Das Datenschutzrecht ändert sich: Noch ein Paragrafen-Wortmonster

Auf die Risikoanalyse folgt die Datenschutzfolgeabschätzung

| Autor / Redakteur: Wolf-Henning Hammer / Stephan Maderner

Recht rund ums Thema motorisiertes Zweirad oder Dreirad.
Recht rund ums Thema motorisiertes Zweirad oder Dreirad. (Bild: Vogel Business Media)

Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 4: Die Datenschutzfolgeabschätzung.

Nachdem das Verzeichnis der Verarbeitungstätigkeiten erstellt und die Risikoanalyse in Hinblick auf die Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität durchgeführt wurde, steht als nächster Schritt die Erstellung der Datenschutzfolgeabschätzung auf dem Programm. Das Spannende ist, die Datenschutzfolgeabschätzung kann erforderlich sein, ist es aber nicht zwingend. Entscheidend ist, ob die Form der Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat, wie es in Art. 35 Abs. 1 DSGVO heißt.

Das Datenschutzrecht ändert sich: Risikoanalyse unverzichtbar

Das Datenschutzrecht ändert sich: Risikoanalyse unverzichtbar

25.01.18 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 3. lesen

So kann eine Datenschutzfolgeabschätzung z.B. verzichtbar sein, wenn die Risikoanalyse in Hinblick auf die „Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen“ (Art. 24 DSGVO) ergeben hat, dass die Verarbeitung wahrscheinlich nicht mit einem hohen Risiko verbunden ist. Angesichts der drohenden Haftungsrisiken sollte dies jedoch nicht vorschnell angenommen und in jedem Fall sorgfältig dokumentiert werden. Schließlich ist der Datenschutz ein nach Artikel 8 Abs. 1 der Charta der Grundrechte der Europäischen Union oder nach Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union geschütztes Grundrecht.

Wer sich nicht sicher ist, ob eine Datenschutzfolgeabschätzung erforderlich ist, dem bietet Art. 35 Abs. 3 DSGVO eine gewisse Hilfestellung und benennt drei Fallgruppen.

Wörtlich heißt es: „Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;“

Der Katalog ist nicht abschließend! Je nach Umfang und Intensität der Datenverarbeitung können weitere Schritte dazu kommen.

Die Erwägungsgründe der DSGVO sind zu beachten

Die Bestimmungen der DSGVO sollten nie alleine, sondern stets in Zusammenhang mit den Erwägungsgründen gesehen werden.

So benennt z.B. Erwägungsgrund 75 zu den mit der Datenverarbeitung verbundenen Risiken explizit physische, materielle oder immaterielle Schäden, „insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann.“ Obacht ist ferner dann geboten, wenn die persönlichen Daten, die „die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen.“

Die Kernaussage lautet daher: Die Beurteilung der Frage, ob eine Datenschutzfolgeabschätzung erforderlich ist, muss sowohl die Risiken für betriebsfremde Personen als auch für Betriebsangehörige berücksichtigen.

Gibt es Fallgruppen, bei denen eine Datenschutzfolgeabschätzung unverzichtbar ist?

Die sogenannte Datenschutzgruppe nach Artikel 29 der Richtlinie 95/46/EG hat für die Beurteilung der Erforderlichkeit neun Kriterien festgelegt. Diese sind

1. das Bewerten oder Einstufen von Personen, einschließlich des Erstellens von Profilen,

2. die automatisierte Entscheidungsfindung,

3. die systematische Überwachung,

4. die Verarbeitung vertraulicher oder höchst persönlicher Daten,

5. die Datenverarbeitung in großem Umfang,

6. das Abgleichen oder Zusammenführen von Datensätzen,

7. die Verarbeitung von Daten schutzwürdiger Betroffener (z.B. Arbeitnehmer),

8. die Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen und

9. Fälle, in denen die Verarbeitung „die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert oder weil sie systematisch in großem Umfang erfolgt“ (Art. 22 DSGVO, Erwägungsgrund 91; §§ 30; 31; 37 BDSG-neu).

Hier gilt der Grundsatz, dass wenn ein Betrieb mehr als nur eine der genannten Verarbeitungsvorgänge durchführt, eine Datenschutzfolgeschätzung durchgeführt werden sollte. Allerdings ist die Zahl nur ein Anhaltspunkt. Wenn z.B. Bereiche des Betriebs kameraüberwacht werden oder bei der Kreditvergabe auf automatisierte Entscheidungsprozesse zurückgegriffen wird, kann eine Datenschutzfolgeabschätzung auch schon vorher erforderlich sein.

Als Beispiele wären hier die systematische Überwachung von Mitarbeitern am Arbeitsplatz oder die teilweise/vollständige Kameraüberwachung des Betriebsgeländes genannt. Auch die Auswertung von Internetdaten zwecks Erstellens von Nutzer- oder Marketingprofilen zählt dazu.

Umgekehrt kann eine Datenschutzfolgeabschätzung verzichtbar sein, wenn einem Kunden auf der Webseite gezielt Waren angeboten werden, die auf der Grundlage bisher gekaufter oder angesehener Produkte zusammengestellt worden sind. (Quelle: Leitlinien zur Datenschutzfolgeabschätzung der Datenschutzgruppe nach Artikel 29)

Wie ist die Datenschutzfolgeabschätzung zu erstellen?

Der Inhalt der Datenschutzfolgeabschätzung ist in Art. 35 Abs. 7 DSGVO quasi vorgegeben.

Danach muss die Folgenabschätzung mindestens Folgendes beinhalten:

1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Die Durchführung der Datenschutzfolgeabschätzung ist in vier Phasen untergliedert

Eine „Kurzanleitung“ für die Vorgehensweise bei der Erstellung ist quasi in Erwägungsgrund 90 zur DSGVO enthalten.

Danach sind

1. die Rahmenbedingungen zu ermitteln (Vorbereitungsphase)

„...unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos...“,

2. die Risiken abzuschätzen (Durchführungsphase)

„...die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos...“

3. die Risiken zu behandeln (Umsetzungsphase)

Dies bedeutet im Klartext, dass sich der Verantwortliche mit den „Maßnahmen, Garantien und Verfahren (zu) befassen (hat), durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden“ (siehe Artt. 25; 32 DSGVO)

Die Einholung entsprechender Nachweise bei Auftragsdatenverarbeitern gehört dazu.

Als vierte Phase sind ggf. erforderliche Anpassungen vorzunehmen, die Wirksamkeit anhand von Testläufen zu überprüfen und die Ergebnisse zu dokumentieren.

Wenn mehrere gleiche oder gleichartige Verarbeitungsvorgänge durchgeführt werden, kann eine einzige Datenschutzfolgeabschätzung ausreichend sein. Dabei ist allerdings beachten, dass sich die Vorgänge, z.B. durch ein Einsatz neuer Techniken, Verarbeitungsmethoden oder den Wechsel der Beteiligten ändern können. Die Datenschutzfolgeeinschätzung ist daher kein einmaliger Vorgang, sondern quasi „fortlaufend und prozessbegleitend“ durchzuführen.

Wer muss die Datenschutzfolgeabschätzung durchführen?

Die Verantwortung für die Durchführung der Datenschutzfolgeabschätzung liegt bei dem Verantwortlichen nach der DSGVO. Dies bedeutet jedoch nicht, dass er die Schritte alle selber durchführen muss. Wenn ein solcher benannt wurde, holt „der Verantwortliche ... bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten...ein“.

Unser Autor ist Rechtsanwalt Dr. Wolf-Henning Hammer, Kanzlei Voigt Rechtsanwalts GmbH, Dortmund.

ETL Kanzlei Voigt

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

15.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 2 lesen

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

12.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 1 lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45121264 / Recht)