Die Datenschutzgrundverordnung verfolgt einen sogenannten risikobasierten Ansatz. Das heißt, dass jede Datenverarbeitung von personenbezogenen Daten einer Risikoanalyse abhängig gemacht werden muss. Insbesondere müssen Risikoanalysen z. B. bei Verarbeitungen auf der Rechtsgrundlage der Interessenabwägung („Berechtigtes Interesse Art. 6 I f DSGVO) durchgeführt werden, um die erforderliche Abwägung durchzuführen. In der Regel sind diese Risikoanalysen oder auch Schwellwertanalysen pragmatisch durchgeführt.

Es kommt allerdings in vielen Fällen zu Verarbeitungen, bei denen eine weiterführende Beurteilung des Risikos erforderlich ist, z. B. aufgrund der Tatsache, dass der Verarbeitungsvorgang ein hohes Risiko aufweist bzw. aufweisen wird. In solchen Fällen ist es in der Regel ratsam bzw. notwendig eine sogenannte Datenschutzfolgenabschätzung (DSFA, eng: Privacy-Impact Assessment, PIA, DPIA) durchzuführen, um eine ausführliche Risikoanalyse zu unternehmen. Der Artikel 35 der DSGVO zeigt Fälle auf, bei denen eine DSFA stets erforderlich ist. Allerdings ist diese Auflistung nicht abschließend, sodass die Datenschutz-Aufsichtsbehörden bereits im Jahr 2018 eine sogenannte „Muss-Liste“ für Datenschutzfolgenabschätzungen veröffentlicht haben. Hier stellen die Aufsichtsbehörden fest, bei welchen Verarbeitungen Datenschutzfolgenabschätzungen durchzuführen sind. Ebenfalls gibt es seit 2017 das sogenannten Working Paper No. 248 (WP 248) der Artikel-29-Gruppe, in denen Kriterien, die eine DSFA notwendig machen, gelistet sind. Nach Datenschutzaufsichtsbehörde Niedersachsen besteht das Prüfschema wie folgt:

  1. Ist die Verarbeitung in der Muss-Liste der Aufsichtsbehörden enthalten?
  2. Wenn nein, weitere Prüfung: Erfüllt die Verarbeitung einen der in Art. 35 Abs. 3 DS-GVO genannten Tatbestände?
  3. Wenn nein, weitere Prüfung: Wie viele der Kriterien aus WP 248 werden durch die Verarbeitung erfüllt?

Bei einer Risikobewertung innerhalb der Datenschutzfolgenabschätzung bleibt es allerdings nicht. Mit der DSFA werden ebenfalls Abhilfemaßnahmen zur Eindämmung der Risiken der betroffenen Personen geplant und umgesetzt. Hierbei ist insbesondere auf technische und organisatorische Maßnahmen zurückzugreifen. Nach Implementierung der festgestellten Abhilfemaßnahmen verbleibt in der Regel ein Restrisiko, welches ebenfalls ermittelt und dokumentiert werden muss.

Eine Datenschutzfolgenabschätzung ist stets vor der Aufnahme der Verarbeitungen durchzuführen. Allerdings auch für bereits bestehende Verarbeitungen kann eine Datenschutzfolgenabschätzung notwendig sein. Sollte es im laufe der Zeit zu Änderungen im Verfahren oder zu veränderten Risiken kommen, ist stets auch die Datenschutzfolgenabschätzung zu aktualisieren.

Unterstützungen

Nach Art. 35 II DSGVO holt das Unternehmen bei der Durchführung einer Datenschutzfolgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern dieser ernannt wurde. Sind vom Unternehmen Auftragsverarbeiter für die Verarbeitung von personenbezogenen Daten beauftragt, müssen diese den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den bei der Einhaltung einer Datenschutzfolgenabschätzung unterstützen (Art. 28 III f DSGVO). Auch die Einbindung des Betriebsrats kann unter Umständen sinnvoll sein.

Muss-Liste der DSK

Gemäß der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sind typische Einsatzfelder, die eine Datenschutzfolgenabschätzung notwendig machen:

  • Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke
  • Früherkennung von Erbkrankheiten
  • Genetische Datenbanken zur Abstammungsforschung
  • Betrieb eines Insolvenzverzeichnisses
  • Träger von großen sozialen Einrichtungen
  • Große Anwaltssozietät
  • Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste
  • Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
  • Fraud-Prevention-Systeme
  • Scoring durch Auskunfteien, Banken oder Versicherungen
  • Fahrzeugdatenverarbeitung –Umgebungssensoren
  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen –Forderungsmanagement
  • Inkassodienstleistungen–Factoring
  • Einsatz von Data-Loss-Prevention-Systemen, die systematische Profile der Mitarbeiter erzeugen
  • Geolokalisierung von Beschäftigten
  • Betrieb von Dating- und Kontaktportalen
  • Betrieb von großen Sozialen Netzwerken
  • Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
  • Kundensupport mittels künstlicher Intelligenz
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
  • Telefongespräch-Auswertung mittels Algorithmen
  • Erfassung des Kaufverhaltens unter-schiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten
  • Anonymisierung von besonderen Arten personenbezogener Daten nach Artikel 9
  • Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
  • Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind
  • jede Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat

Art. 35 DSGVO

Gemäß Art. 35 III a bis c DSGVO ist eine Datenschutzfolgenabschätzung insbesondere in den folgen Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Working Paper 248

Sind mindestens zwei der untenstehenden Kriterien zutreffend, besteht ein hohes Risiko für die Freiheiten und Rechte betroffener Personen:

  • Vertrauliche oder höchst persönliche Daten
  • Daten zu schutzbedürftigen Betroffenen
  • Datenverarbeitung in großem Umfang
  • Systematische Überwachung
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten oder Einstufen (Scoring)
  • Abgleichen oder Zusammenführen von Datensätzen
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Sollten Sie Fragen zum Thema der Datenschutzfolgenabschätzung oder der Schwellwertanalyse / Risikoanalyse haben, sprechen Sie uns gerne an.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets im Einzelfall eine Bewertung notwendig.