Steuern und Recht

Datenschutz-Folgenabschätzung (DSFA) – was Unternehmen ab Mai 2018 beachten müssen

Wenn die Verarbeitung personenbezogener Daten "aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat", ist eine Datenschutz-Folgenabschätzung Pflicht.

28. November 2017 963 Aufrufe

Wir berichteten letzten Monat bereits über die DSGVO (Datenschutz-Grundverordnung), die ab Mai 2018 wirksam wird. Die DSGVO setzt einen einheitlichen, europäischen Rechtsrahmen für den Datenschutz. Sie geht einher mit einer Novellierung des deutschen BDSG (Bundesdatenschutzgesetzes), das im Kern noch aus 1977 stammt.

Einige Aspekte der neuen, europäischen Datenschutzverordnung lohnen einen genaueren Blick. Dazu gehört die in Art. 35 DSGVO normierte Datenschutz-Folgenabschätzung oder kurz DSFA.


Verantwortlicher, Auftragsverarbeiter, Betroffener

Diese Begriffe sind juristisch bedeutsam und sollten daher vorab geklärt werden. Denn im Rahmen der DSVGO hat sich auch die Terminologie etwas geändert.

Software-Unternehmen, insbesondere Cloud-Dienstleister, kennen den Begriff Auftragsdatenverarbeitung. Wenn ein Unternehmen zum Beispiel Software bei einem Cloud-Anbieter mietet, werden seine Daten von diesem Anbieter verarbeitet. Früher war das Unternehmen „Auftraggeber“ und schloss mit dem Cloud-Anbieter als „Auftragnehmer“ einen Vertrag über die „Auftragsdatenverarbeitung“.

Nach der neuen DSVGO wird der frühere Auftraggeber (das Unternehmen) als „Verantwortlicher“ bezeichnet, der frühere Auftragnehmer (der Cloud-Anbieter) als „Auftragsverarbeiter“ und die frühere Auftragsdatenverarbeitung als „Auftragsverarbeitung“. „Betroffener“ ist die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Wer Verträge zur Auftragsverarbeitung mit Unternehmen abschließt, sollte diese Verträge jetzt auf die neuen Begrifflichkeiten und Rechtsnormen umstellen. Und dabei beachten, dass der Auftragsverarbeiter künftig stärker in die Pflicht genommen wird als früher, da er noch „Auftragnehmer“ hieß.

Aber das nur am Rande. Jetzt zu unserem eigentlichen Thema.

Worum geht es bei der Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung wird in Art. 35 DSGVO geregelt. Diese Regelungen möchten wir im Folgenden erklären.

Wenn die Verarbeitung personenbezogener Daten „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“, muss der Verantwortliche vorab abschätzen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.

Zweck und Mittel

Grundsätzlich muss, salopp ausgedrückt, bei jeder Verarbeitung personenbezogener Daten der Zweck die Mittel heiligen. Es gilt das Gebot der Angemessenheit. Es dürfen nicht mehr Daten gesammelt und verarbeitet werden, als unbedingt notwendig, um den Zweck der Verarbeitung zu erfüllen. Die Datenverarbeitung ist in Bezug auf den Zweck grundsätzlich notwendig, wenn die Aufgabe sonst nicht erfüllt werden könnte.

Der Verantwortliche muss im Zweifel prüfen, ob es datenschutzrechtlich weniger heikle Möglichkeiten gibt, dasselbe Ziel zu erreichen.

Wann ist eine Datenschutz-Folgenabschätzung nötig?

Eine Folgenabschätzung ist besonders in folgenden Fällen nötig:

  • bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen
  • bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten
  • bei einer systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche

Was bedeutet „Bewertung persönlicher Aspekte“?

Grundsätzlich ist damit jede Art von Scoring und Profiling gemeint. Ein klassisches Beispiel ist die Bonitätsbeurteilung. einer Person anhand einer Skala. Das Risiko, wenn eine schwache Bonität öffentlich wird, ist klar. Der Betroffene wird zum Beispiel Schwierigkeiten haben, eine Wohnung zu mieten.

Art. 4 DSGVO definiert Profiling als automatisierte Verarbeitung persönlicher Daten, um „Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Was sind „besondere Kategorien von Daten“?

Dabei handelt es sich um besonders sensible Daten, deren Bekanntwerden für die Betroffenen unangenehme Folgen haben kann. Unter anderem sind dies:

  • Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.
  • genetische oder biometrische Daten, aus denen eine natürliche Person genau identifiziert werden kann.
  • Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
  • Daten über strafrechtliche Verurteilungen und Straftaten 

Überwachung öffentlich zugänglicher Bereiche

Nicht nur Städte und Gemeinden setzen zunehmend auf Videoüberwachung. Aus Sicherheitsgründen tun dies auch Geschäfte.

Die Gesichter der Kunden, die ein und aus gehen, sind personenbezogene Daten. Sie könnten theoretisch in großer Menge gesammelt und analysiert werden.

Daher ist für solche Überwachungsmaßnahmen eine Datenschutz-Folgenabschätzung erforderlich.

Ausnahmen – Wann gilt das Verbot nicht?

Keine Regel ohne Ausnahme. Die folgenden Ausnahmeregeln decken eine Vielzahl von Fällen ab. Das Verbot gilt nicht:

  • wenn der Betroffene in die Verarbeitung für die spezifischen Zwecke ausdrücklich eingewilligt hat.
  • wenn die Verarbeitung notwendig ist, damit der Betroffene Rechte nach Arbeitsrecht oder Sozialrecht ausüben kann.
  • wenn eine religiöse, politische oder weltanschauliche, nichtkommerzielle Stiftung oder Vereinigung sie für ihre Mitglieder vornimmt.
  • wenn der Betroffene die Daten öffentlich gemacht hat.
  • auf Grundlage des Unionsrechts bei einem wichtigen, öffentlichen Interesse.
  • wenn es um Gesundheitsvorsorge, Beurteilung der Arbeitsfähigkeit, Diagnostik oder die Behandlung im Gesundheits- und Sozialbereich geht.

Welche Verarbeitungsvorgänge sind gemeint?

Die EU-Mitgliedsstaaten haben Vertreter ihrer Datenschutz-Aufsichtsbehörden in die so genannte Artikel-29-Gruppe entsandt. Diese Gruppe stellt Positiv- und Negativlisten der betroffenen Verarbeitungsvorgänge zusammen. Anhand der Listen können Unternehmen entscheiden, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.

Leitlinien zur Risikobewertung – Grafik

Die folgende Grafik gibt einen schematischen Überblick darüber, in welchen Fällen eine Datenschutz-Folgenabschätzung erstellt werden muss.

Datenschutz-Folgenabschätzung

Quelle: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137

Praxisbeispiele – Wann ist eine DSFA notwendig und wann nicht?

Eine Datenschutz-Folgenabschätzung ist notwendig:

  • zur Verarbeitung von Gesundheitsdaten.
  • bei einer Videoüberwachung des Straßenverkehrs, wenn die Nummernschilder erkannt und den Fahrzeughaltern zugeordnet werden.
  • bei einer Überwachung von Mitarbeitern.
  • bei einem Abgleich oder einer Rekombination von Datensätzen.
  • beim Einsatz innovativer Technologien, wie zum Beispiel Gesichtserkennung, Fingerabdrucksensoren oder auch Künstliche Intelligenz
  • wenn über Betroffene ein Profil erstellt oder diese beurteilt, bewertet und eingestuft werden (so genanntes Scoring etwa der Kreditwürdigkeit).
  • wenn Daten in Länder außerhalb der EU übertragen werden.
  • wenn große Mengen personenbezogener Daten erhoben und analysiert werden.
  • in jedem Fall, wenn die Betroffenen Kinder sind.
  • in jedem Fall, wenn die Datenverarbeitung dazu führen kann, dass die Betroffenen ein Recht nicht ausüben oder eine Leistung nicht erhalten können.

Eine DSFA ist nicht notwendig:

  • wenn ein Unternehmen Personen nach deren ausdrücklicher Einwilligung einen Newsletter sendet.
  • wenn ein Unternehmen anhand einer Analyse der in seinem Webshop getätigten Einkäufe den Kunden spezifische Werbung zeigt.
  • bei einer Videoüberwachung des Straßenverkehrs, wenn keine Nummernschilder erkannt und den Haltern zugeordnet werden.

Welchen Inhalt hat die Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung sollte folgende Elemente enthalten und Fragen beantworten:

⦁ Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Zur systematischen Beschreibung gehören

⦁ die eingesetzte Technik

⦁ die Art der erhobenen Daten

⦁ der Umfang der erhobenen Daten

⦁ die Umstände der Datenerfassung und Verarbeitung

⦁ die Zwecke der Datenerfassung und Verarbeitung

⦁ die Betroffenen

⦁ die Verantwortlichen

⦁ die Darlegung des berechtigten Interesses der Verantwortlichen

⦁ Ist die Verarbeitung im Hinblick auf den Zweck notwendig?

⦁ Ist die Verarbeitung im Hinblick auf den Zweck angemessen?

⦁ Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

⦁ Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Die Abhilfemaßnahmen umfassen Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz der personenbezogenen Daten sicherstellen. Die Verantwortlichen und Auftragsverarbeiter müssen nachweisen, dass diese Maßnahmen auch eingehalten werden und dass die berechtigten Interessen der Betroffenen gewahrt bleiben.

 

Quellen:


Silke Jandt: Datenschutz durch Technik in der DS-GVO, Springer Gabler, DuD 09/2017
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein https://www.datenschutzzentrum.de/artikel/1174-Planspiel-zur-Datenschutz-Folgenabschaetzung-gem.-Art.-35-DSGVO.html
Bitkom: Risk Assessment und Datenschutz-Folgenabschätzung, Leitfaden https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf
Datenschutz-Nord-Gruppe https://www.datenschutz-nord-gruppe.de/eu-datenschutzverordnung/checkliste-datenschutz-grundverordnung.html
IHK Stuttgart Checkliste zur DSGVO https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Aktuelles/prueffragebogen-zur-datenschutz-grundverordnung/3821774
Datenschutz-Praxis: Datenschutz-Folgenabschätzung: 10 Kriterien zur Risikobewertung https://www.datenschutz-praxis.de/fachnews/entwurf-der-leitlinien-zur-folgenabschaetzung-publiziert/
Artikel-29-Gruppe http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
Projekt 29: https://www.projekt29.de/datenschutzblog29/umsetzung-der-eu-dsgvo-teil-20-datenschutz-folgenabschaetzung-leitlinien-zur-risikobewertung
https://www.isico-datenschutz.de/blog/2017/06/22/profiling-was-aendert-sich-durch-dsgvo-und-bdsg/

Lernen Sie die Vorteile der Online-Buchhaltungssoftware von Scopevisio kennen!

Termin zur Online-Demo vereinbaren


Das könnte Sie auch interessieren: