Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
for-vegans.com
Fotografie und Bildbearbeitung
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
home24
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Pinterest
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Snapchat
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B)
Verkauf über individuelle Kommunikation (B2Bb2c)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Dr. Bea Brünen

Die Datenschutz-Folgenabschätzung - wann braucht man das?

News vom 20.08.2018, 12:49 Uhr | 2 Kommentare 

Seit dem 25. Mai 2018 sorgt die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland für reichlich Trubel. Eines der mit der DSGVO neu implementierten Kontrollinstrumente, das seitdem für zahlreiche Fragezeichen sorgt, stellt die sogenannte Datenschutz-Folgenabschätzung dar. Die Datenschutzkonferenz (DSK) hat nun eine Liste veröffentlicht, in welchen konkreten Fällen eine solche notwendig sein soll.

A. Datenschutz-Folgenabschätzung: Was ist das eigentlich genau?

Das Instrument der Datenschutz-Folgenabschätzung hat seine rechtliche Grundlage in Art. 35 DSGVO. Nach Art. 35 Abs. 1 DSGVO soll eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Mit einer Datenschutz-Folgenabschätzung sollen somit mögliche Auswirkungen einzelner Verarbeitungsvorgänge auf personenbezogene Daten untersucht und schließlich auch Abhilfemaßnahmen gefunden werden, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

B. In welchen Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Datenschutzkonferenz (DSK) hat nun eine nicht abschließende Positivliste für die Datenschutz-Folgenabschätzung veröffentlicht. Konkret führt die DSK in der Positiv-Liste 16 Beispiele auf, in denen ihrer Ansicht nach im nicht-öffentlichen Bereich eine Datenschutz-Folgenabschätzung durchzuführen ist.

Als Beispiele werden unter anderem genannt:

1) Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt

2) Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen

3) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können

4) Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden.

5) Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

6) Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden

7) Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

8) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

9) Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person

Banner Unlimited Paket

C. Fazit

Die von der DSK veröffentlichte Liste bietet eine sinnvolle Orientierungshilfe für den nicht-öffentlichen Bereich, in welchen konkreten Fällen eine Datenschutz-Folgenabschätzung notwendig sein soll. Dabei ist jedoch zu beachten, dass die angeführten Beispiele nicht abschließend sind, sondern jeder Einzelfall konkret auf die Notwendigkeit einer Datenschutz-Folgenabschätzung hin zu prüfen ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Dr. Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

"verständlich" ist hier gar nichts.

22.08.2018, 17:14 Uhr

Kommentar von Leser

Verständlich wäre eine Einschätzung, ob der "allgemeine Kunde" der IT Recht Kanzlei - also der gemeine Onlineshop-Betreiber - diesem Wahnsinn seine Aufmerksamkeit schenken muss oder nicht. Was oben...

Verständlich erklärt

20.08.2018, 23:26 Uhr

Kommentar von Kirsten Mudra

Vielen Dank für diese verständliche Ausführung.

© 2005-2022 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller