Die Datenschutz-Folgenabschätzung - Rechts- und Patentanwälte

Deutsch / English

Die Datenschutz-Folgenabschätzung

Soweit mit einer Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen einhergeht, hat der Verantwortliche vor Durchführung der Verarbeitungsmaßnahme eine Abschätzung der hiermit verbundenen Folgen für den Schutz personenbezogener Daten vorzunehmen. Beachtlich sind hierbei die Verwendung neuer Technologien sowie Art, Umfang, Umstände und der Zweck der Verarbeitung.

Gesetzliche Grundlage

Der oben dargestellte Wortlaut spiegelt die gelegentlich gem. Art. 35 DSGVO erforderliche Datenschutz-Folgenabschätzung wider.

Diese ist vor der Verarbeitungsmaßnahme durchzuführen bei

systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen,
umfangreicher Verarbeitung von besonderen Datenkategorien gem. Art. 9 DSGVO (u.a. Rasse, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, sexuelle Orientierung),
systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Praktische Anwendungsfälle

Die vorbeschriebenen, recht weit gefassten gesetzlichen Regelungen haben in der Praxis insbesondere folgende Anwendungsfälle:

biometrische Zugangs- oder Zugriffskontrollsysteme (z.B. Bezahlen per Fingerabdruck),
GPS-Daten-Tracking (z.B. in Firmen-PKWs),
Scoring durch Auskunfteien, Banken oder Versicherungen („Schufa“),
Betrieb von Bewertungsportalen oder Sozialen Netzwerken,
Kundensupport mittels künstlicher Intelligenz,
Videoüberwachung in sensiblen Bereichen (z.B. Arztpraxen, Arbeitsplätze) oder bei systematischer Überwachung.

Bestandteile der Folgenabschätzung

Eine ordnungsgemäße Datenschutz-Folgenabschätzung stellt eine schriftlich fixierte Prüfung der durch einen Verarbeitungsvorgang betroffenen Rechte Dritter dar. Sie enthält mindestens folgende Bestandteile:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Auswertung

Auf Grundlage der beschriebenen Prüfung ist eine abschließende Bewertung des Verarbeitungsvorgangs bei Abwägung von Schutzbedarf und Risiko für die personenbezogenen Daten vorzunehmen. Diese kann wie folgt veranschaulicht werden:

Bei einem grünen Resultat kann die Datenverarbeitung durchgeführt werden, bei gelben Resultaten sollten besondere Schutzmaßnahmen für die personenbezogenen Daten erläutert werden. Im Falle eines roten Ergebnisses muss auf die Datenverarbeitung verzichtet oder die Genehmigung der Datenschutzbehörde eingeholt werden.

Empfehlung für die Praxis

Die Datenschutz-Folgenabschätzung, die nicht selten von den Datenschutzbehörden eingesehen wird, stellt ein recht komplexes Instrument dar, um die bei einer Datenverarbeitung betroffenen Interessen gegeneinander abzuwägen. Entscheidend ist, dass eine solche Abwägung vor der Verarbeitung durchgeführt und schriftlich dokumentiert worden ist. Anderenfalls drohen Bußgelder.

Wir unterstützen Sie gerne bei der ordnungsgemäßen Durchführung der Datenschutz-Folgenabschätzung und übernehmen die ggf. erforderliche Korrespondenz mit der Datenschutzbehörde. Hierzu können Sie uns selbstverständlich jederzeit ansprechen.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360