DSGVO: Was Unternehmen bei einer Datenschutz-Folgeabschätzung beachten sollten
Positivliste der Datenschutzkonferenz veröffentlicht
Positivliste der Datenschutzkonferenz veröffentlicht
Ein Beitrag von Desiree Szitnick
Seit Mai 2018 gilt in Deutschland nun die neue Datenschutzgrundverordnung der EU. Die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz oder DSK) hat daraufhin Hinweise für die Durchführung einer Datenschutz-Folgenabschätzung und eine Positivliste veröffentlicht. Die Veröffentlichungen sollen Unternehmen bei der Einhaltung der neuen Vorschriften helfen und Klarheit darüber schaffen, bei welchen Datenverarbeitungstätigkeiten eine Datenschutzfolgeabschätzung nach Art. 35 Datenschutzgrundverordnung (DSGVO) notwendig ist.
Datenschutz-Folgenabschätzung – Was ist das überhaupt?
Kurz gesagt: Die Folgeabschätzung soll ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von personenbezogener Daten sein. Auch bei der rechtmäßigen Verarbeitung von Daten können Risiken für die betroffenen Personen bestehen. Mit der Folgenabschätzung sollen geeignete Abhilfemaßnahmen ergriffen werden. Ob eine Folgenabschätzung für ein Unternehmen überhaupt notwendig ist, ist für jede einzelne Datenverarbeitungstätigkeit separat zu prüfen und ergibt sich erst nach einer Abschätzung der Risiken bei den Verarbeitungsvorgängen der Daten.
Hohe Risikofaktoren bei der Datenverarbeitung Indiz für Verpflichtung zur Durchführung
Das Instrument der Datenschutz-Folgeabschätzung ist im Zuge der DSGVO im Mai 2018 eingeführt worden. Aber was ist die Datenschutz-Folgenabschätzung überhaupt und für welche Unternehmen ist sie verpflichtend?
Bei der Folgenabschätzung geht es im Kern darum, dass, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen zur Folge hat, der Verantwortliche dieser Datenverarbeitung vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen muss. Die DSK selbst hat eine Positivliste von Beispielen und Datenverarbeitungstätigkeiten veröffentlicht, bei denen Unternehmen nach ihrer Ansicht eine Datenschutz-Folgeabschätzung vorzunehmen haben. Darunter fallen beispielsweise Unternehmen wie Soziale Netzwerke oder Dating-Portale, die mit den persönlichen Daten ihrer Kunden umfassende Nutzerprofile erstellen. Auch Unternehmen die, wie bei Fitness-Trackern oder Car-Sharing-Diensten, besondere personenbezogene Daten verarbeiten, müssen nach der DSK für bestimmte Datenverarbeitungsvorgänge eine solche Folgenabschätzung vornehmen.
Wie Unternehmen nun vorgehen müssen
Die Hinweise der DSK sollen für betroffene Unternehmen eine erste Orientierung darstellen, wie das neue Datenschutzrecht in der Praxis angewendet und umgesetzt werden soll. Den Unternehmen soll es damit leichter fallen, die Notwendigkeit einer Folgenabschätzung zu erkennen. Trotzdem werden Unternehmen auf fachlichen Rat wohl nicht verzichten können.
Bei der Datenschutz-Folgenabschätzung handelt es sich um eine Untersuchung des betroffenen Unternehmens, bei der ein Team mit Kompetenzen aus den Bereichen Datenschutz und Risikoermittlung zunächst den Prüfungsumfang festlegt und nach einer Prüfung aller relevanten Umstände eine Risikobeurteilung aufstellt. Darauf beruhend werden dann geeignete Abhilfemaßnahmen ausgewählt und umgesetzt. Das Unternehmen hat nach der DSGVO eine umfassende Dokumentationspflicht, durch die die Einhaltung der Verordnung nachgewiesen werden soll. Erst wenn dieser Prozess vollständig abgeschlossen wurde, kann das betroffene Unternehmen die Voraussetzungen der DSGVO erfüllen.
Datenschutzbeauftragter notwendig
Auch wichtig zu wissen: Besteht für ein Unternehmen eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, ist die Benennung eines Datenschutzbeauftragten verpflichtend.
Die Datenschutz-Folgenabschätzung ist ein wirksames Instrument zur systematischen Risikoeindämmung und stellt eine wichtige Neuerung der DSGVO dar. Nicht nur aufgrund der Haftungsrisiken sollte daher genau geprüft werden, ob eine Verpflichtung zur Durchführung besteht, sondern auch im eigenen unternehmerischen Interesse.