Beitragsreihe DSGVO: Datenschutz-Folgenabschätzung

Die Einführung der Datenschutz-Grundverordnung (DSGVO) im vergangenen Jahr war bestimmt von den Zielen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen in Bezug auf ihre Daten besser zu schützen. Ihre Regelungen betreffen Unternehmen, Bürger und Behörden gleichermaßen.

Dieser Beitrag geht auf die Einführung der Datenschutz-Folgenabschätzung ein, mit welcher die Pflicht zur Vorabkontrolle nach dem alten Bundesdatenschutzgesetz (BDSG-alt) ersetzt wurde.

Alte Vorabkontrolle und neue Datenschutz-Folgenabschätzung

Mit der Vorabkontrolle gemäß § 4d Abs. 5 und 6 BDSG-alt sollten Datenverarbeitungen, die ein besonderes Risiko für Rechte und Freiheiten von Bürgern darstellten, unter den Vorbehalt einer Meldung an die Behörden oder einer Prüfung durch einen Datenschutzbeauftragten gestellt werden.

Das Verfahren hing davon ab, ob das Unternehmen einen Datenschutzbeauftragten bestellt hatte. War das Unternehmen dazu verpflichtet, prüfte er die beabsichtigte Datenverarbeitung unter Berücksichtigung der gesetzlichen Vorgaben auf ihre Zulässigkeit. Dem Datenschutzbeauftragten oblag zudem die grundsätzliche Entscheidung, ob eine Vorabkontrolle notwendig war. An die Stelle der Vorabkontrolle ist die Datenschutz-Folgenabschätzung des Art. 35 DSGVO getreten. Die Vorschrift betrifft solche Datenverarbeitungen, die ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen zur Folge haben, insbesondere beim Einsatz neuer Technologien und bei der Verarbeitung großer Datenmengen. Nun muss ein Unternehmen unabhängig von der Tatsache, ob ein Datenschutzbeauftragter bestellt wurde, in diesen Fällen eine umfassende Prüfung der beabsichtigten Datenverarbeitungen vornehmen und dabei insbesondere den Schutz personenbezogener Daten im Blick haben.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Zur Einschätzung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, empfiehlt sich ein mehrschrittiges Vorgehen. Zunächst ist zu beurteilen, ob eine Durchführung gänzlich ausgeschlossen ist. Ausnahmen können beispielsweise in den Datenschutzgesetzen der Länder normiert oder in Listen der Aufsichtsbehörden, sogenannten Whitelists, aufgeführt sein. Ebenso muss nach Art. 35 Abs. 1 S. 2 DSGVO keine Folgenabschätzung erfolgen, wenn eine solche für einen ähnlichen Verarbeitungsvorgang bereits vorhanden ist.

Sofern aber keine Ausnahme greift, ist die zentrale Vorschrift Art. 35 Abs. 3 DSGVO, die zu einer Datenschutz-Folgenabschätzung in drei Fällen verpflichtet:

1. Bei einer automatisierten, systematischen und umfassenden Bewertung natürlicher Personen, die als Grundlage rechtserheblicher Entscheidungen dient.
2. Bei einer umfangreichen Verarbeitung besonders sensibler, höchstpersönlicher Daten.
3. Bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Diese offen gehaltenen Formulierungen werden durch Listen der Aufsichtsbehörden, vor allem der Datenschutzkonferenz (DSK) konkretisiert, in denen Verarbeitungstätigkeiten aufgezählt sind, für die eine Datenschutz-Folgenabschätzung vorgenommen werden muss. Teilweise bieten die Länder zusätzlich noch eigene Listen an.

Aber auch solche sogenannten Blacklists können nicht abschließend alle Arten von Verarbeitungsvorgängen abbilden, weshalb nicht alle Datenschutzvorgänge in ihnen wiedergefunden werden können. Helfen sowohl Art. 35 Abs. 3 DSGVO als auch die Blacklists nicht weiter, muss der Verantwortliche das Risiko und die Notwendigkeit einer Datenschutz-Folgenabschätzung selbst beurteilen. Hier ist Vorsicht geboten, denn eine Nichtdurchführung trotz Erforderlichkeit begründet bereits einen Verstoß gegen die DSGVO, welcher mit Bußgeldern bestraft werden kann.

Vorgaben für die Datenschutz-Folgenabschätzung

Eine Folgenabschätzung muss mindestens die folgenden Punkte enthalten: eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten Betroffener sowie die Maßnahmen, die zur Bewältigung dieser Risiken getroffen werden sollen. Art. 35 Abs. 8 DSGVO nennt auch die Einhaltung von anerkannten Verhaltenskodizes bzw. Codes of Conduct als relevantes Merkmal für die Beurteilung der Auswirkungen von Datenverarbeitungen.

Ergibt sich bei der Datenschutz-Folgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und Erwägungsgrund 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig. Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind. Als wichtig ist hier hervorzuheben, dass das pure Bestehen von Restrisiken nicht automatisch zu einem Verbot der Datenverarbeitung führt.

Einschätzung und Konsequenzen für die Praxis

Die Datenschutz-Folgenabschätzung erscheint als Instrument zur Überprüfung von Verarbeitungsvorgängen mit besonders hohem Risiko sinnvoll, da im Gegensatz zur bloßen Meldung solcher Vorgänge Datenschutzvorfälle schon im Vorfeld vermieden werden können. Negativ fällt aber die Unbestimmtheit in Bezug auf die Voraussetzungen zur Notwendigkeit der Folgenabschätzungen auf, für die Konkretisierungen durch die Aufsichtsbehörden notwendig wie vorgesehen sind. Eine Einheitlichkeit kann somit nur mittels enger Abstimmung der Behörden erzielt werden, wenn man bedenkt, dass allein in Deutschland die Negativlisten je nach Bundesland unterschiedlich sein können.

Ebenso gibt es für den Prozess der Datenschutz-Folgenabschätzung keine konkreten Vorgaben, sodass ein Großteil der Risikobeurteilung dem Verantwortlichen selbst obliegt. Das kann von Vorteil sein, da die Eigenarten des Einzelfalls besser berücksichtigt werden können, bedeutet zugleich aber auch einen erhöhten Einsatz an Zeit und Bürokratie. Die Unternehmen sind angehalten, ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen.

Unternehmen sollten aber schlussendlich auch bedenken, dass eine effiziente Folgenabschätzung Sanktionen vermeiden helfen kann, die nach der Datenschutz-Grundverordnung in beträchtlicher Höhe verhängt werden können. Insofern ist die Datenschutz-Folgenabschätzung ein nützliches Instrument für den Schutz personenbezogener Daten, dessen Umsetzung aber doch einen merkbaren Aufwand bedeutet.