Fragen zur Datenschutz-Grundverordnung

Risiken und Probleme bei der Datenschutzfolgenabschätzung

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Beim Schutz personenbezogener Daten verlangt die DSGVO generell einen risikobasierten Ansatz. Viele Unternehmen unterschätzen jedoch massiv die damit teilweise verbundene Datenschutz­folgenabschätzung.
Beim Schutz personenbezogener Daten verlangt die DSGVO generell einen risikobasierten Ansatz. Viele Unternehmen unterschätzen jedoch massiv die damit teilweise verbundene Datenschutz­folgenabschätzung. (© BillionPhotos.com - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO) fordert generell einen risikobasierten Ansatz bei der Wahl der Schutzmaßnahmen. In bestimmten Fällen muss zudem eine Datenschutzfolgenabschätzung durchgeführt werden. Ohne Vorbereitung werden Unternehmen dazu aber nicht in der Lage sein, ein ganzer Prozess muss geplant und aufgesetzt werden.

In hoher Frequenz erscheinen Umfrageergebnisse dazu, wie weit die Unternehmen in Deutschland, in Europa oder auch weltweit bereits sind, wenn es um die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Obwohl nur noch wenig Zeit verbleibt, sind die Anteile deren, die von deutlichen Schwierigkeiten berichten, immer noch recht hoch, manche Unternehmen geben zu, dass sie es wohl nicht fristgerecht schaffen werden.

Schaut man sich die Gründe für die Verzögerungen und damit die größten Herausforderungen an, trifft man meist auf die Umsetzung von Betroffenenrechten wie das Recht auf Vergessenwerden oder das Recht auf Datenübertragbarkeit. Doch seltener hört man von Schwierigkeiten, die mit der sogenannten Datenschutzfolgenabschätzung (DSFA) oder Data Protection Impact Assessment (DPIA) in Verbindung stehen. Kann man daraus schließen, dass hier alles bereits „in trockenen Tüchern“ ist? Leider nein! Es ist vielmehr so, dass der genaue Umfang einer Datenschutzfolgenabschätzung nicht wirklich gesehen wird. Das muss sich ändern.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Die Analyse beginnt bereits vor der Datenschutzfolgenabschätzung

Auf den ersten Blick scheint Datenschutzfolgenabschätzung nur ein umständlicher Betriff für Risikoanalyse zu sein, doch in Wirklichkeit liegt die erste Risikoanalyse, die notwendig ist, noch vor dem Beginn der Datenschutzfolgenabschätzung. Wenn es um dieses Datenschutz-Instrument geht, wollen Aufsichtsbehörden zum Beispiel wissen: „Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?“

Ob eine DSFA notwendig ist oder nicht, regelt Artikel 35 DSGVO so: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Somit muss man zuerst prüfen, ob voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung der personenbezogenen Daten besteht, um dann auf Basis dieser Risikoanalyse zu entscheiden, eine Datenschutzfolgenabschätzung zu machen oder nicht. Für diese Risikoanalyse müssen Unternehmen bereits ein Verfahren bestimmen und einführen, nicht erst für die DSFA. Zudem muss diese erste Risikoanalyse genauso dokumentiert werden wie die ggf. folgende Datenschutzfolgenabschätzung.

Wann eine Datenschutzfolgenabschätzung ansteht

Zusätzlich zu dieser Risikoanalyse, ob eine Datenschutzfolgenabschätzung ansteht oder nicht, gibt es noch Vorgaben der DSGVO sowie Hilfen der Aufsichtsbehörden. So besagt die DSGVO, dass eine Datenschutz-Folgenabschätzung insbesondere in folgenden Fällen erforderlich ist:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Aufsichtsbehörden erstellen (in naher Zukunft) eine Liste der Verarbeitungsvorgänge, für die eine Datenschutzfolgenabschätzung durchzuführen ist, und veröffentlichen diese. Die Aufsichtsbehörden können zudem eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Ebenso gilt: Das Unternehmen muss vor der Verarbeitung die Aufsichtsbehörde konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern das Unternehmen keine Maßnahmen zur Eindämmung des Risikos trifft.

Was zu einer DSFA gehört

Die Datenschutzfolgenabschätzung selbst besteht aus

  • einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
  • einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • einer Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • den zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird.

Auch für die zuvor genannte Risikobewertung innerhalb der Datenschutzfolgenabschätzung benötigt das jeweilige Unternehmen ein geeignetes Verfahren. Ob die DSFA zutrifft und ob die ergriffenen Maßnahmen wirksam sind, soll natürlich auch überprüft werden, zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. Die Aufsichtsbehörden erwarten durchaus, dass das Unternehmen die gewählten Verfahren zur Risikobewertung vor der ersten Datenschutzfolgenabschätzung getestet hat.

Übrigens haben die Aufsichtsbehörden selbst Verfahren für eine Datenschutzfolgenabschätzung getestet (pdf), exemplarisch und nicht als verbindliche Vorlage gemeint. Hier wird in jedem Fall sichtbar, dass eine DSFA einen höheren Aufwand mit sich bringen kann, als dies manche Unternehmen bisher glauben.

Leitlinien der Artikel 29 Datenschutzgruppe zur Datenschutzfolgenabschätzung gibt es ebenfalls bereits. Auch diese zeigen, dass man dieses Datenschutz-Instrument sehr ernst nehmen sollte, auch in der Vorbereitung.

Was man bei der DSGVO erst später richtig angehen kann

Fragen zur Datenschutz-Grundverordnung

Was man bei der DSGVO erst später richtig angehen kann

26.01.18 - Viele Unternehmen schaffen es nicht, die Anforderungen der DSGVO fristgerecht umzusetzen. Das liegt an Unklarheiten in der Verordnung, aber oft auch an mangelnder Vorbereitung. Es hilft nichts, die Datenschutz-Grundverordnung muss dennoch zum Stichtag 25. Mai 2018 vollständig umgesetzt sein. Bei einigen Punkten gilt es trotzdem, auf weitere Informationen zu warten. lesen

Was sich durch die DSGVO bei Online-Werbung ändert

Fragen zur Datenschutz-Grundverordnung

Was sich durch die DSGVO bei Online-Werbung ändert

16.02.18 - Die Datenschutz-Grundverordnung (DSGVO) enthält keine speziellen Regelungen für Werbung. Das bedeutet aber nicht, dass kein Handlungsbedarf besteht, im Gegenteil. Wer Online-Werbung nutzt, muss einiges prüfen, um sich auf die Datenschutz-Grundverordnung vorzubereiten. Eine große Rolle spielt dabei die Frage nach der Einwilligung oder einer anderen Rechtsgrundlage. lesen

Was ändert sich bei der Datenschutz-Zertifizierung

Fragen zur Datenschutz-Grundverordnung

Was ändert sich bei der Datenschutz-Zertifizierung

19.03.18 - Datenschutz-Zertifikate erhalten mit der Datenschutz-Grundverordnung (DSGVO / GDPR) eine größere Bedeutung. Bisherige Datenschutz-Zertifizierungen werden auf die DSGVO umgestellt, neue Zertifizierungsprojekte beginnen. Wir geben einen Überblick über die wichtigsten Entwicklungen im Bereich Datenschutz-Zertifizierung und geben Hinweise zur Anwendung von Datenschutz-Zertifikaten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45249257 / Compliance und Datenschutz )