Daten, wie Gesundheitsdaten, politische Einstellung oder geschlechtliche Orientierung (Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO).
  • Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Die Mitgliedstaaten können aber auch für weitere Fälle eine Folgenabschätzung anordnen.

2 Vergleich zum Bundesdatenschutzgesetz in bisheriger zu zukünftiger Fassung

Die DSFA entspricht teilweise der im aktuell gültigen Bundesdatenschutzgesetz (BDSG) schon verankerten Vorabkontrolle (§ 4d Abs. 5 BDSG). Darin ist vorgeschrieben, dass automatisierte Verarbeitungen mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen einer Vorabkontrolle zu unterziehen sind. Diese ist insbesondere durchzuführen, wenn sensible Daten verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, zu bewerten. In der Datenschutzgrundverordnung werden die Anforderungen allerdings genauer definiert als im alten BDSG.

 
Wichtig

§ 35 BSDG neu

Im neuen BDSG gibt es eine ergänzende Vorschrift zur DSFA. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen (§ 38 BDSG neu).

3 Funktion der Aufsichtsbehörden

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese (Art. 35 Abs. 6 DSGVO). Die Aufsichtsbehörde kann zusätzlich eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss.

In der DSGVO Art. 56 DSGVO wurde neu geregelt, dass nur noch eine Aufsichtsbehörde für Unternehmen zuständig ist, nämlich die Aufsichtsbehörde für die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder des Auftragsverarbeiters, auch "One-Stop-Shop"-Prinzip genannt.

Der Verantwortliche konsultiert vor der Datenverarbeitung die Aufsichtsbehörde, wenn aus einer Datenschut...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge