Verpflichtung zur Datenschutzfolgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 der Datenschutz-Grundverordnung (DS-GVO) dann durchzuführen, wenn die Datenverarbeitung in Ihrem Unternehmen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Betroffenen darstellt.

Ähnliche Datenverarbeitungen zusammenfassen

In einer DSFA können gemäß Art. 35 Abs. 1 Satz 2 DS-GVO mehrere ähnliche Datenverarbeitungen mit ähnlich hohem Risiko zusammengefasst werden. Datenverarbeitungen können vor allem dann ähnlich sein, wenn sie einen gemeinsamen Verarbeitungszweck aufweisen.

Die DS-GVO beschreibt leider nicht, wie eine DSFA konkret durchzuführen ist, sie nennt jedoch Mindestanforderungen, die in Ihrer DSFA enthalten sein müssen.

Mindestanforderungen an die DSFA

Zumindest muss nach Art. 35 Abs. 7 DSGVO eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge und Zwecke enthalten sein, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten des Betroffenen sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Unter Berücksichtigung dieser Mindestanforderungen bietet es sich an, die DSFA in 4 Phasen zu gliedern.

Die 4 Phasen der Datenschutz-Folgenabschätzung:

  • Vorbereitungsphase
  • Bewertungsphase
  • Maßnahmenphase
  • Berichtsphase

 

Die 4 Phasen der Datenschutz-Folgenabschätzung

Es bietet sich an, die Datenschutz-Folgenabschätzung (DSFA) in 4 Phasen zu unterteilen, um die Mindestanforderungen zu berücksichtigen. Im Folgenden erhalten Sie einen Überblick über diese 4 Phasen.

1. Vorbereitungsphase

In der Vorbereitungsphase legen Sie die Grundlage für die weiteren Schritte einer DSFA und formulieren deren Zielsetzung. Ihr Ziel bei einer DSFA ist es, nachweisen zu können, dass die geplante Datenverarbeitung den Anforderungen der DS-GVO entspricht und dass Sie angemessene und geeignete Abhilfemaßnahmen ergriffen haben, um trotz eines hohen Risikos ein angemessenes Schutzniveau gewährleisten zu können.

Rat des Datenschutzbeauftragten einzuholen

Die Pflicht, eine DSFA durchzuführen, obliegt grundsätzlich dem Unternehmen (Art. 35 Abs. 1 DS-GVO). Die Unternehmensführung kann die Aufgabe aber selbstverständlich delegieren.

Sofern Sie also nicht der Datenschutzbeauftragte selbst sind, gilt Folgendes: Nach Art. 35 Abs. 2 DS-GVO haben Sie bei der Durchführung der DSFA den Rat Ihres Datenschutzbeauftragten (DSB) einzuholen, sofern Sie einen solchen benannt haben. Beachten Sie diese Pflicht nicht, können Sie allein deshalb ein Bußgeld kassieren.

Der DSB soll seine Einschätzung zu den geplanten Datenverarbeitungsvorgängen abgeben können. Ein Urteil wird von ihm jedoch nicht gefordert. Sie sind auch nicht verpflichtet, den Rat des DSB zu befolgen.

Das müssen Sie festhalten

  • In der Vorbereitungsphase müssen Sie Folgendes beschreiben:
  • die konkret geplante Datenverarbeitung als Prüfungsgegenstand sowie deren Verarbeitungszwecke (Art. 35 Abs. 7 lit. a DS-GVO)
  • Ihr berechtigtes Interesse an der Datenverarbeitung, falls dies zutrifft (Art. 35 Abs. 7 lit. a DS-GVO)
  • Notwendigkeit und die Verhältnismäßigkeit der geplanten Datenverarbeitung in Bezug auf den Zweck (Art. 35 Abs. 7 lit. b DS-GVO)
  • Auflistung der verwendeten IT-Systeme und Prozesse
  • Beschreibung der verschiedenen Beteiligten, betroffenen Personen und bei der Datenverarbeitung eingesetzte Dritte
  • maßgebliche Rechtsgrundlagen, auf die Sie die konkrete Datenverarbeitung stützen

Mein Tipp: Verfahrensverzeichnis erleichtert die DSFA

Die Vorbereitungsphase können Sie sich erleichtern, wenn Sie ein ordentliches Verfahrensverzeichnis angelegt haben.

Schriftliche Dokumentation notwendig

Beachten Sie: Sie müssen die DSFA zwingend schriftlich dokumentieren. Das soll ihnen dabei helfen, die Rechtmäßigkeit der Datenverarbeitung anhand der in der DSFA festgelegten Kriterien im Nachhinein erneut überprüfen zu können.

2. Bewertungsphase

An die Vorbereitungsphase schließt sich die Bewertungsphase an. Hierbei müssen Sie relevante Risiken identifizieren und bewerten. Die Bewertung stellt den wichtigsten Teil der DSFA dar.

Nach Art. 35 Abs. 7 lit. c DS-GVO müssen Sie bei der Durchführung einer DSFA zwingend die Risiken für die Rechte und Freiheiten der betroffenen Personen bewerten. Sie sollten diese Risikobewertung deshalb detailliert durchführen.

Risikobewertung muss nachvollziehbar sein

Achten Sie darauf, dass Ihre Risikobewertung für Außenstehende nachvollziehbar ist. Die konkrete Ausgestaltung der Bewertungsphase orientiert sich in der Praxis an den Umständen des Einzelfalls und der konkreten Risikolage.

3. Maßnahmenphase

In der Maßnahmenphase identifizieren und wählen Sie geeignete Abhilfemaßnahmen und bauen diese anschließend in Ihre Datenverarbeitung ein. Hierbei müssen Sie auch die Einhaltung von genehmigten Verhaltensregeln berücksichtigen (Art. 35 Abs. 8, 40 DS-GVO). Diese Verhaltensregeln können von Verbänden oder Interessenvereinigungen ausgearbeitet werden.

Mein Tipp: Nach genehmigten Verhaltensregeln fragen

Ich empfehle Ihnen, sich bei Ihrem Interessenverband zu informieren, ob auf Sie zutreffende genehmigte Verhaltensregeln existieren.

Beteiligung der Betroffenen

Daneben fließt an dieser Stelle auch der gegebenenfalls eingeholte Standpunkt der betroffenen Personen in die Prüfung ein. Eine solche Beteiligung ist in Art. 35 Abs. 9 DS-GVO geregelt.

Letztlich wird von Ihnen verlangt, dass das in der Bewertungsphase ermittelte hohe Risiko der geplanten Datenverarbeitung durch die von Ihnen ausgewählten und umgesetzten Abhilfemaßnahmen so reduziert werden kann, dass gerade kein hohes Risiko mehr besteht. Das erfordert von Ihnen eine Bewertung der geplanten Abhilfemaßnahmen und eventuell eine Analyse des verbleibenden Restrisikos. Von Ihnen wird hierbei eine realistische Einschätzung in Bezug auf bereits verfügbare Technologien und die Umsetzungskosten verlangt.

Im Ergebnis sollte kein hohes Risiko mehr bestehen

Kommen Sie in Ihrer Bewertung zu dem Ergebnis, dass aufgrund der Abhilfemaßnahmen kein hohes Risiko mehr besteht, können Sie mit der Umsetzung der gewählten Abhilfemaßnahmen beginnen und anschließend mit der Datenverarbeitung. Ist eine Reduzierung des hohen Risikos nicht möglich, sind Sie verpflichtet, eine vorherige Konsultation nach Art. 36 DS-GVO durchzuführen.

4. Berichtsphase

Letzter Schritt ist die Berichtsphase. Sie ist im Wesentlichen Ausfluss Ihrer Dokumentationspflichten und Ihrer Rechenschaftspflicht nach Art. 5 DS-GVO.

Die einzelnen Phasen Ihrer DSFA mitsamt Ergebnissen haben Sie schriftlich zu dokumentieren. Anschließend sollten die Ergebnisse der DSFA in regelmäßigen Abständen überprüft werden, um sicherzustellen, dass die Ergebnisse der erfolgten DSFA auch weiterhin zutreffen.

DSFA regelmäßig überprüfen

Auslöser für eine erneute Überprüfung sind in erster Linie Änderungen an den Umständen der überprüften Verarbeitung. Aber auch ein längerer Zeitablauf seit der letzten DSFA verlangt eine wiederholte Überprüfung insbesondere dann, wenn seitdem Änderungen im Zusammenhang mit dem Risiko der konkreten Verarbeitung eingetreten sind.

In Erwägungsgrund 89 a. E. wird als Indikator für ein erhöhtes Risiko ein längerer Zeitraum seit der letzten Datenschutz-Folgenabschätzung genannt. In dieser Phase wird es in der Praxis regelmäßig erforderlich sein, auch die Auftragsverarbeiter hinzuzuziehen, die an der konkreten Datenverarbeitung beteiligt sind.

Was tun, wenn hohes Risiko fortbesteht?

Kommen Sie nach Abschluss der Maßnahmenphase zu der Einschätzung, dass ein hohes Risiko besteht, und können Sie dieses Risiko angesichts des aktuellen Stands der Technik oder angesichts unvertretbarer Implementierungskosten nicht eindämmen, sind Sie verpflichtet, eine vorherige Konsultation nach Art. 36 DSGVO durchzuführen.

Zunächst stellen Sie bei Ihrer zuständigen Datenschutz-Aufsichtsbehörde einen Antrag auf vorherige Konsultation und reichen die erforderlichen Informationen ein. Das sind die Informationen, die Sie selbst für die einzelnen Phasen der DSFA verwendet haben. Ihre Datenschutz-Aufsichtsbehörde unterbreitet Ihnen innerhalb von bis zu 8 Wochen entsprechende schriftliche Empfehlungen, ob und wie die Datenverarbeitung dennoch möglich ist.

Frühzeitig mit der DSFA beginnen

Beachten Sie: Neue Datenverarbeitungen mit voraussichtlich hohem Risiko können Sie nicht mehr beginnen, bevor Sie eine Datenschutz-Folgenabschätzung durchgeführt haben. Kommt dann noch eine vorherige Konsultation der Aufsichtsbehörden hinzu, kann es zu erheblichen Verzögerungen kommen, bevor Sie die neue Datenverarbeitung überhaupt erst beginnen können.

0.09.2018

Referat Datenschutz

Uwe Karsten
Rechtsanwalt
Fachanwalt für Arbeitsrecht

© 2018 Dr. Fingerle | Rechtsanwälte | Impressum | Datenschutz