Datenschutz-Folgenabschätzung

Risikoanalyse von Datenverarbeitungsvorgängen
Stand: März 2018

I. Was ist die Datenschutz-Folgenabschätzung (DSFA)?

  1. Was ist die Datenschutz-Folgenabschätzung (DSFA)?
    1. Wann muss ich eine DSFA durchführen?
    2. Wie führe ich die DSFA durch?
  2. Fazit
  3. Unser Leistungsangebot

Ähnlich der bisher im deutschen Datenschutzrecht schon bekannten Vorabkontrolle nach § 4d Abs. 5 BDSG, sollen ab dem 25.05.2018 auf der Grundlage einer Risikoanalyse die Folgen der Datenverarbeitung abgeschätzt werden. Die Nachfolgeregelung ist die Datenschutz-Folgenabschätzung nach Art 35. DSGVO. Die Datenschutz-Grundverordnung (DSGVO) sieht für die Verarbeitung personenbezogener Daten vor, durch geeignete Abhilfemaßnahmen die Rechte der betroffenen Personen vor risikobehafteten Datenverarbeitungsvorgängen zu wahren und andererseits die Verantwortlichen vor Verstößen gegen die Datenschutz-Grundverordnung und damit einhergehenden Kosten zu bewahren. Zukünftig sind Unternehmen zur Vornahme einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet. Unabhängig davon ob sie einen Datenschutzbeauftragten (DSB) bestellt haben oder nicht, wird eine umfassende Prüfung der beabsichtigten Datenverarbeitung vorzunehmen sein.

1. Wann muss ich eine DSFA durchführen?

Eine Erforderlichkeit ergibt sich aus Art. 35 Abs. 4 DSGVO. Demnach müssen die Aufsichtsbehörden im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Art. 35 Abs. 5 DSGVO enthält zudem eine Ermächtigung der Aufsichtsbehörden, bei denen explizit keine Datenschutz-Folgeabschätzungen durchgeführt werden müssen.

Darüber hinaus ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen, wenn „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge“ hat. Der DSFA vorangestellt ist die Schwellenwertanalyse, welche sich wie die DSFA auf einzelne, konkrete Verarbeitungsvorgänge bezieht und mittels der ermittelt wird, ob eine Datenverarbeitung grundsätzlich einem hohen Risiko unterliegt. Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken von Verarbeitungsvorgängen. Allgemein ergeben sich Risiken aus der Art, dem Umfang sowie den Umständen und dem Zweck der Datenverarbeitung.

Das Risiko sollte anhand einer objektiven Bewertung in Bezug auf Eintrittswahrscheinlichkeit zur Schadenshöhe beurteilt werden. Hierbei bietet sich die Verwendung der folgenden Grafik an:

  • Datenschutz-Folgenabschätzung

Die grünen Bereiche bedeuten ein geringes Risiko, die gelben und orangenen Bereiche ein mittleres Risiko, wohingegen die roten Bereiche für hohes Risiko und damit für die Pflicht zur Durchführung einer DSFA stehen.

Der Begriff des hohen Risikos ist noch unbestimmt, allerdings finden sich weitere Vorgaben in den Erwägungsgründen zu Artikel 35 DSGVO.

2. Wie führe ich die DSFA durch?

Eine DSFA ist vor der Aufnahme der zu betrachtenden Verarbeitungsvorgänge durchzuführen. Hierbei sei erwähnt, dass auch bereits bestehende Verarbeitungsvorgänge unter die Pflicht einer DSFA fallen. Die formellen Anforderungen an die Durchführung einer DSFA ergeben sich aus der DSGVO, speziell aus Art. 35 DSGVO sowie aus den Erwägungsgründen zu Art. 35 DSGVO.

Art. 35 Abs. 7 legt Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgeabschätzung fest.

Diese muss demnach Folgendes enthalten:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.

  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.

  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen der Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Laut dem zum 25.05.2018 in Kraft tretenden § 38 Abs. 1 BDSG wird zudem festgelegt, dass bei der Durchführung einer Datenschutz-Folgenabschätzung in Ausgestaltung zu Art. 35 Abs. 2 DSGVO stets ein Datenschutzbeauftragter zu bestellen ist.

Aber natürlich beschränkt sich die DSFA nicht nur auf die Bestimmung des IST-Zustandes eines bestehenden Risikos, sondern fordert vielmehr die technischen und organisatorischen Maßnahmen (TOMs) in derlei Weise anzupassen, dass das Risiko minimiert wird. Die Ergebnisse der Risikoanalyse und die zur Eindämmung des Risikos geeigneten Abhilfemaßnahmen (insbesondere TOMs) unterliegen zudem der Dokumentations- und Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO, durch welche die Einhaltung der DSGVO insgesamt nachgewiesen werden soll.

Können aus vertretbaren Gründen keine geeigneten Gegenmaßnahmen getroffen werden, ist nach Art. 36 DSGVO die zuständige Aufsichtsbehörde zu konsultieren, deren Aufgabe es nach der DSGVO unter anderem ist, die Datenschutz-Folgenabschätzung zu überwachen. Eine Verletzung dieser Konsultationspflicht könnte mit empfindlichen Geldbußen geahndet werden.

II. Fazit

Derzeit haben die Behörden die in Art. 35 Abs. 4 DSGVO erwähnten Listen von Verarbeitungsvorgängen noch nicht erstellt, womit nicht abschließend gesagt werden kann für welche Verarbeitungsvorgänge eine DSFA zwingend erforderlich ist. Die Datenschutz-Folgenabschätzung ist ein sinnvolles Instrument zur systematischen Risikoeindämmung und hilft die eigenen Prozesse bei der Verarbeitung personenbezogener Daten zu verbessern und wird gerade deshalb zukünftig eine wesentliche Rolle für Unternehmen der Energiewirtschaft einnehmen. Denn nur wer seine eigenen Verarbeitungsprozesse kennt, kann letztlich auch gezielt Maßnahmen ergreifen, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu gewährleisten. Die Unternehmen stehen insoweit vor der Herausforderung, die neuen datenschutzrechtlichen Herausforderungen in ihre betrieblichen Abläufe zu implementieren.

II. Unser Leistungsangebot

Wir unterstützen Sie bei der praktischen Umsetzung der neuen Herausforderungen der Datenschutzgrundverordnung. Dabei beraten wir Sie, welche technischen und organisatorischen Maßnahmen in welchem Detailgrad zu dokumentieren sind und legen bereits jetzt ein Team mit hinreichenden Zuständigkeiten fest. Wir bieten Ihnen eine Bestandsaufnahme Ihres derzeitigen Datenschutzes und beraten Sie über die Vorteile, Rechte und Pflichten eines internen oder externen Datenschutzbeauftragten und prüfen, ob eine Auslagerung des Datenschutzes und der IT-Sicherheit an einen externen Dienstleister in Ihrem Fall vorteilhaft ist.

Darüber hinaus sensibilisieren wir Ihre Mitarbeiter im Rahmen persönlicher Schulungen für die Themen Datenschutz und IT-Sicherheit.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.