Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Im Februar gaben wir bereits einen kurzen Einblick in die Datenschutz-Folgenabschätzung nach der DSGVO.

Im folgenden Artikel soll dieses vertieft betrachtet werden.

Datenschutz-Folgenabschätzung als Nachfolger der Vorabkontrolle

Nach Artikel 35 Abs. 1 muss der für die Datenverarbeitung Verantwortliche eine Datenschutzfolgenabschätzung durchführen, wenn

die Form der Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat,

insbesondere wenn dabei neue Technologien Verwendung finden.

In der bisherigen Datenschutzrichtlinie (Richtlinie 95/46/EG) wurde in den Erwägungsgründen darauf hingewiesen, dass Datenverarbeitungen „aufgrund einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten betroffener Personen aufweisen [können].“ Die beiden Wortlaute ähneln sich sehr stark. Die Richtlinie macht in diesem Zusammenhang deutlich, dass die Mitgliedstaaten bei der Verarbeitung von Daten mit besonderen Risiken eine Vorabprüfung durch den Datenschutzbeauftragten oder der Aufsichtsbehörde vorsehen sollen.

Der deutsche Gesetzgeber hat im BDSG explizit in § 4d Abs. 5 BDSG darauf verwiesen, dass automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle) unterliegen.

Vieles spricht also dafür, dass die Datenschutzfolgenabschätzung mit der bisher praktizierten Vorabkontrolle vergleichbar ist.

Nach der bisherigen Auslegung der Richtlinie wird in folgenden Fällen ein besonderes Risiko angenommen[1]:

  • besonders schützenswerte Daten (Daten über Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln, ungünstige verwaltungsrechtliche Entscheidungen, biometrische Daten, Daten über Minderjährige, sonstige vertrauliche oder einem Amtsgeheimnis unterliegenden Verfahren);
  • besonders intensive Datenverarbeitungen (umfangreiche Verknüpfungsmöglichkeiten, erschwerte Wahrnehmung von Betroffenenrechten, weitreichender Verwendungszweck;
  • große Gefahr einer unzulässigen Datenverarbeitung (Vielzahl Zugriffsberechtigter etc.);
  • besonders tiefgreifende Auswirkungen einer Datenverarbeitung

Nach Artikel 35 Abs. 2 der Verordnung ist eine Datenschutz-Folgenabschätzung in den folgenden Fällen vorzunehmen:

  • bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Anwendungsbereich nicht kleiner geworden

Vergleicht man den Wortlaut der Richtlinie mit dem der Verordnung, ist grundsätzlich der Anwendungsbereich nicht kleiner geworden. Bereits nach der Richtlinie bzw. dem BDSG muss eine Vorabkontrolle bei sensiblen Daten bzw. intensiver Datenverarbeitung vorgenommen werden. Dies betrifft bisher auch bspw. das Scoring-Verfahren der Schufa oder der creditreform. Solch ein Verfahren wird nun eher unter den Begriff „Profiling“ fallen.

Hinzugekommen ist nach dem Wortlaut eine Überwachung öffentlich zugänglicher Bereiche. Dies betrifft die Videoüberwachung, wofür auch nach den Aufsichtsbehörden gemäß § 4 d Abs. 5 Satz 2 Nr. 2 BDSG regelmäßig eine Vorabkontrolle erforderlich ist. Inwieweit eine solche nicht mehr notwendig ist, wenn sie nicht „systematisch umfangreich“ ist, bleibt abzuwarten. Dies könnte zum Beispiel bei einer Videokamera der Fall sein, die nur bei Nutzung einer Türklingel aktiviert wird und lediglich ein Livebild zulässt und keine Aufzeichnung durchführt.

Neue Technologie als Indiz für die Durchführung einer Datenschutz-Folgenabschätzung

In der bisherigen Richtlinie fiel bereits der Ausdruck der „neuen Technologie“. Vom Wortlaut her ist die Verordnung an diesem Punkt so zu verstehen, dass der Einsatz einer neuen Technologie ein Hinweis darauf ist, dass ein besonderes oder hohes Risiko (diese Begriffe sind wohl synonym zu verwenden) für die Betroffenen bei der Datenverarbeitung besteht. Letztendlich wird es bei den „neuen Technologien“ um Datenverarbeitungen gehen, die für den Betroffenen nicht durchschaubar und nachvollziehbar sind. Daher ergeben sich aus der Verordnung insoweit keine Neuerungen gegenüber der Richtlinie bzw. dem BDSG.

Durchführung einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutzfolgenabschätzung muss gemäß Art. 35 Abs. 7 folgendes enthalten:

  • Systematische Beschreibung der
  • geplanten Verarbeitungsvorgänge,
  • Zwecke der Verarbeitung und
  • berechtigten Interessen der Verantwortlichen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Weitergehende Vorgaben für die Dokumentation macht die DSGVO nicht.

Weitergehende Verpflichtungen

Darüber hinaus können sich weitere Verpflichtungen durch den Verarbeiter ergeben. So muss er gegebenenfalls

  • den Standpunkt der betroffenen Person oder ihrer Vertreter zur beabsichtigten Verarbeitung einholen (Art. 35 Abs. 9) oder
  • eine Überprüfung der tatsächlichen Verarbeitung gemäß der Datenschutzfolgenabschätzung, insbesondere bei einer Änderung des Risikos durchführen (Art. 35 Abs. 11).

Wann diese weitergehenden Verpflichtungen erfüllt werden müssen, darüber schweigt die DSGVO. Dies wird der Praxis bzw. den Aufsichtsbehörden überlassen bleiben.

Listen der Aufsichtsbehörden

Den Aufsichtsbehörden kommt im Rahmen der Datenschutz-Folgenabschätzung eine besondere Rolle zu. Diese haben eine Liste zu erstellen, bei welchen Verarbeitungsvorgängen eine Folgenabschätzung zwingend durchgeführt werden muss (Art. 35 Abs. 4). Außerdem können sie eine Liste erstellen, aus der hervorgeht, bei welchen Verarbeitungsvorgängen eine Folgenabschätzung entbehrlich ist (Art. 35 Abs. 5). Dadurch, dass hier die Aufsichtsbehörden in die Pflicht genommen werden, zumindest die verpflichtenden Folgenabschätzungen zu benennen, wird ein gewisses Maß an Rechtssicherheit bestehen. Es bleibt abzuwarten, wie konkret und praktikabel diese Listen sein werden.

Außerdem ist der Rat des Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung einzuholen, sofern einer benannt worden ist (Art. 35 Abs. 2).

Konsultationspflicht gegenüber den Aufsichtsbehörden

Im Zusammenhang mit der Datenschutz-Folgenabschätzung haben die für die Verarbeitung Verantwortlichen nach Art. 36 eine Konsultationspflicht gegenüber der Aufsichtsbehörde. Wenn die Datenschutz-Folgenabschätzung zu dem Ergebnis kommt, dass bei der Datenverarbeitung ein hohes Risiko für die Betroffenen besteht, dann ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1). Nach dem Wortlaut kann also der Verantwortliche der Konsultationspflicht entgehen, wenn Schutzmaßnahmen für den Datenverarbeitungsprozess ergriffen werden.

Kommt der Verantwortliche einer Konsultationspflicht nach, so kann die Aufsichtsbehörde Empfehlungen abgeben, wenn sie der Meinung ist, dass die Datenschutz-Folgenabschätzung nicht korrekt durchgeführt worden ist oder Schutzmaßnahmen unzureichend sind (Art. 36 Abs. 2). Wie die Aufsichtsbehörde von unzureichenden Schutzmaßnahmen Kenntnis haben kann, wenn eine Konsultationspflicht entfällt(bspw. wenn nach Ansicht des Verantwortlichen kein hohes Risiko besteht, bzw. er ausreichende Schutzmaßnahmen ergriffen hat) bleibt unklar.

Fazit

Durch die Datenschutzgrundverordnung wird die Datenschutz-Folgenabschätzung eingeführt. Diese kennt man aus dem BDSG unter dem Namen der Vorabkontrolle. Grundsätzlich wird es keine großen Veränderungen in der Praxis geben. Positiv hervorzuheben ist, dass die Aufsichtsbehörden in der Pflicht sind, eine Liste herauszugeben, bei welchen Datenverarbeitungen eine Datenschutz-Folgenabschätzung notwendig ist. Dass die Konsultationspflicht eine große Rolle spielen wird, ist eher zu bezweifeln.

Weitere Beiträge zur DSGVO in unserem Blog.

[1] BeckOK DatenSR/Meltzian BDSG § 4d Rn. 37.

| | | , ,