Das Datenschutzrecht ändert sich: Risikoanalyse unverzichtbar

Umfangreiche Dokumentationspflicht

| Autor / Redakteur: Wolf-Henning Hammer / Stephan Maderner

Recht rund ums Thema motorisiertes Zweirad oder Dreirad.
Recht rund ums Thema motorisiertes Zweirad oder Dreirad. (Bild: Vogel Business Media)

Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 3.

Wie in den vorangegangenen Artikeln aufgezeigt, bringt das neue Datenschutzrecht Handlungsbedarf auf verschiedenen Ebenen mit sich. Wer das Verarbeitungsverzeichnis sorgfältig erstellt hat, weiß jetzt zwar wo in seinem Betrieb Risiken lauern. Fertig ist er aber noch nicht. Als nächster Schritt ist jetzt die Datenschutzfolgeabschätzung nach Art. 35 DSGVO zu erstellen. Diese ist immer dann erforderlich, wenn die Verarbeitung der personenbezogenen Daten voraussichtlich mit einem hohen Risiko verbunden ist. Nach Erwägungsgrund 75 der DSGVO ist dies z.B. dann gegeben, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten führen kann, um nur einige Beispiele zu nennen.

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

12.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 1 lesen

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

15.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 2 lesen

Wer in seinem Betrieb sensible Daten verarbeitet, eine systematische Überwachung (z.B. mittels Kamera) durchführt, Kreditanträge von Kunden automatisiert überprüfen lässt oder personenbezogene Daten an Empfänger außerhalb der EU übermittelt, kommt an der Datenschutzfolgeanalyse nicht vorbei. Aber selbst wenn keines der genannten Beispiele vorliegen oder eine Datenschutzfolgeanalyse aus anderen Gründen für entbehrlich gehalten werden sollte, ist es empfehlenswert dies schon aus Gründen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachvollziehbar zu dokumentieren.

Wie ist die Risikoanalyse zu fokussieren?

Die DSGVO betrifft den „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Art. 1 Abs. 1 DSGVO). Entscheidend sind daher die „Risiken für die Rechte und Freiheiten natürlicher Personen“ (Art. 24 Abs. 1 DSGVO). Die Risiken für den Betrieb dürfen zwar nicht vernachlässigt, aber eben nicht in den Mittelpunkt gestellt werden.

Welche Grundsätze gelten für die Risikoanalyse?

Die Grundsätze der Risikobewertung gibt Erwägungsgrund 76 zur DSGVO vor. Dort heißt es „Bei der Bewertung der Risiken sollten die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt“.

Bei der Beurteilung der Schutzbedürftigkeit kommt dabei den Risiken eine besondere Bedeutung zu, die „mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind“ (Art. 32 Abs. 2 DSGVO).

Wie ist die Risikoanalyse durchzuführen?

Von der Vorgehensweise her ist es sinnvoll festzustellen, zu welchem Zweck und in welchem Umfang die Daten erhoben werden, sowie wer von der Datenverarbeitung betroffen ist. Dies können sowohl die Personen sein, deren Daten verarbeitet werden (z.B. Kunden) als auch die Personen, die aktiv mit der Verarbeitung befasst sind. In Anbetracht der Vielgestaltigkeit der Verarbeitungsprozesse empfiehlt es sich, eine Person verantwortlich mit der Durchführung des Projekts zu betrauen. Die Aufnahme, Betrachtung und Beschreibung der betroffenen Prozesse sollte hingegen bei denjenigen liegen, die direkt damit befasst sind. Die Bandbreite reicht dabei über die Mitarbeiter im Empfang bis in die Werkstatt und von der Auftragsannahme bis hin zur Videoaufzeichnung. Mitbestimmungsgremien sollten – soweit vorhanden – ebenfalls in den Prozess einbezogen werden.

Im nächsten Schritt ist zu klären, ob und in welchem Umfang die Verarbeitungsprozesse den Anforderungen nach Art. 5 Abs. I DSGVO (Aktualität, Datenminimierung, Richtigkeit) entsprechen oder der Pseudonymisierung (Art. 6 DSGVO) oder den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) hinreichend Sorge getragen wird. Die Analyse darf sich dabei nicht nur auf die technischen Risikopotentiale beschränken. Auch menschliche oder kriminelle Faktoren sind in die Betrachtung ebenso mit einzubeziehen, wie Verträge mit Dritten.

Wenn sich herausstellt, dass z.B. mehr Daten gesammelt werden, als dies für den jeweiligen Zweck erforderlich ist, ist dringend nachzubessern. Dies gilt insbesondere dann, wenn weniger gravierende Verfahren existieren oder Sicherheitslücken offenbar werden und nicht nur für den eigenen Betrieb, sondern auch für die Auftragsverarbeitung bei Dritten. Im Zweifelsfall müssen bestehende Verträge dann nachverhandelt oder bestehende Geschäftsbeziehungen neu geordnet werden.

Die Analyse muss umfassend sein. Wer sich auf einzelne Aspekte, wie z.B. finanzielle Schäden beschränkt, greift zu kurz. Insbesondere die Möglichkeiten einer Diskriminierung, Rufschädigung, des Verlusts der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen sind ebenfalls zu beachten.

Zusammenfassung

Je sensibler die Daten und je größer ein drohender Schaden ist, desto höher muss das personelle, hard- und softwaretechnische Schutzniveau sein. Bei der praktischen Durchführung sollten zunächst potentielle Risikoquellen identifiziert und die Risiken beurteilt werden. Im nächsten Schritt sind dann die geeigneten Abhilfemaßnahmen auszuwählen, bevor abschließend die Datenschutzfolgeabschätzung erstellt wird. Deren Details sind aber Thema des nächsten Beitrags.

Unser Autor ist Rechtsanwalt Dr. Wolf-Henning Hammer, Kanzlei Voigt Rechtsanwalts GmbH, Dortmund.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45106769 / Recht)