Datenschutz-Folgenabschätzung: Was ist das genau?

Werden von einem Verantwortlichen personenbezogene Daten auf eine Weise verarbeitet, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge haben könnte, muss laut DSGVO eine Datenschutz-Folgenabschätzung vollzogen werden. Das bedeutet, dass das Unternehmen in Eigenregie eine Evaluierung und Risikobewertung der Datenverarbeitung durchzuführen hat. Im folgenden Abschnitt haben wir die wichtigsten Fragen zur Datenschutz-Folgenabschätzung für Sie zusammengefasst:

Inhaltsübersicht:

• Was passiert bei einer Datenschutz-Folgenabschätzung?
• Wann sollte eine Datenschutz-Folgenabschätzung vollzogen werden?
• Beispiel für eine erforderliche Datenschutz-Folgenabschätzung
• Wie erfolgt die Risikoabschätzung?
• Was geschieht bei der Konsultation der Datenschutzbehörde?
• Häufig gestellte Fragen

Was passiert bei einer Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung sieht vor, dass Unternehmen, die personenbezogene Daten verarbeiten, welche ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, selbst eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgängen für den Schutz personenbezogener Daten vornehmen müssen. Konkret bedeutet das, dass die Folgen und Risiken der Datenverarbeitungen untersucht, die Auswirkungen der vorgesehenen Datenverarbeitungen für den Datenschutz evaluiert und passende Abhilfemaßnahmen ergriffen werden. 

Eine Datenschutz-Folgenabschätzung ist dann durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein erhöhtes Risiko für die Rechte und Freiheiten betroffener Personen besteht, insbesondere wenn neue Technologien zur Datenverarbeitung verwendet werden. 

Neben einer genauen Erläuterung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, einer Bewertung der Relevanz und Verhältnismäßigkeit der Datenverarbeitung sowie einer Evaluierung der Risiken für die betroffenen Personen muss die Datenschutz-Folgenabschätzung auch Maßnahmen enthalten, die zur Bewältigung der Risiken vorgesehen sind.  

Wird die Verpflichtung zur Datenschutz-Folgenabschätzung missachtet, drohen Geldstrafen bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. 

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Insbesondere dann, wenn umfangreich sensible personenbezogene Daten (etwa über ethnische Herkunft, politische Gesinnung, Religion, Gesundheitsdaten, strafrechtliche Verurteilungen und Straftaten etc.) verarbeitet werden, oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt, aber auch systematisch und umfassend persönliche Aspekte natürlicher Personen (Hierzu zählen etwa die wirtschaftliche Lage, persönliche Interessen oder der Aufenthaltsort natürlicher Personen.) bewertet werden, welche auf automatisierter Verarbeitung einschließlich Profiling gründen, muss eine Datenschutz-Folgenabschätzung vollzogen werden. 

Beispiel für eine erforderliche Datenschutz-Folgenabschätzung

Werden etwa im Rahmen von Zugangskontrollen Fingerabdruck-Scanner und Gesichtserkennungs-Software verwendet oder mittels „Profiling“ Daten aus sozialen Netzwerken über eine Person gesammelt, Bonitätsprüfungen für die Kreditvergabe durch Banken durchgeführt, personenbezogene Daten über strafrechtliche Verurteilungen gesammelt oder in einem Busunternehmen Kameras zur Fahrgastüberwachung installiert, könnte dies unter die oben genannten verpflichtenden Fälle für eine DS-FA fallen und ist eine Datenschutz-Folgenabschätzung zwingend erforderlich. 

Nicht zwingend erforderlich wäre sie beispielsweise dann, wenn ein einzelner Arzt die Gesundheitsdaten seiner Patienten verarbeitet. Anders wäre es, wenn ein Krankenhaus eine neue Datenbank einführt, um die Gesundheitsdaten der Patienten zu verarbeiten – dann wäre eine Datenschutz-Folgenabschätzung notwendig, da die Art des Umfangs der Datensammlung und -verarbeitung hier entscheidend ist. Im Einzelfall ist aber jeweils zu beurteilen, ob aufgrund der Risikolage eine DSFA durchzuführen ist.

Wie erfolgt die Risikoabschätzung?

In einem ersten Schritt ist zu prüfen, ob und in welchem Ausmaß eine geplante Verarbeitung von personenbezogenen Daten aufgrund von Art, Umfang, Umständen und Zwecke zu Auswirkungen und Gefahren für die Rechte von natürlichen Personen führt. Wird das Risiko als hoch eingestuft, muss vor Beginn der Datenverarbeitung eine DSFA durchgeführt werden. Sofern aus einer DSFA ein hohes Risiko hervorgeht und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, ist vorab die Aufsichtsbehörde zu konsultieren. Dieser ist dann ein ausführlicher Bericht vorzulegen (unter anderem die Zweck und Mittel der beabsichtigten Verarbeitung). Innerhalb von acht Wochen muss die Behörde dann Empfehlungen aussprechen, welche Maßnahmen zum Schutz der betroffenen Personen gesetzt werden können. 

Leitlinien zur Datenschutz-Folgenabschätzung stellt die Datenschutzbehörde zur Verfügung. 

Was geschieht bei der Konsultation der Datenschutzbehörde?

Werden im Rahmen der Datenschutz-Folgenabschätzung erhöhte Risiken für die Rechte sowie Freiheiten der Betroffenen festgestellt, ohne dass dafür vom Verantwortlichen konkrete Gegenmaßnahmen gesetzt werden (können), muss das Unternehmen noch vor Beginn der Datenverarbeitung die Datenschutzbehörde in Kenntnis setzen und konsultieren. Innerhalb von acht Wochen ab Erhalt des Konsultationsersuchens muss die Behörde schriftliche Empfehlungen abgeben.  

Das Ansuchen muss jedenfalls Angaben zu den Zuständigkeiten des mit der Datenverarbeitung Verantwortlichen enthalten, außerdem den Zweck der beabsichtigten Verarbeitung, Maßnahmen zum Schutz der Betroffenen, sowie Informationen über den Datenschutz-Beauftragten, sofern es einen gibt. 

Häufig gestellte Fragen (FAQ) zur Datenschutz-Folgenabschätzung

Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Wenn ein Unternehmen personenbezogene Daten verarbeitet und die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben könnte, muss eine Datenschutz-Folgenabschätzung vollzogen werden. Dies kann beispielsweise dann der Fall sein, wenn neue Technologien verwendet werden, wie zB neue Zutrittskontrollen (Fingerabdruck, Gesichtserkennung) eingeführt werden sollen. 

Was ist Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist eine Risikobewertung und Folgenabschätzung, welche Unternehmen vollziehen müssen, wenn die Art oder der Umfang, die Umstände oder der Zweck der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bewirkt; dies kann insbes. dann der Fall sein, wenn neuartige Technologien zur Datenverarbeitung verwendet werden. 

Es werden die Folgen und Risiken der Datenverarbeitungen für die Freiheiten der betroffenen Personen analysiert, die Auswirkungen der geplanten Datenverarbeitungen für den Datenschutz evaluiert und dementsprechende Abhilfemaßnahmen erörtert bzw vorgesehen. 

Wer macht die Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung erfolgt durch das jeweilige Unternehmen, das personenbezogenen Daten verarbeitet. Ist ein Datenschutzbeauftragter im Unternehmen vorhanden, berät dieser bei der Durchführung der Datenschutz-Folgenabschätzung. 

Rechtliche Beratung zur Datenschutz-Folgenabschätzung

Sie möchten mehr über das Thema Datenschutz-Folgenabschätzung wissen? Unser kompetentes Team berät Sie gerne und unterstützt Sie bei all Ihren Fragen. Nehmen Sie noch heute Kontakt auf! 

Kontakt aufnehmen >>

Sie haben ein anderes Anliegen im Bereich IP/IT-Recht? Erfahren Sie mehr über unser umfassendes IP/IT-Rechts-Leistungsportfolio.