INFORMATIONEN

Datenschutz-Folgenabschätzungen – was, wann und wie

Wenn Ihr DSB Sie fragt, ob Sie über die Durchführung einer Datenschutzfolgenabschätzung nachgedacht haben, haben Sie Ihrem Team gerade ein aufregendes neues Produktkonzept vorgestellt. Ihr DSB bezieht sich natürlich auf eine Datensicherheitsfolgenabschätzung. Diese muss durchgeführt werden, wenn gemäß Artikel 35 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) ein Vorgang, bei dem personenbezogene Daten verarbeitet werden, wahrscheinlich ein „hohes Risiko“ für den Einzelnen darstellt. Eine Datenschutzfolgenabschätzung ist ein Mechanismus, mit dem ein für die Verarbeitung Verantwortlicher die Risiken eines bestimmten Verarbeitungsvorgangs systematisch erkennen und minimieren kann.

In einigen Fällen ist die Durchführung einer Datenschutzfolgenabschätzung obligatorisch. In manchen Situationen kann eine Datenschutzfolgenabschätzung jedoch als Leitfaden für bewährte Verfahren dienen, um mögliche Mängel bei der Einhaltung der Vorschriften zu ermitteln und die Rechenschaftspflicht gemäß der DSGVO zu erfüllen. Bevor die DSGVO in Kraft trat, haben wir uns bereits mit der Durchführung von Datenschutzfolgenabschätzungen befasst. In diesem Artikel werfen wir einen zweiten Blick darauf, wann eine Datenschutzfolgenabschätzung erforderlich ist, und geben einige praktische Tipps, die Sie bei der Durchführung dieser kritischen Compliance-Übung berücksichtigen können.

Wann ist eine Datenschutzfolgenabschätzung erforderlich?

Bei der Entscheidung, ob Sie eine Datenschutzfolgenabschätzung durchführen müssen, gibt es drei Möglichkeiten: die Datenschutz-Grundverordnung selbst, die Leitlinien des Europäischen Datenschutzausschusses (EDPB) und die so genannten „schwarzen Listen“ für nationale Datenschutzfolgenabschätzungen. Lassen Sie uns einen Blick auf jeden dieser Punkte werfen.

Artikel 35 der Datenschutz-Grundverordnung

In der Datenschutz-Grundverordnung selbst wird „risikoreiche“ Verarbeitung nicht definiert, aber drei Szenarien in Artikel 35 Absatz 3 machen automatisch eine Datenschutzfolgenabschätzung erforderlich. Diese sind:

  • Systematische und gründliche Bewertung, einschließlich der Erstellung von Profilen, von persönlichen Aspekten von Personen, die eine rechtliche Auswirkung oder eine ebenso bedeutende Auswirkung haben,
  • Groß angelegte Analysen von besonderen Kategorien personenbezogener Daten oder von Strafregisterdaten und
  • Systematische öffentliche Überwachung auf breiter Ebene.
  • Diese Szenarien sind minimal, so dass Sie andere Anweisungen zu diesem Thema vorschlagen müssen, wenn sie in Ihrem Fall nicht passen.

    EDPB-Kriterien

    Glücklicherweise hat der EDPB in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) Leitlinien veröffentlicht, um zu entscheiden, ob die Verarbeitung wahrscheinlich zu einer „hohen Gefahr“ beiträgt (WP 248 rev.01). Diese enthalten neun Kriterien (die „EDPB-Kriterien“), die berücksichtigt werden sollten.

    Einige der Anforderungen des EDPB konzentrieren sich auf die Form oder die Qualität der Daten und der betroffenen Personen, einschließlich der „groß angelegten Datenverarbeitung“, der Verarbeitung „hochsensibler personenbezogener Daten oder Daten“ und „Daten über schutzbedürftige Personen“. Andere Anforderungen konzentrieren sich auf die Verarbeitung der Daten und die angewandten Methoden: Verarbeitung, die die „systematische Überwachung“ von Personen, den „Abgleich oder die Integration von Datensätzen“, die „Bewertung oder das Ranking“ oder die Verwendung „neuer oder kreativer technischer oder organisatorischer Lösungen“ beinhaltet. Die letzten beiden Anforderungen des EDPB befassen sich mit den möglichen Auswirkungen auf den Einzelnen, insbesondere damit, ob die Verarbeitung zu einer „automatischen Entscheidungsfindung“ (wie in Artikel 22 der DSGVO vorgesehen) führt oder „die betroffenen Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen“.

    Im Allgemeinen ist nach den Leitlinien eine Datenschutz-Folgenabschätzung nur erforderlich, wenn zwei oder mehr der Anforderungen des EDPB zutreffen. Dennoch wird in bestimmten Situationen, in denen nur eine Anforderung zutrifft, eine Datenschutzfolgenabschätzung erforderlich sein. Der EDPB konzentriert sich hauptsächlich auf neue Technologien (darauf wird in den Erwägungsgründen der Datenschutz-Grundverordnung oft ausdrücklich hingewiesen).

    Im Sinne Ihres Verarbeitungsvorgangs müssen Sie auch darüber nachdenken, wie die Anforderungen des EDPB anzuwenden sind, indem Sie berücksichtigen, welche Daten Sie verarbeiten, welche Arten von Personen betroffen sind, welche Methoden und Technologien zum Einsatz kommen und welche möglichen Folgen und Auswirkungen auf Einzelpersonen zu erwarten sind. Eine medizinische Einrichtung, die Gesundheitsdaten zur Erstellung von Patientenprofilen verwendet, müsste beispielsweise eine Datenschutz-Folgenabschätzung durchführen, da sie vertrauliche Daten verarbeitet und diese Daten zur Beurteilung oder Erstellung von Profilen von Personen verwendet (und dabei möglicherweise fortschrittliche Technologien einsetzt). In ähnlicher Weise muss ein Hersteller eines vernetzten Spielzeugs, das Daten von Kindern sammelt, eine Datenschutz-Folgenabschätzung durchführen, weil es moderne und kreative Technologie verwendet und Informationen über gefährdete Personen verarbeitet (und theoretisch das Verhalten von Kindern verfolgt).

    Die Leitlinien des EDPB können Ihnen eine gute Vorstellung davon vermitteln, ob Sie eine AVV durchführen müssen, aber sie sind nicht die einzigen Leitlinien, die Sie berücksichtigen können.

    Wie sollte ich eine DFA ausfüllen?

    Sie haben also beschlossen, dass Sie eine Folgenabschätzung durchführen müssen. Aber wie wollen Sie sie durchführen?

    In der Datenschutz-Grundverordnung ist nicht genau festgelegt, wie eine Datenschutz-Folgenabschätzung abzuschließen ist, aber in Artikel 35 Absatz 7 heißt es, dass sie zumindest Folgendes umfassen sollte:

  • Eine Zusammenfassung der Verarbeitung (einschließlich des Zwecks der Verarbeitung und, falls erforderlich, der verfolgten berechtigten Interessen),
  • Eine Bewertung des Verarbeitungsbedarfs und der Verhältnismäßigkeit,
  • Risikobewertung der Rechte der betroffenen Personen (einschließlich der Risiken für die Privatsphäre und die Datensicherheit sowie anderer verfassungsmäßiger Rechte) und Risikobewertung der Rechte der betroffenen Personen
  • Welche Maßnahmen zur Risikominimierung können ergriffen werden?
  • In den EDPB-Leitlinien werden die Kriterien für Datenschutzfolgenabschätzungen näher erläutert (einschließlich der Frage, wann eine Konsultation der Aufsichtsbehörden angebracht ist und wann der für die Verarbeitung Verantwortliche die Veröffentlichung seiner Datenschutzfolgenabschätzung in Erwägung ziehen sollte), und es wird eine Liste von Rahmenwerken für Datenschutzfolgenabschätzungen erstellt. Eine Reihe von Aufsichtsbehörden, darunter auch das britische ICO, haben Vorlagen herausgegeben, die Sie verwenden oder an Ihre Bedürfnisse anpassen können.

    Eine Sache, die Sie bedenken sollten, ist, dass die Durchführung einer Datenschutzfolgenabschätzung sehr aufwendig sein kann. Sie können daher eine Kurzprüfung für das Unternehmen und die Produktteams planen und dabei helfen, zu entscheiden, ob eine vollständige Datenschutzfolgenabschätzung erforderlich ist, die sich auf einige der Szenarien aus den EDPB-Leitlinien und nationalen schwarzen Listen auswirken kann. Letztendlich gibt die DSGVO keine Empfehlungen für den Umgang mit Datenschutzfolgenabschätzungen, und Sie sollten ein System aufbauen, das für die Größe Ihres Unternehmens und die von Ihnen durchgeführte Verarbeitung akzeptabel ist.

    Vergessen Sie nicht, dass eine Datenschutz-Folgenabschätzung ein lebendiges Dokument sein sollte. Daher müssen Sie sie regelmäßig überprüfen, um sicherzustellen, dass sie korrekt und auf dem neuesten Stand ist, insbesondere wenn sich ein Asp
    ekt der Verarbeitung ändert.

    Wenn Sie diese Schritte befolgen, sollten Sie das nächste Mal, wenn Ihr behördlicher Datenschutzbeauftragter Sie fragt, ob Sie über eine DFA nachgedacht haben, hoffentlich bereit sein!

    Datenschutz im EWR

    Mit Ausnahme der Schweiz ist der Europäische Wirtschaftsraum (EWR) ein Zusammenschluss der Staaten der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA). Der EWR hat

    mehr »