Die Allgemeine Datenschutzverordnung (DSGVO) legt fest, wie eine Agentur mit den personenbezogenen Daten von Bürgern der Europäischen Union (EU) umgehen darf. Nach der DSGVO muss ein Unternehmen eine Datenschutz-Folgenabschätzung (DFA) durchführen, bevor es mit risikoreichen Daten umgeht.
In diesem Leitfaden erklären wir:
Was ist die DSGVO-Datenschutz-Folgenabschätzung? General Data Protection Regulation?
Wie man eine Folgenabschätzung zum DSGVO-Datenschutz durchführt.
Was ist eine Datenschutz-Folgenabschätzung im Rahmen der Datenschutz-Grundverordnung?
Die Datenschutzfolgenabschätzung ist ein Mechanismus, der es dem für die Verarbeitung Verantwortlichen ermöglicht, die Risiken eines Datenverarbeitungsprojekts zu definieren und zu verringern. Nach der DSGVO bestimmt der für die Verarbeitung Verantwortliche „die Ziele und Mittel der Verarbeitung personenbezogener Daten“. Die DSGVO erlaubt es dem für die Verarbeitung Verantwortlichen, die Datenschutzfolgenabschätzung vor der Verarbeitung von Daten durchzuführen, die ein hohes Risiko für die betroffene Person, die eine bekannte oder erkennbare natürliche Person in der EU ist, darstellen.
In Artikel 35 wird festgelegt, wann der für die Verarbeitung Verantwortliche die Datenschutzfolgenabschätzung durchführen muss. Wenn der für die Verarbeitung Verantwortliche Daten mit „neuen“ Methoden verarbeiten möchte, die wahrscheinlich eine große Gefahr für die Rechte und Freiheiten natürlicher Personen darstellen, muss er die Verarbeitung der Daten bewerten:
Natur;
Umfang;
Kontext;
Zweckbestimmung.
Stellt der für die Verarbeitung Verantwortliche vor der Verarbeitung der Daten fest, dass die Daten ein hohes Risiko für die Betroffenen darstellen, muss er „die Auswirkungen der geplanten Verarbeitungstätigkeiten auf den Schutz personenbezogener Daten bewerten“.
Damit wird sichergestellt, dass der für die Verarbeitung Verantwortliche die zu erwartenden Auswirkungen erkennt und angemessene Maßnahmen zum Schutz der Daten ergreift. Der für die Verarbeitung Verantwortliche kann eine einzige Bewertung verwenden, um „eine Reihe von zusammenhängenden Verarbeitungen festzulegen, die mit ähnlich hohen Risiken verbunden sind“.
Artikel 35 (3) legt die Situationen fest, die es dem für die Verarbeitung Verantwortlichen ermöglichen, die Datenschutzfolgenabschätzung vor der Erhebung personenbezogener Daten abzuschließen. Von der Datenschutzfolgenabschätzung wird erwartet, dass sie:
Eine systematische und gründliche Bewertung der personenbezogenen Aspekte natürlicher Personen, die auf automatischen Analysen, einschließlich Profiling, beruhen und auf denen Entscheidungen beruhen, die Rechtsfolgen für die natürliche Person nach sich ziehen oder eine ebenso erhebliche Auswirkung auf die natürliche Person haben;
Erstellung der in Artikel 9 Absatz 1 genannten besonderen Arten von Daten oder der in Artikel 10 genannten personenbezogenen Daten im Zusammenhang mit Strafverfolgung und Straftaten in großem Umfang;
Systematische Überwachung in einem großen öffentlichen Umfeld.
Die Aufsichtsbehörde muss den für die Verarbeitung Verantwortlichen Anweisungen darüber erteilen, welche Arten von Tätigkeiten die Datenschutzfolgenabschätzung umfassen muss. Die DSGVO verlangt von der Aufsichtsbehörde, dass sie diese einrichtet und veröffentlicht:
DFA-pflichtige Vorgänge – eine Liste der Arten von Herstellungsvorgängen, die unter die DFA-Bestimmung fallen.
Vorgänge, für die keine Datenschutzfolgenabschätzung erforderlich ist – eine Liste der Arten von Verarbeitungsvorgängen, für die keine Datenschutzfolgenabschätzung erforderlich ist.
Die Datenschutzgruppe nach Artikel 29 (WP29) gab Empfehlungen dazu ab, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko für die betroffene Person führt. In den Leitlinien der WP29 werden Verarbeitungen definiert, die aufgrund ihres inhärenten hohen Risikos eine Datenschutzfolgenabschätzung erfordern, darunter:
Bewertung oder Einstufung, die die Erstellung von Profilen und die Vorhersage von „wirtschaftlichem Status, Eignung, persönlichen Wünschen oder Interessen, Effizienz oder Verhalten, Position oder Bewegungen“ beinhaltet – ein Beispiel ist ein Finanzunternehmen, das die Handlungen seiner Kunden aus einer Reihe von Gründen verfolgt, z. B. zur Bestimmung ihrer Kreditwürdigkeit oder zur Untersuchung von mutmaßlicher Geldwäsche.
Automatisierte Aktionen, die sich rechtlich auf das Thema der Daten auswirken – dazu gehört eine Datenanalyse, die zum Ausschluss oder zur Benachteiligung einer Person führen kann.
Systematische Überwachung, die dazu dient, die betroffenen Personen zu beobachten oder zu verwalten – Diese Form der Überwachung betrifft Situationen, in denen sich die betroffenen Personen nicht bewusst sind, dass sie Daten sammeln und verwenden.
Sensible Daten sind äußerst sensibel und enthalten verschiedene Arten personenbezogener Daten – diese Kategorien umfassen politische Ansichten und Strafregistereinträge.
Daten werden in großem Umfang verarbeitet – dies betrifft die Anzahl der betroffenen Personen, die verarbeitet werden, und den räumlichen Charakter des Vorgangs.
Der Abgleich oder die Zusammenführung von Datensätzen, die aus zwei oder mehr Datenverarbeitungstätigkeiten stammen, die aus verschiedenen Gründen durchgeführt werden, kann verschiedene für die Datenverarbeitung Verantwortliche erfordern, die die Daten in einer Weise verarbeiten, die den fairen Standards des Datenthemas entspricht.
Daten über schutzbedürftige Personen – Diese Form der Erhebung führt zu einem Machtgefälle zwischen den betroffenen Personen und den für die Datenverarbeitung Verantwortlichen. Zu den schutzbedürftigen Personen gehören sowohl Kleinkinder als auch ältere Patienten.
Innovative Nutzung oder Nutzung neuer technologischer Methoden für die Verarbeitung – dazu gehört die Verarbeitung von Fingerabdrücken oder Gesichtserkennungstechnologien.
Verarbeitungen, die betroffene Personen an der Ausübung eines Rechts hindern – dazu gehören Übermittlungen, die der betroffenen Person den Zugang zu einer Dienstleistung oder zu einem Vertrag verwehren. Ein Beispiel hierfür ist, wenn eine Bank eine Kreditvergleichsdatenbank verwendet, um zu entscheiden, ob sie einer betroffenen Person einen Kredit gewährt.
Als allgemeine Regel definiert die WP29 den Risikograd wie folgt: „Je mehr Anforderungen die Verarbeitung erfüllt, desto wahrscheinlicher ist es, dass sie ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt und daher eine Datenschutzfolgenabschätzung erforderlich ist.“ Daher kann ein für die Datenverarbeitung Verantwortlicher je nach Risikograd eine Datenschutzfolgenabschätzung verlangen, wenn er nur eines der Verarbeitungskriterien erfüllt.
