INFORMATIONEN

Vorherige Konsultation und Folgenabschätzung für den Datenschutz

Eine Datenschutz-Folgenabschätzung (DFA) ist eine Methode, um die mit der Datenerhebung verbundenen Risiken für die Privatsphäre im Voraus zu bewerten. Artikel 35 und Artikel 36 verlangen die Durchführung der Datenschutz-Folgenabschätzung und in einigen Fällen eine vorherige Konsultation.

Datenschutz-Folgenabschätzung (DFA)

Angenommen, es besteht die Möglichkeit, dass eine neue Art der Verarbeitung (insbesondere beim Einsatz neuer Technologien) ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen könnte. In diesem Fall muss der für die Datenverarbeitung Verantwortliche eine Datenschutzfolgenabschätzung durchführen.

Dies ist hier der Fall:

  • Automatisierte Entscheidungen, einschließlich Profiling;
  • Besondere Kategorien von Daten (Artikel 9) und Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10);
  • Systematische Überwachung des öffentlichen Raums in großem Maßstab.
  • Organisationen müssen nicht für alle Verarbeitungsvorgänge eine eigenständige Datenschutzfolgenabschätzung durchführen; eine einzige Datenschutzfolgenabschätzung kann eine Reihe identischer Verarbeitungsvorgänge mit ähnlich hohem Risiko abdecken.

    Bei der Durchführung der Datenschutz-Folgenabschätzung muss der für die Verarbeitung Verantwortliche den Datenschutzbeauftragten (falls vorhanden) und die Meinung der betroffenen Personen oder ihrer Mitglieder (falls zutreffend) einholen.

    Die Folgenabschätzung sollte mindestens folgende Punkte enthalten

  • Eine systematische Zusammenfassung der Verarbeitungen, der Prioritäten und des echten Interesses;
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Hinblick auf den Zweck;
  • Eine Bewertung der Risiken für die Interessen und Freiheiten der betroffenen Personen;
  • Mögliche Initiativen zur Risikokontrolle und Einhaltung von Vorschriften.
  • Der für die Verarbeitung Verantwortliche ist von der Durchführung der Datenschutzfolgenabschätzung ausgeschlossen, wenn:
  • Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der für die Verarbeitung Verantwortliche unterliegt;
  • Die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder für die Ausübung öffentlicher Gewalt, die dem für die Verarbeitung Verantwortlichen übertragen wurde.
  • Gibt es für eine solche Verarbeitung eine Rechtsgrundlage (im EU-Recht oder im Recht der Mitgliedstaaten), so gilt das Recht für eine bestimmte Verarbeitungstätigkeit oder für den Fall, dass die Datenschutzfolgenabschätzung bereits als Teil einer allgemeinen Folgenabschätzung durchgeführt wurde.

    Das bedeutet, dass, wenn ein (EU- oder nationales) Gesetz die Verarbeitung von Daten vorschreibt und bei Inkrafttreten dieses Gesetzes eine Datenschutz-Folgenabschätzung durchgeführt wurde, keine Datenschutz-Folgenabschätzung erforderlich ist, bis die Aufsichtsbehörde anders entscheidet.

    Vorherige Konsultation

    Der für die Verarbeitung Verantwortliche ist gesetzlich verpflichtet, sich vor der Verarbeitung mit der Aufsichtsbehörde in Verbindung zu setzen, wenn aus der Datenschutzfolgenabschätzung hervorgeht, dass die Verarbeitung ohne Maßnahmen zur Risikominderung zu einem hohen Risiko führt.

    Auf der Grundlage dieser Konsultation erteilt die Aufsichtsbehörde dem für die Verarbeitung Verantwortlichen eine schriftliche Empfehlung.

    Der für die Verarbeitung Verantwortliche muss über die folgenden Angaben für eine vorherige Konsultation verfügen:

  • Die jeweiligen Aufgaben des Controllers, des gemeinsamen Controllers und des Prozessors;
  • Die Ziele und Mittel der Datenverarbeitung;
  • Es werden Maßnahmen und Vorkehrungen getroffen, um die Interessen und Freiheiten der betroffenen Personen zu schützen;
  • Kontaktinformationen der Datenschutzstelle (falls zutreffend);
  • Die DFA;
  • Die Aufsichtsbehörde benötigt zusätzliche Angaben.