Alles zur Datenschutz-Folgenabschätzung
Unter bestimmten Bedingungen ist ein Unternehmen als für die Datenverarbeitung Verantwortlicher zu einer sog. Datenschutz-Folgenabschätzung verpflichtet. Dabei handelt es sich um nichts anderes als eine Risikoanalyse zu den Datenverarbeitungsvorgängen in der Firma.
Im folgenden Artikel zeigen wir Ihnen, wann und wie Sie die Datenschutz-Folgenabschätzung am besten durchführen sollten und wie die Kanzlei WILDE BEUGER SOLMECKE Ihnen dabei helfen kann.
Was versteht man unter der Datenschutz-Folgenabschätzung?
Bei einer Datenschutz-Folgenabschätzung (DSFA) wird geprüft, inwieweit die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen gefährdet sind. Sie ist insbesondere dann erforderlich, wenn „die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, deren Art, Umfang, Umstände und Zwecke“ ein hohes Risiko für die datenschutzrechtlichen Interessen natürlicher Personen bedeuten (Art. 35 DSGVO). Die Verarbeitungsvorgänge werden im Rahmen der DSFA genau unter die Lupe genommen, die Notwendigkeit und Verhältnismäßigkeit dieser Maßnahmen erörtert und mögliche Risiken evaluiert. Schließlich werden Lösungen zur Bewältigung dieser Risiken erarbeitet.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Die Infos kompakt
Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Als beispielhafte Situationen, die eine DSFA notwendig machen, nennt die DSGVO:
- Vorgänge, bei denen eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vorgenommen wird, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient. Die Bewertung muss Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen (vgl. Art. 35 Abs. 3a DSGVO).
Davon kann zum Beispiel die Situation erfasst sein, dass ein Unternehmen Leistungsdaten eines Mitarbeiters automatisiert sammelt und speichert, also verarbeitet. Daraufhin wird ein Leistungsprofil erstellt und anhand dessen seine Leistung im Unternehmen bewertet. Schließlich fließt dieses Leistungsprofil in die Entscheidung über eine Gehaltserhöhung des Mitarbeiters mit ein.
- die umfangreiche Verarbeitung besonders sensibler Daten wie in Artikel 9 Absatz 1 DSGVO (z. B. genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten) oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO (vgl. Art. 35 Abs. 3b DSGVO)
- die systematische weiträumige Überwachung öffentlich zugänglicher Bereiche (vgl. Art. 35 Abs. 3c DSGVO)
Als Orientierung, wann Unternehmen oder sonstige für eine Datenverarbeitung Verantwortliche die DSFA durchführen müssen, können öffentliche Listen der Landesdatenschutzbeauftragten dienen. Art. 35 Abs. 4 DSFA gibt diesen als Aufsichtsbehörden auf, eine Liste mit Situationen zu veröffentlichen, die die DSFA erforderlich machen. Die Listen können Sie auf den Websites der jeweiligen Landesdatenschutzbeauftragten einsehen. Entsprechende Informationen des Landesdatenschutzbeauftragten NRW finden Sie hier.
Grundsätzlich sind die Landesdatenschutzbeauftragten auch dazu ermächtigt, Listen mit Fallkonstellationen zu veröffentlichen, in denen die DSFA entbehrlich ist (Art. 35 Abs. 5 DSGVO).
Wer ist in die Datenschutz-Folgenabschätzung involviert?
Die DSFA muss der für die Datenverarbeitung Verantwortliche initiieren. Sofern das Unternehmen oder die öffentliche Stelle, wo die DSFA durchgeführt wird, einen Datenschutzbeauftragten hat, ist dessen Rat bei diesem Prozess einzuholen. Im Rahmen der DSFA sollten ferner zu einer beabsichtigten Datenverarbeitung die Standpunkte der betroffenen Personen oder ihrer Vertreter eingeholt werden.
Wie läuft das Verfahren bei der Datenschutz-Folgenabschätzung ab?
Folgende Checkliste müssen Sie bei Ihrer DSFA nach Art. 35 Abs. 7 DSGVO abarbeiten:
- Beschreiben Sie die geplanten Verarbeitungsvorgänge und deren Zwecke.
- Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen.
- Ermitteln Sie für die Bewältigung der Risiken geplante Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, die mit der DSGVO im Einklang stehen und den Rechten und berechtigten Interessen der von der Datenverarbeitung betroffenen Personen Rechnung tragen.
Wie kann Ihnen WILDE BEUGER SOLMECKE helfen?
Sie sind sich nicht sicher, ob die Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen erforderlich ist? Sie wollen eine Datenschutz-Folgenabschätzung durchführen, benötigen aber Hilfe von Experten, die Sie bei diesem Verfahren begleiten? Dann wenden Sie sich gerne an unser kompetentes Team aus Anwälten im Datenschutzrecht. Wir stehen Ihnen bei der DSFA mit Rat und Tat zur Seite.
Für weitere Fragen rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.