Wann Muss Eine Datenschutz Folgenabschätzung Erfolgen

Haben Sie sich jemals gefragt, ob Ihre Datenerhebung wirklich sicher ist? Ob Sie als Unternehmen alle notwendigen Schritte unternommen haben, um die Privatsphäre Ihrer Kunden zu schützen? Die Datenschutz-Folgenabschätzung (DSFA) ist ein wichtiges Instrument, um genau das zu gewährleisten. Aber wann genau ist sie eigentlich erforderlich? Viele Unternehmen ringen mit dieser Frage, und genau das werden wir in diesem Artikel beleuchten.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Vereinfacht ausgedrückt ist die DSFA eine Art Risikoanalyse für den Datenschutz. Sie dient dazu, die potenziellen Auswirkungen einer Datenverarbeitung auf die Rechte und Freiheiten von Personen zu bewerten. Stellen Sie sich vor, Sie planen eine neue Marketingkampagne, die auf detaillierten Profilen Ihrer Kunden basiert. Eine DSFA würde in diesem Fall helfen, potenzielle Risiken wie Diskriminierung oder Überwachung zu erkennen und Maßnahmen zu ergreifen, um diese Risiken zu minimieren.

Die DSFA ist in Artikel 35 der Datenschutz-Grundverordnung (DSGVO) geregelt und somit für alle Unternehmen relevant, die personenbezogene Daten in der EU verarbeiten.

Wann ist eine DSFA erforderlich?

Die DSGVO gibt keine abschließende Liste von Verarbeitungstätigkeiten vor, für die eine DSFA zwingend erforderlich ist. Sie legt jedoch allgemeine Kriterien fest. Eine DSFA ist insbesondere dann erforderlich, wenn die Verarbeitung…

...wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Das ist der zentrale Punkt. Aber was bedeutet "hohes Risiko"? Die DSGVO bietet hier keine eindeutige Definition, sondern nennt Beispiele und Kriterien, die bei der Bewertung helfen sollen.

Ein hohes Risiko liegt typischerweise vor, wenn:

• Systematische und umfassende Bewertung persönlicher Aspekte: Die Verarbeitung umfasst eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung, einschließlich Profiling, stützt und auf der Grundlage derer Entscheidungen getroffen werden, die rechtliche Wirkung gegenüber der natürlichen Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Denken Sie an Kreditwürdigkeitsprüfungen oder algorithmische Bewerbungsverfahren.
• Verarbeitung besonderer Kategorien personenbezogener Daten: Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen) oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO in großem Umfang erfolgt. Beispielsweise die umfassende Verarbeitung von Gesundheitsdaten durch ein Krankenhaus.
• Systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang: Die Verarbeitung umfasst eine systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang. Dies kann z.B. der Einsatz von Videoüberwachung in einem Einkaufszentrum sein.

Beachten Sie: Diese Liste ist nicht erschöpfend. Es gibt noch weitere Faktoren, die auf ein hohes Risiko hindeuten können. Zum Beispiel:

• Die Verwendung neuer Technologien.
• Die Verarbeitung von Daten schutzbedürftiger Personen (z.B. Kinder).
• Die Zusammenführung von Daten aus verschiedenen Quellen.

...auf einer Liste der Aufsichtsbehörde steht.

Die DSGVO räumt den nationalen Aufsichtsbehörden das Recht ein, Listen von Verarbeitungstätigkeiten zu erstellen, für die eine DSFA erforderlich ist. Diese Listen sind länderspezifisch und können sich im Laufe der Zeit ändern. Es ist daher wichtig, sich regelmäßig über die Vorgaben der zuständigen Aufsichtsbehörde zu informieren.

Praktisches Beispiel: In Deutschland hat die Datenschutzkonferenz (DSK) eine solche Liste veröffentlicht. Diese Liste enthält Beispiele für Verarbeitungstätigkeiten, bei denen die deutschen Aufsichtsbehörden von einem hohen Risiko ausgehen.

...keine Ausnahme nach Artikel 35 Abs. 5 DSGVO vorliegt.

Artikel 35 Abs. 5 DSGVO sieht eine Ausnahme von der DSFA-Pflicht vor, wenn die Verarbeitung eine ähnliche Art, einen ähnlichen Umfang und ähnliche Zwecke hat wie Verarbeitungsvorgänge, für die bereits eine DSFA durchgeführt wurde. Diese Ausnahme ist jedoch eng auszulegen und gilt nur, wenn die ursprüngliche DSFA umfassend und aktuell ist.

Wie führt man eine DSFA durch?

Die Durchführung einer DSFA ist ein strukturierter Prozess, der in der Regel folgende Schritte umfasst:

1. Beschreibung der Verarbeitung: Zunächst muss die geplante Verarbeitungstätigkeit detailliert beschrieben werden. Dies umfasst die Zwecke der Verarbeitung, die Art der verarbeiteten Daten, die Kategorien betroffener Personen, die Empfänger der Daten und die geplante Speicherdauer.
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Es muss bewertet werden, ob die Verarbeitung für den angestrebten Zweck tatsächlich notwendig und verhältnismäßig ist. Gibt es weniger einschneidende Alternativen?
3. Bewertung der Risiken: Die potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen müssen identifiziert und bewertet werden. Dies umfasst die Wahrscheinlichkeit des Eintritts eines Schadens sowie das Ausmaß des potenziellen Schadens.
4. Festlegung von Maßnahmen zur Risikominderung: Basierend auf der Risikobewertung müssen geeignete Maßnahmen festgelegt werden, um die identifizierten Risiken zu minimieren oder zu beseitigen. Diese Maßnahmen können technischer oder organisatorischer Natur sein.
5. Dokumentation: Die gesamte DSFA muss umfassend dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können.

Wichtig: Es ist ratsam, den Datenschutzbeauftragten frühzeitig in den DSFA-Prozess einzubinden. Er kann wertvolle Hinweise geben und bei der Risikobewertung unterstützen.

Was passiert, wenn man keine DSFA durchführt, obwohl sie erforderlich wäre?

Die Nichtdurchführung einer DSFA, obwohl sie erforderlich wäre, kann erhebliche Konsequenzen haben. Die Aufsichtsbehörden können Bußgelder verhängen, die im schlimmsten Fall bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen können (je nachdem, welcher Wert höher ist). Darüber hinaus kann die Nichtdurchführung einer DSFA zu einem Imageschaden für das Unternehmen führen und das Vertrauen der Kunden beeinträchtigen.

Beispiele für Situationen, in denen eine DSFA wahrscheinlich erforderlich ist:

• Einsatz von KI-Systemen zur automatisierten Entscheidungsfindung: Wenn ein Unternehmen KI-Systeme einsetzt, um beispielsweise Kreditanträge automatisch zu bearbeiten oder Bewerbungen vorzufiltern, ist eine DSFA in der Regel erforderlich.
• Einführung eines neuen Kundenbindungsprogramms mit umfassendem Profiling: Wenn ein Unternehmen ein neues Kundenbindungsprogramm einführt, bei dem umfassende Profile der Kunden erstellt werden, um personalisierte Angebote zu erstellen, ist eine DSFA wahrscheinlich erforderlich.
• Nutzung von Gesichtserkennungstechnologie: Der Einsatz von Gesichtserkennungstechnologie, z.B. zur Zutrittskontrolle oder zur Überwachung von Verkaufsflächen, erfordert in der Regel eine DSFA.
• Datenverarbeitung im Gesundheitsbereich in großem Umfang: Die Verarbeitung von Gesundheitsdaten in großem Umfang, z.B. durch ein Krankenhaus oder eine Krankenkasse, erfordert fast immer eine DSFA.

Tipps für die Praxis:

• Frühzeitig prüfen: Beginnen Sie frühzeitig mit der Prüfung, ob eine DSFA erforderlich ist, idealerweise bereits in der Planungsphase einer neuen Verarbeitungstätigkeit.
• Dokumentieren Sie Ihre Entscheidung: Dokumentieren Sie die Gründe für Ihre Entscheidung, ob eine DSFA erforderlich ist oder nicht. Dies hilft Ihnen, Ihre Entscheidung gegenüber der Aufsichtsbehörde zu rechtfertigen.
• Nutzen Sie Vorlagen und Tools: Es gibt verschiedene Vorlagen und Tools, die Sie bei der Durchführung einer DSFA unterstützen können. Die Aufsichtsbehörden stellen oft Leitfäden und Vorlagen zur Verfügung.
• Holen Sie sich Unterstützung: Ziehen Sie den Datenschutzbeauftragten oder externe Experten hinzu, um Sie bei der Durchführung der DSFA zu unterstützen.
• Halten Sie die DSFA aktuell: Überprüfen Sie die DSFA regelmäßig und passen Sie sie bei Bedarf an, z.B. wenn sich die Verarbeitungstätigkeit ändert oder neue Risiken entstehen.

DSFA und TOMs: Hand in Hand

Die DSFA ist eng mit den technischen und organisatorischen Maßnahmen (TOMs) verbunden. Die TOMs sind die konkreten Maßnahmen, die ein Unternehmen ergreift, um die Sicherheit der Datenverarbeitung zu gewährleisten. Die DSFA hilft, die geeigneten TOMs zu identifizieren und zu implementieren. Eine gut durchgeführte DSFA führt idealerweise zu einer Verbesserung der TOMs und somit zu einem höheren Datenschutzniveau.

Beispiel: Eine DSFA ergibt, dass die Verarbeitung von Kundendaten über eine unsichere Internetverbindung erfolgt. Als TOM könnte nun die Implementierung einer verschlüsselten Verbindung (HTTPS) festgelegt werden.

Fazit:

Die DSFA ist ein wichtiges Instrument zur Gewährleistung des Datenschutzes und zur Einhaltung der DSGVO. Sie ist zwar mit Aufwand verbunden, aber die Investition lohnt sich, um potenzielle Risiken zu minimieren, Bußgelder zu vermeiden und das Vertrauen der Kunden zu gewinnen. Scheuen Sie sich nicht, sich Unterstützung zu holen und die DSFA als Chance zu begreifen, Ihre Datenverarbeitungsprozesse zu optimieren und den Datenschutz in Ihrem Unternehmen zu stärken.

Die Frage "Wann muss eine Datenschutz-Folgenabschätzung erfolgen?" ist nicht immer einfach zu beantworten, aber mit diesem Artikel haben Sie hoffentlich ein besseres Verständnis für die relevanten Kriterien und können fundierte Entscheidungen treffen. Denken Sie daran: Im Zweifelsfall ist es besser, eine DSFA durchzuführen, als sie zu unterlassen.