IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Die Datenschutz-Folgenabschätzung - wann braucht man das?

20.08.2018, 12:49 Uhr | Lesezeit: 4 min
von Dr. Bea Brünen
Die Datenschutz-Folgenabschätzung - wann braucht man das?

Seit dem 25. Mai 2018 sorgt die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland für reichlich Trubel. Eines der mit der DSGVO neu implementierten Kontrollinstrumente, das seitdem für zahlreiche Fragezeichen sorgt, stellt die sogenannte Datenschutz-Folgenabschätzung dar. Die Datenschutzkonferenz (DSK) hat nun eine Liste veröffentlicht, in welchen konkreten Fällen eine solche notwendig sein soll.

Inhaltsverzeichnis

A. Datenschutz-Folgenabschätzung: Was ist das eigentlich genau?

Das Instrument der Datenschutz-Folgenabschätzung hat seine rechtliche Grundlage in Art. 35 DSGVO. Nach Art. 35 Abs. 1 DSGVO soll eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Mit einer Datenschutz-Folgenabschätzung sollen somit mögliche Auswirkungen einzelner Verarbeitungsvorgänge auf personenbezogene Daten untersucht und schließlich auch Abhilfemaßnahmen gefunden werden, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

B. In welchen Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Datenschutzkonferenz (DSK) hat nun eine nicht abschließende Positivliste für die Datenschutz-Folgenabschätzung veröffentlicht. Konkret führt die DSK in der Positiv-Liste 16 Beispiele auf, in denen ihrer Ansicht nach im nicht-öffentlichen Bereich eine Datenschutz-Folgenabschätzung durchzuführen ist.

Als Beispiele werden unter anderem genannt:

1) Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt

2) Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen

3) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können

4) Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden.

5) Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

6) Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden

7) Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

8) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

9) Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person

Banner Starter Paket

C. Fazit

Die von der DSK veröffentlichte Liste bietet eine sinnvolle Orientierungshilfe für den nicht-öffentlichen Bereich, in welchen konkreten Fällen eine Datenschutz-Folgenabschätzung notwendig sein soll. Dabei ist jedoch zu beachten, dass die angeführten Beispiele nicht abschließend sind, sondern jeder Einzelfall konkret auf die Notwendigkeit einer Datenschutz-Folgenabschätzung hin zu prüfen ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

L
Leser 22.08.2018, 17:14 Uhr
"verständlich" ist hier gar nichts.
Verständlich wäre eine Einschätzung, ob der "allgemeine Kunde" der IT Recht Kanzlei - also der gemeine Onlineshop-Betreiber - diesem Wahnsinn seine Aufmerksamkeit schenken muss oder nicht.

Was oben steht ist eine Zusammenfassung des verlinkte Dokumentes und wirft mehr Fragen auf, als ein mögliche Antworten bietet.
K
Kirsten Mudra 20.08.2018, 23:26 Uhr
Verständlich erklärt
Vielen Dank für diese verständliche Ausführung.

weitere News

OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
(16.10.2023, 07:57 Uhr)
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
Aktualisierung der Datenschutzerklärung für Otto.de
(23.06.2023, 11:28 Uhr)
Aktualisierung der Datenschutzerklärung für Otto.de
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
(06.06.2023, 10:42 Uhr)
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
(31.05.2023, 09:28 Uhr)
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
Übermittlung von Kundendaten an Auskunfteien teilweise datenschutzwidrig
(25.04.2023, 11:54 Uhr)
Übermittlung von Kundendaten an Auskunfteien teilweise datenschutzwidrig
Immer mehr Gerichte urteilen: Pflicht zum Schadensersatz bei Datenschutzverstößen
(21.03.2023, 12:56 Uhr)
Immer mehr Gerichte urteilen: Pflicht zum Schadensersatz bei Datenschutzverstößen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei