Datenschutz, Datenschutz-Fo... / Vorbemerkung

Die Datenschutz-Folgenabschätzung (DSFA) soll dem Verantwortlichen dabei helfen, besondere Risiken für die Freiheiten und Rechte der betroffenen Personen, die bei einer Verarbeitung der personenbezogenen Daten entstehen können, zu erkennen und präventive Maßnahmen zur Minimierung des Risikos bzw. der Eintrittswahrscheinlichkeit zu treffen. Die DSFA selbst ersetzt nicht die Prüfung der datenschutzrechtlichen Zulässigkeit. Vielmehr knüpft die DSFA gedanklich an die Zulässigkeitsprüfung unmittelbar an und soll eine Hilfestellung geben, welche zusätzlichen Maßnahmen zur Risikominimierung infrage kommen.

Haben ähnliche Verarbeitungen ähnliche Risiken, so kann eine einzige DSFA zur Bewertung mehrerer Verarbeitungsvorgänge erstellt werden.

Wann ist eine DSFA durchzuführen?

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA durchzuführen, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, und zwar insbesondere dann, wenn neue Technologien verwendet werden.

Der Gesetzgeber führt 3 Beispiele an, bei denen eine DSFA insbesondere erforderlich ist:

  • Systematische und umfassende Bewertung persönlicher Aspekte, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen.
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 DSGVO.
  • Systematische Überwachung von öffentlich zugänglichen Räumen.

Diese 3 Beispiele dienen nur als Auslegungshilfe und verstehen sich nicht als abschließender Regelungskatalog. Auch wenn eine Verarbeitung sich nicht in die 3 Kategorien fassen lässt, kann eine DSFA dennoch nach Art. 35 Abs. 1 DSGVO erforderlich sein.

Zudem können die Aufsichtsbehörden eine Liste mit Verarbeitungstätigkeiten erstellen, für die eine DSFA ungeachtet der vorstehenden Kriterien zu erstellen ist.

Hinweis

Die Datenschutzkonferenz (DSK), als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, hat eine Liste mit Verarbeitungen veröffentlicht, bei denen zwingend eine DSFA durchzuführen ist (sogenannte "Muss-Liste", englisch "Blacklist"). Die Liste ist z. B. über folgenden Link abrufbar: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Zusätzlich zu den Angaben auf dieser "Muss-Liste" empfiehlt die DSK die Durchführung einer DSFA bei der Einführung einer Whistleblowing-Hotline.

Die nationalen "Muss-Listen" wurden dem Europäischen Datenschutzausschuss (EDSA) übermittelt. In einem Kohärenzverfahren soll der EDSA für eine Vereinheitlichung der "Muss-Listen" der Mitgliedsstaaten sorgen. Am Ende des Kohärenzverfahrens soll dann eine, in allen Mitgliedsstaaten gleichsam gültige, einheitliche "Muss-Liste" entstehen.

Was ist bei Erstellung der DSFA zu beachten?

Bei der Erstellung der DSFA ist der Rat des Datenschutzbeauftragten einzuholen (sofern ein solcher bestellt ist). Zudem ist gegebenenfalls der Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einzuholen. Aufgrund des gewählten Wortlauts ("gegebenenfalls") ist dies jedoch keine Pflicht. Allerdings kann es sinnvoll sein, Arbeitnehmer bzw. Interessenvertreter frühzeitig einzubinden, um etwaige Bedenken auffangen zu können. Bei Unternehmen mit Betriebsrat wird dieser nach § 87 Abs. 6 BetrVG ohnehin ein Mitbestimmungsrecht haben.

Kommt das Unternehmen in der DSFA zu dem Ergebnis, dass die Durchführung der Verarbeitung ein hohes Risiko birgt, so muss das Unternehmen die Aufsichtsbehörde konsultieren (vgl. hierzu Art. 36 DSGVO). Die Aufsichtsbehörde muss dann eine eigene Einschätzung der Verarbeitung durchführen und dem Unternehmen gegebenenfalls Empfehlungen geben, wie die Risiken der Verarbeitung minimiert werden können.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge