von Dr. Bea Brünen

Die Datenschutz-Folgenabschätzung - wann braucht man das?

News vom 20.08.2018, 12:49 Uhr | 2 Kommentare 

Seit dem 25. Mai 2018 sorgt die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland für reichlich Trubel. Eines der mit der DSGVO neu implementierten Kontrollinstrumente, das seitdem für zahlreiche Fragezeichen sorgt, stellt die sogenannte Datenschutz-Folgenabschätzung dar. Die Datenschutzkonferenz (DSK) hat nun eine Liste veröffentlicht, in welchen konkreten Fällen eine solche notwendig sein soll.

A. Datenschutz-Folgenabschätzung: Was ist das eigentlich genau?

Das Instrument der Datenschutz-Folgenabschätzung hat seine rechtliche Grundlage in Art. 35 DSGVO. Nach Art. 35 Abs. 1 DSGVO soll eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Mit einer Datenschutz-Folgenabschätzung sollen somit mögliche Auswirkungen einzelner Verarbeitungsvorgänge auf personenbezogene Daten untersucht und schließlich auch Abhilfemaßnahmen gefunden werden, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

B. In welchen Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Datenschutzkonferenz (DSK) hat nun eine nicht abschließende Positivliste für die Datenschutz-Folgenabschätzung veröffentlicht. Konkret führt die DSK in der Positiv-Liste 16 Beispiele auf, in denen ihrer Ansicht nach im nicht-öffentlichen Bereich eine Datenschutz-Folgenabschätzung durchzuführen ist.

Als Beispiele werden unter anderem genannt:

1) Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt

2) Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen

3) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können

4) Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden.

5) Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

6) Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden

7) Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

8) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

9) Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person

1

C. Fazit

Die von der DSK veröffentlichte Liste bietet eine sinnvolle Orientierungshilfe für den nicht-öffentlichen Bereich, in welchen konkreten Fällen eine Datenschutz-Folgenabschätzung notwendig sein soll. Dabei ist jedoch zu beachten, dass die angeführten Beispiele nicht abschließend sind, sondern jeder Einzelfall konkret auf die Notwendigkeit einer Datenschutz-Folgenabschätzung hin zu prüfen ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Dr. Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

"verständlich" ist hier gar nichts.

22.08.2018, 17:14 Uhr

Kommentar von Leser

Verständlich wäre eine Einschätzung, ob der "allgemeine Kunde" der IT Recht Kanzlei - also der gemeine Onlineshop-Betreiber - diesem Wahnsinn seine Aufmerksamkeit schenken muss oder nicht. Was oben...

Verständlich erklärt

20.08.2018, 23:26 Uhr

Kommentar von Kirsten Mudra

Vielen Dank für diese verständliche Ausführung.

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5