INFORMATIONEN

Implementierung von Datenschutz-Folgenabschätzungen

Artikel 29 Die Arbeitsgruppe, die sich aus Mitgliedern aller Datenschutzgremien in der EU zusammensetzt, hat Empfehlungen zur Datenschutz-Folgenabschätzung und zur Frage, ob die Verarbeitung wahrscheinlich ein hohes Risiko im Sinne der Datenschutz-Grundverordnung darstellt, herausgegeben. Um festzustellen, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko führt, hat die Artikel-29-Arbeitsgruppe die folgenden Bedingungen festgelegt, die zu berücksichtigen sind:

Bewertung oder Einstufung, einschließlich Profiling und Prognosen, insbesondere „unter Aspekten, die für den beruflichen Erfolg, die wirtschaftliche Lage, die Eignung, die persönlichen Wünsche oder Interessen, die Zuverlässigkeit oder das Verhalten, die Stellung oder die Bewegungen der betroffenen Person von Bedeutung sind“ (Erwägungsgründe 71 und 91).

Beispiele hierfür sind eine Bank, die ihre Kunden anhand eines Kreditreferenzindexes testet, oder ein Biotechnologieunternehmen, das genetische Profile direkt an Verbraucher verkauft, um Krankheits-/Gesundheitsrisiken zu ermitteln und vorherzusagen, oder ein Unternehmen, das Verhaltens- oder Werbeprofile auf der Grundlage der Nutzung oder Navigation auf seiner Website erstellt.

Die Bedeutung der automatisierten Entscheidungsfindung

Automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbarer erheblicher Auswirkung: Verarbeitungen, mit denen versucht wird, Entscheidungen über betroffene Personen zu treffen, die eine „rechtliche Wirkung auf die natürliche Person“ haben oder die „die natürliche Person in ähnlicher Weise erheblich beeinträchtigen“ (Artikel 35 Absatz 3 Buchstabe a)). So kann die Verarbeitung beispielsweise zum Ausschluss oder zur Benachteiligung von Personen führen. Eine Verarbeitung mit geringen oder keinen Auswirkungen auf Personen erfüllt dieses Kriterium nicht.

Der Prozess der systematischen Überwachung

Systematische Überwachung: Verarbeitung zur Beobachtung, Aufzeichnung oder Verwaltung betroffener Personen, einschließlich Daten, die durch systematische Überwachung des öffentlichen Raums erhoben werden“ (Artikel 35 Absatz 3 Buchstabe c). Im Vergleich dazu könnte es für die Menschen schwierig sein, zu verhindern, dass sie einer solchen Verarbeitung in seltenen öffentlichen (oder öffentlich zugänglichen) Räumen ausgesetzt werden (s).

Was gilt als sensible Daten?

Sensible Daten: Dazu gehören bestimmte Arten von Daten gemäß Artikel 9 (z. B. Informationen über politische Ansichten von Personen) sowie personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten. Ein Beispiel wäre ein allgemeines Krankenhaus, das Patientenakten führt, oder ein Privatdetektiv, der die Daten des Täters aufbewahrt.

Dieses Kriterium bezieht sich auch auf Daten, bei denen im weiteren Sinne davon ausgegangen werden kann, dass sie die potenzielle Gefahr für die Rechte und Freiheiten von Personen erhöhen, wie z. B. elektronische Mediendaten, Positionsdaten, Finanzdaten usw. (die für Zahlungsbetrug verwendet werden könnten). In diesem Zusammenhang ist es möglich, die Frage, ob die Daten bereits frei zugänglich gemacht wurden, bei der Einschätzung zu berücksichtigen, ob die Daten erneut für solche Zwecke verwendet werden sollen.

Dieses Kriterium kann auch Material umfassen, das von einer natürlichen Person im Rahmen rein persönlicher oder häuslicher Vorgänge verarbeitet wird (z. B. Cloud-Speichersysteme für die Verwaltung persönlicher Aufzeichnungen, E-Mail-Dienste, Tagebücher, E-Reader mit Notizfunktion und andere Life-Logging-Apps, die sehr persönliche Informationen enthalten können) und dessen Offenlegung oder Abruf aus einem anderen Grund erfolgt.

Wie werden Daten in großem Maßstab verarbeitet?

In der Datenschutz-Grundverordnung wird nicht beschrieben, was unter einem großen Ausmaß zu verstehen ist, während Erwägungsgrund 91 einige Leitlinien enthält. In jedem Fall rät die WP29, bei der Entscheidung, ob die Verarbeitung in großem Umfang erfolgt, die folgenden Erwägungen abzuwägen:

Die Anzahl der betroffenen Personen, entweder als feste Zahl oder als Prozentsatz der betroffenen Bevölkerung.

Die Menge der Daten und/oder die Anzahl der zu verarbeitenden Datenobjekte.

Zeitliche Dauer oder Dauerhaftigkeit der Datenverarbeitungsaufgaben

Die räumliche Ausdehnung des Herstellungsbetriebs

Datensätze, die gepaart oder zusammengeführt wurden, z. B. aus zwei oder mehr Datenverarbeitungsvorgängen, die aus unterschiedlichen Gründen und/oder von verschiedenen für die Datenverarbeitung Verantwortlichen in einer Weise durchgeführt wurden, die den realistischen Ansprüchen der betroffenen Person genügt.

Personenbezogene Daten schutzbedürftiger Personen

Daten, die schutzbedürftige Personen betreffen (Absatz 75): Die Verarbeitung dieser Art von Daten kann eine Datenschutz-Folgenabschätzung erfordern, da ein größeres Machtgefälle zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen besteht, was bedeutet, dass der Nutzer möglicherweise nicht in der Lage ist, der Verarbeitung seiner Daten zuzustimmen oder sie abzulehnen. Zum Beispiel wird es für Arbeitnehmer immer sehr schwierig sein, die von ihrem Chef durchgeführte Verarbeitung anzufechten, wenn es um die Verwaltung der Humanressourcen geht.

Ebenso kann nicht davon ausgegangen werden, dass Kinder in der Lage sind, sich bewusst und mit Bedacht gegen die Verarbeitung ihrer Daten zu wehren oder ihr Einverständnis zu geben. Dies betrifft häufig besonders schutzbedürftige Bevölkerungsgruppen wie psychisch Kranke, Asylbewerber oder alte Menschen, Patienten oder in beiden Fällen, wenn ein Ungleichgewicht zwischen dem Status der betroffenen Person und dem für die Verarbeitung Verantwortlichen festgestellt werden kann.

Innovative Umsetzungen

Innovative Nutzung oder Umsetzung technischer oder betrieblicher Lösungen, wie z. B. die Kombination von Fingerabdrücken und Gesichtserkennung für eine bessere physische Zugangskontrolle usw. Die Datenschutz-Grundverordnung macht deutlich, dass der Einsatz aktueller Technologien die Durchführung einer Datenschutz-Folgenabschätzung erforderlich machen kann (Artikel 35 Absatz 1 und Erwägungsgründe 89 und 91). Der Grund dafür ist, dass die Anwendung digitaler Technologien neue Wege der Datenerhebung und -nutzung mit sich bringen kann, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten des Einzelnen bergen. In der Tat könnten die persönlichen und sozialen Auswirkungen der Einführung neuer Technologien ungewiss sein.

Zusammenfassung

Die Datenschutzfolgenabschätzung kann es dem für die Verarbeitung Verantwortlichen ermöglichen, diese Bedrohungen zu berücksichtigen und zu bewältigen. Beispielsweise können solche „Internet der Dinge“-Technologien direkte Auswirkungen auf den Alltag und die Privatsphäre der Menschen haben und eine Datenschutzfolgenabschätzung erfordern.

DSGVO: Das Recht auf Berichtigung der betroffenen Person

22/12/2021 Keine Kommentare

Die Datenschutz-Grundverordnung gewährt Personen das Recht, unrichtige personenbezogene Daten zu berichtigen oder zu ergänzen, wenn diese unvollständig sind. Was beinhaltet das Recht auf Berichtigung? Gemäß

mehr »

Drei-Punkte-Aktionsplan gemäß der Schrems-II-Entscheidung

25/05/2022 Keine Kommentare

Die Entscheidung des Europäischen Gerichtshofs, den EU-US-Datenschutzschild in der Rechtssache Schrems II für ungültig zu erklären, hat Schockwellen durch das Geschäftsumfeld geschickt. Den Unternehmen, die

mehr »

E-Mail-Adressen und DSGVO – was müssen Sie wissen?

12/02/2022 Keine Kommentare

Die Generierung einer E-Mail-Adresse ist heute ein unkomplizierter Prozess geworden. Das Konto ist durch die Angabe von Name, Vorname, Benutzername und Passwortsammlung einsatzbereit (auch wenn

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Implementierung von Datenschutz-Folgenabschätzungen

Die Bedeutung der automatisierten Entscheidungsfindung

Der Prozess der systematischen Überwachung

Was gilt als sensible Daten?

Wie werden Daten in großem Maßstab verarbeitet?

Personenbezogene Daten schutzbedürftiger Personen

Innovative Umsetzungen

Zusammenfassung

DSGVO: Das Recht auf Berichtigung der betroffenen Person

Drei-Punkte-Aktionsplan gemäß der Schrems-II-Entscheidung

E-Mail-Adressen und DSGVO – was müssen Sie wissen?

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen