Bei Verarbeitungstätigkeiten können Risiken für betroffene Personen enstehen. Diesen wir unter anderem durch die Aufrechterhaltung eines angemessenen Schutzniveaus Sorge getragen, in bestimmten Fällen ist aufgrund des voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen zusätzliche eine Datenschutzfolgenabschätzung zu erstellen. Hierbei ist es für die Abschätzung der Folgen mehrere vergleichbarer Verarbeitungsvorgänge (z.B. Profiling) ausreichend, dies an einem einzelnen Fall vorzunehmen.
Sofern ein solcher benannt wurde, muss der Rat eines betrieblichen Datenschutzbeauftragten eingeholt werden. Die Abschätzung selbst ist vor allem bei allen im Folgenden aufgeführten Verarbeitungstätigkeiten vorzunehmen, wobei dies nicht per se weitere Tätigkeiten ausschließt (vgl. Art. 35 Abs. 2 DS-GVO).
- Es wird eine systematische Bewertung persönlicher Aspekte (z.B. der Bonität) auf Basis automatisierter Verarbeitung einschließlich Profiling vorgenommen.
- Es wird eine Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO vorgenommen.
- Es werden Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet.
- Es erfolgt eine umfangreiche Überwachung öffentlicher Bereiche (z.B. in Form eine Videoüberwachung)
Welche Verarbeitungsvorgänge verpflichten zu einer Datenschutzfolgenabschätzung?
Die Datenschutz-Grundverordnung enthält keine Liste von Verarbeitungsvorgängen, die eine Folgenabschätzung zum Datenschutz erforderlich machen. Vielmehr ist der betriebliche Datenschutzbeauftragte mit ausreichend Fachkompetenz der richtige Ansprechpartner. Zusätzlich werden durch die Aufsichtsbehörden, bzw. durch die Datenschutzkonferenz der Länder (DSK) Listen mit bestimmten Verarbeitungsvorgängen erstellt.
Darüber hinaus können Aufsichtbehörden auch Positiv-Listen von Tätigkeiten erstellen, die nicht zu einer Datenschutzfolgenabschätzung verpflichten. Dies sind vor allem Tätigkeiten, die kein erhebliches Risiko für die Freiheiten und Rechte natürlicher Personen darstellen. Dies kann die Planung von Verarbeitungstätigkeiten erleichtern und Organisationen zusätzliche Sicherheit bieten.
Welche Inhalte benötigt eine Abschätzung zum Datenschutz?
Eine Folgenabschätzung sollten in jedem Fall die Zwecke und Vorgänge der Verarbeitung umfassend beschreiben. Hierzu gehört auch ein ggf. verfolgtes berechtigtes Interesse des Verantwortlichen beispielsweise bei einer Vorvertraglichen Prüfung eines Kunden oder Mieters auf dessen Bonität. Bereits vor Inkrafttreten der Datenschutz-Grundverordnung durften eine Bonitätsanfrage nur mit Einwilligung vorgenommen werden (oder wurde ausgeschlossen).
In regelmäßigen Abständen muss darüber hinaus die Aktualität einer Folgenabschätzung geprüft werden. Die Abschätzung selbst sollte neben der umfassende Beschreibung von Zwecken und Vorgängen der Verarbeitung mindestens folgende Punkte enthalten:
- Eine Bewertung der Verhältnismäßigkeit und der Notwendigkeit der Verarbeitungstätigkeiten
- Eine Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen
- Die geplanten Abhilfemaßnahmen zur Reduzierung des Risikos, einschließlich Garantien, Verfahren und Sicherheitsvorkehrungen (u.a. Pseudonymisierung)
- Verfahren zum Nachweis eines angemessenen Sicherheitsniveaus
- Verfahren zum Nachweis, dass die DS-GVO eingehalten und Rechte und Interessen aller Betroffenen Rechnung getragen wird
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics