16
Sep
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 7: Die Datenschutz-Folgenabschätzung

Dr. Frank Bongers

Die neue Datenschutz-Grundverordnung verlangt von allen Verantwortlichen unter vielen Aspekten ein planmäßiges Handeln, welches datenschutzrechtliche Überlegungen von Anfang an mit einbezieht. Dies zeigt sich nicht nur in zahlreichen Dokumentations- und Informationspflichten. In vielen Fällen muss der Verantwortliche zur Vermeidung eines Bußgeldes sogar im Vorfeld eine nachweisbare Prüfung der datenschutzrechtlichen Folgen durchführen.

Was gilt bisher?

Schon das Bundesdatenschutzgesetz (BDSG) kennt die sogenannte „Vorabkontrolle“. Nach § 4 d Abs. 5 BDSG unterliegen automatisierte Verarbeitungen einer Vorabkontrolle, wenn sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Dies gilt insbesondere dann, wenn besondere Arten personenbezogener Daten (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) verarbeitet werden. Die Pflicht zur Vorabkontrolle besteht auch, wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistungen oder seines Verhaltens. Eine Vorabkontrolle kann dann nur entfallen, sofern die Verarbeitung auf einer Einwilligung des Betroffenen beruht oder für die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen erforderlich ist.

Was bringt die Zukunft?

An die Stelle der Vorabkontrolle tritt die Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung (DS-GVO). Dabei sind die von der Verordnung definierten Fälle, in denen eine Datenschutz-Folgenabschätzung stattfinden muss, weitgehend mit denen der schon bisher bekannten Vorabkontrolle identisch. Die Datenschutz-Folgenabschätzung ist in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Daten zur rassischen und ethnischen Herkunft, Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, genetische Daten, biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und diese veröffentlichen.

Anders als bisher sind die Inhalte der Datenschutz-Folgenabschätzung in der Verordnung näher bestimmt. Die Datenschutz-Folgenabschätzung muss zumindest Folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DS-GVO eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Person und sonstiger Betroffener Rechnung getragen wird.

Verstöße gegen die Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen, werden mit Geldbußen bis zu EUR 10 Mio. oder – wenn der Verantwortliche ein Unternehmen ist – i. H. v. bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres (je nachdem, welcher der Beträge höher ist) geahndet werden.

Außerdem sollte berücksichtigt werden, dass die Datenschutz-Folgenabschätzung zu den Pflichten des Unternehmens gehört, deren Einhaltung das Unternehmen nachweisen können muss (Rechenschaftspflicht nach Artikel 5 Abs. 2 DS-GVO) und ein Verstoß gegen diese Rechenschaftspflicht mit Geldbußen bis zu EUR 20 Mio. oder – wenn der Verantwortliche ein Unternehmen ist – i. H. v. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres (je nachdem, welcher der Beträge höher ist) geahndet werden kann.

Weiterführende Links :

 

 

» zur Übersicht