Navigation öffnen
Startseite » IT Recht Kanzlei » Anwälte zum Datenschutzrecht » DSGVO: Alles zur Datenschutz-Folgenabschätzung
DSGVO :

Alles zur Datenschutz-Folgenabschätzung

Unter bestimmten Bedingungen ist ein Unternehmen als für die Datenverarbeitung Verantwortlicher zu einer sog. Datenschutz-Folgenabschätzung verpflichtet. Dabei handelt es sich um nichts anderes als eine Risikoanalyse zu den Datenverarbeitungsvorgängen in der Firma.

Im folgenden Artikel zeigen wir Ihnen, wann und wie Sie die Datenschutz-Folgenabschätzung am besten durchführen sollten und wie die Kanzlei WILDE BEUGER SOLMECKE Ihnen dabei helfen kann.

Was versteht man unter der Datenschutz-Folgenabschätzung?

Bei einer Datenschutz-Folgenabschätzung (DSFA) wird geprüft, inwieweit die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen gefährdet sind. Sie ist insbesondere dann erforderlich, wenn „die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, deren Art, Umfang, Umstände und  Zwecke“ ein hohes Risiko für die datenschutzrechtlichen Interessen natürlicher Personen bedeuten (Art. 35 DSGVO). Die Verarbeitungsvorgänge werden im Rahmen der DSFA genau unter die Lupe genommen, die Notwendigkeit und Verhältnismäßigkeit dieser Maßnahmen erörtert und mögliche Risiken evaluiert. Schließlich werden Lösungen zur Bewältigung dieser Risiken erarbeitet.

Die Infos kompakt

Neben der Generalklausel in Art. 35 Abs. 1 DSGVO benennt Art. 35 Abs. 3 DSGVO Vorgänge, in denen Entscheidungen mit Rechtswirkung gegenüber natürlichen Personen auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, getroffen werden (Nr. 1). Ferner ist die DSFA erforderlich, wenn es zu einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO oder von Daten über Straftaten nach Art. 10 DSGVO kommt (Nr. 2) oder eine umfangreiche, systematische Überwachung öffentlich zugänglicher Bereiche stattfindet (Nr. 3).
Der für die Datenverarbeitung Verantwortliche hat die DSFA durchzuführen. Sofern es in seinem Unternehmen bzw. in der öffentlichen Stelle einen Datenschutzbeauftragten gibt, ist dessen Rat einzuholen. Gegebenenfalls sind im Rahmen der DSFA die Standpunkte der von der Datenverarbeitung betroffenen Personen vor der geplanten Datenverarbeitung einzuholen.
Es werden die geplanten Datenverarbeitungsvorgänge auf ihre Notwendigkeit und Verhältnismäßigkeit hin sowie die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet. Schließlich wird nach Abhilfemaßnahmen für die Bewältigung der Risiken gesucht.

Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Als beispielhafte Situationen, die eine DSFA notwendig machen, nennt die DSGVO:

  • Vorgänge, bei denen eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vorgenommen wird, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient. Die Bewertung muss Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen (vgl. Art. 35 Abs. 3a DSGVO).

Davon kann zum Beispiel die Situation erfasst sein, dass ein Unternehmen Leistungsdaten eines Mitarbeiters automatisiert sammelt und speichert, also verarbeitet. Daraufhin wird ein Leistungsprofil erstellt und anhand dessen seine Leistung im Unternehmen bewertet. Schließlich fließt dieses Leistungsprofil in die Entscheidung über eine Gehaltserhöhung des Mitarbeiters mit ein.

  • die umfangreiche Verarbeitung besonders sensibler Daten wie in Artikel 9 Absatz 1 DSGVO (z. B. genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten) oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO (vgl. Art. 35 Abs. 3b DSGVO)
  • die systematische weiträumige Überwachung öffentlich zugänglicher Bereiche (vgl. Art. 35 Abs. 3c DSGVO)

Als Orientierung, wann Unternehmen oder sonstige für eine Datenverarbeitung Verantwortliche die DSFA durchführen müssen, können öffentliche Listen der Landesdatenschutzbeauftragten dienen. Art. 35 Abs. 4 DSFA gibt diesen als Aufsichtsbehörden auf, eine Liste mit Situationen zu veröffentlichen, die die DSFA erforderlich machen. Die Listen können Sie auf den Websites der jeweiligen Landesdatenschutzbeauftragten einsehen. Entsprechende Informationen des Landesdatenschutzbeauftragten NRW finden Sie hier.

Grundsätzlich sind die Landesdatenschutzbeauftragten auch dazu ermächtigt, Listen mit Fallkonstellationen zu veröffentlichen, in denen die DSFA entbehrlich ist (Art. 35 Abs. 5 DSGVO).

Wer ist in die Datenschutz-Folgenabschätzung involviert?

Die DSFA muss der für die Datenverarbeitung Verantwortliche initiieren. Sofern das Unternehmen oder die öffentliche Stelle, wo die DSFA durchgeführt wird, einen Datenschutzbeauftragten hat, ist dessen Rat bei diesem Prozess einzuholen. Im Rahmen der DSFA sollten ferner zu einer beabsichtigten Datenverarbeitung die Standpunkte der betroffenen Personen oder ihrer Vertreter eingeholt werden.

Wie läuft das Verfahren bei der Datenschutz-Folgenabschätzung ab?

Folgende Checkliste müssen Sie bei Ihrer DSFA nach Art. 35 Abs. 7 DSGVO abarbeiten:

  • Beschreiben Sie die geplanten Verarbeitungsvorgänge und deren Zwecke.
  • Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Ermitteln Sie für die Bewältigung der Risiken geplante Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, die mit der DSGVO im Einklang stehen und den Rechten und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen Rechnung tragen.

Wie kann Ihnen WILDE BEUGER SOLMECKE helfen?

Sie sind sich nicht sicher, ob die Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen erforderlich ist? Sie wollen eine Datenschutz-Folgenabschätzung durchführen, benötigen aber Hilfe von Experten, die Sie bei diesem Verfahren begleiten? Dann wenden Sie sich gerne an unser kompetentes Team aus Anwälten im Datenschutzrecht. Wir stehen Ihnen bei der DSFA mit Rat und Tat zur Seite.

Für weitere Fragen rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.

Das sagen unsere Mandanten