IT-Systeme / Anlage 1 - Datenschutzrechtliche Folgenabschätzung zur Betriebsvereinbarung "IT-Systeme" | Haufe Compliance Office Online | Compliance

Dr. Daniel Wall

Dokument in Textverarbeitung übernehmen

Der Arbeitgeber wird bei jeder Einführung eines IT-Systems folgende 7 Fragen beantworten:

Liegen die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vor?
Ein "Nein" auf diese Frage muss gründlicher anhand der gesetzlichen Kriterien begründet werden, als eine Bejahung der Frage.
Unter Geltung der DSGVO gehört es zu den Pflichten des Verantwortlichen, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.
Die Durchführung der Datenschutz-Folgenabschätzung dient dazu, in einem systematischen Vorgehen geplante Verarbeitungsvorgänge zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und zur Bewältigung dieser Risiken vorab Abhilfemaßnahmen festzulegen.
Zur Beantwortung der Frage 1 wird der Arbeitgeber zu folgenden Teilfragen mit einer Begründung Stellung nehmen.
Die Liste ist nicht abschließend. Wenn ein Verarbeitungsvorgang nicht auf der Liste aufgeführt ist, kann daraus nicht geschlossen werden, dass für diesen Verarbeitungsvorgang keine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist dann zu prüfen, in welcher Intensität die Prüfkriterien des Europäischen Datenschutzausschusses (s.u.) erfüllt sind.
- Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidungen herangezogen werden soll, die für natürliche Personen Rechtswirkungen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen könnte (z.B. personelle Auswahlprozesse)?^{^[1]}
- Beinhaltet der Verarbeitungsvorgang eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung?
- Werden in umfangreicher Art und Weise sensible Daten verarbeitet?^{^[2]}
- Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachungen)?
- Wird die Verarbeitungstätigkeit in der "black list" der Datenschutzbehörde angeführt?^{^[3]}
- Wird die Datenverarbeitung in der "white list" angeführt?^{^[4]}
- Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen?^{^[5]}
- Prüfkriterien des Europäischen Datenschutzausschuss zur Beurteilung, ob eine Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt (ist speziell beim letzten Aufzählungspunkt von besonderer Bedeutung).
Prüfkriterien des Europäischen Datenschutzausschusses
Die Einträge beruhen auf der Anwendung der entsprechenden Leitlinie der früheren sog. Art. 29-Gruppe. Die Leitlinie enthält folgende Kriterien:
- Vertrauliche oder höchst persönliche Daten ("Sensitive data or data of a highly personal nature")
- Daten zu schutzbedürftigen Betroffenen ("Data concerning vulnerable data subjects")
- Datenverarbeitung in großem Umfang ("Data processed on a large scale")
- Systematische Überwachung ("Systematic monitoring")
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen ("Innovative use or applying new technological or organisational solutions")
- Bewerten oder Einstufen (Scoring) ("Evaluation or scoring")
- Abgleichen oder Zusammenführen von Datensätzen ("Matching or combining datasets")
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung ("Automated-decision making with legal or similar significant effect")
- Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert ("When the processing in itself prevents data subjects from exercising a right or using a service or a contract")
Sind 2 dieser Kriterien erfüllt, ist in den meisten Fällen eine DSFA durchzuführen. Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine DSFA durchzuführen ist. Es ist aber auch möglich, dass ein hohes Risiko gegeben ist, wenn nur ein Kriterium erfüllt ist.
Welche personenbezogene Daten (z.B. Namen, Adressen, Kontaktdaten, sensible Daten) werden verarbeitet und welches ist die Rechtsgrundlage für die Datenverarbeitung?
Werden die in der Rahmenbetriebsvereinbarung IT-Systeme vereinbarten und die gegenwärtig gesetzlich geltenden datenschutzrechtlichen Prinzipien eingehalten?
Diese Frage ist anhand einer stichpunktartigen Stellungnahme zu folgenden Teilfragen zu beantworten:
- Wie erfüllt der Arbeitgeber die Informationspflichten?
- Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke?
- Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen?
- Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.B. in Bezug auf d...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen

Meistgelesene beiträge