INFORMATIONEN

Wie man eine DFA abschließt – Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DFA) ist eine der schwierigsten Verpflichtungen, die durch die Datenschutz-Grundverordnung durchgesetzt werden müssen. Andererseits ist das Verfahren in der Praxis schwieriger anzuwenden, wenn die Situationen, in denen eine Datenschutzfolgenabschätzung durchgeführt werden muss, relativ leicht zu verstehen sind.

Wann sollte eine DFA abgeschlossen werden?

Die DFA wurde aus dem Wunsch heraus geboren, die Formalitäten der Gesetze zu vereinfachen, indem das System der Erklärung und Genehmigung der Aufsichtsbehörde abgeschafft wurde. Ziel war es, ein Verfahren in Situationen durchzusetzen, in denen die Verarbeitung personenbezogener Daten ernsthaft gefährdet ist. In Erwägungsgrund 89 wird dieser Gedanke wiedergegeben:

(89) Mit der Richtlinie 95/46/EG wurde eine allgemeine Pflicht zur Unterrichtung der Aufsichtsbehörden über die Verarbeitung personenbezogener Daten eingeführt. Ohne die systematische Verpflichtung, die Sicherheit personenbezogener Daten zu verbessern, stellt diese Verpflichtung jedoch eine administrative und finanzielle Belastung dar.

Daher sollten diese allgemeinen undifferenzierten Meldepflichten abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die stattdessen auf die Arten von Verarbeitungen abzielen, die aufgrund ihrer Existenz, ihres Umfangs, ihrer Bedeutung und ihres Zwecks wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.

Folglich ist das Kriterium der DFA das Vorhandensein einer Gefahr für die Rechte und Freiheiten (A), eine Definition, die rechtlich erläutert und interpretiert werden muss, da sie auf den ersten Blick mehrdeutig erscheinen mag. Dies liegt zum Teil daran, dass in der Verordnung mehrere Ausnahmefälle (B) vorgesehen sind.

Das hohe Risiko für Rechte und Freiheiten

Auch wenn die Datenschutzfolgenabschätzung eine komplizierte Angelegenheit ist, liefert uns die Verordnung eine recht einfache Beschreibung der Fälle, in denen die Datenschutzfolgenabschätzung durchgesetzt wird. Siehe hierzu Artikel 35 Absatz 1:

Kann eine Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, insbesondere durch den Einsatz neuer Technologien, so führt der für die Verarbeitung Verantwortliche unter Berücksichtigung des Bestehens, des Umfangs, der Bedeutung und der Zwecke der Verarbeitung vor der Verarbeitung eine Analyse der Auswirkungen der vorgeschlagenen Verarbeitungen auf die Sicherheit personenbezogener Daten durch. Eine einzige Studie kann mehrere ähnliche Verarbeitungen mit ähnlich hohen Risiken abdecken.

Daher muss die Datenschutzfolgenabschätzung durchgeführt werden, wenn die Erhebung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten des Einzelnen darstellen kann. Was bei der Nutzung neuer Technologien beachtet wird: die Gestaltung, der Umfang, die Bedeutung und der Zweck des Produktionsprozesses.

Es ist zu beachten, dass die DFA vor der Durchführung des Verfahrens im Hinblick auf das Tempo durchgeführt werden muss. Dieser Punkt muss beachtet werden, da sonst die Gefahr der Rechtswidrigkeit und der Verhängung von Sanktionen gemäß Artikel 83 besteht.

Sonderfälle, in denen eine DFA immer erforderlich ist

Das Ziel der DSGVO, die risikoreichste Verarbeitung zu überwachen, wirft das Problem auf, zu bestimmen, welche Verarbeitung in der Praxis als die risikoreichste gilt. Folglich hat die Datenschutz-Grundverordnung hierfür zwei Wege eröffnet: Zum einen werden solche Verarbeitungen als potenziell gefährliche Verarbeitungen verstanden, indem sie in die Liste der Verarbeitungen gemäß Artikel 35 aufgenommen werden. Zweitens eröffnet sie den Europäischen Aufsichtsbehörden die Möglichkeit, eine Liste von Verarbeitungen zu erstellen, die unbedingt eine Datenschutzfolgenabschätzung erfordern.

Wie führt man eine DFA in der Praxis durch?

Sobald die Frage geklärt ist, ob eine DFA obligatorisch ist, stellt sich die Frage, wie sie durchgeführt werden soll. Hier wird es kompliziert. Um diese Risiken besser bewerten zu können, schreibt die europäische Verordnung eine Abfolge von Stufen vor, die die DFA durchlaufen muss (A), aber es fehlt eine operative Methodik (B).

Die obligatorischen Schritte der DFA

Generell rät uns die Datenschutz-Grundverordnung (Erwägungsgrund 90): „In solchen Situationen sollte der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen und dabei die Art, den Umfang, die Bedeutung und die Zwecke der Verarbeitung sowie die Quellen des Risikos berücksichtigen, um die Wahrscheinlichkeit und das genaue Ausmaß des hohen Risikos zu bestimmen. Insbesondere sollten die Schritte, Zusicherungen und Verfahren, die zur Minderung dieses Risikos, zur Gewährleistung der Sicherheit personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung vorgesehen sind, in diese Folgenabschätzung aufgenommen werden. Die Verordnung sieht fünf klare Phasen vor, die die Datenschutzfolgenabschätzung durchlaufen muss (1), sowie zwei obligatorische Konsultationen (2).

Die fünf obligatorischen Phasen der DFA

Um zu überprüfen, ob die mit der Verarbeitung verbundenen Risiken geregelt sind, legt die DSGVO eine Reihe von Sitzungen fest, die das Unternehmen durchlaufen muss, um sicherzustellen, dass eine konforme Datenschutzfolgenabschätzung durchgeführt wird. Diese Schritte sind in Artikel 35 Absatz 7 spezifiziert, der vorschlägt, dass die Überprüfung mindestens Folgendes umfasst

  • einen systematischen Überblick über die geplanten Verarbeitungsvorgänge und die Zwecke der Verarbeitung, einschließlich des berechtigten Interesses, das der für die Verarbeitung Verantwortliche gegebenenfalls verfolgt;
  • Eine Bewertung des Erfordernisses und der Verhältnismäßigkeit im Hinblick auf die Zwecke der Produktionsvorgänge;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1; und
  • Die geplanten Risikomanagementinitiativen, einschließlich Kontrollen, Maßnahmen und Sicherheitsmechanismen, wurden entwickelt, um die Sicherheit personenbezogener Daten zu gewährleisten und den Nachweis für die Einhaltung dieser Verordnung zu erbringen, wobei die legitimen Rechte und Interessen der betroffenen Personen und anderer Personen berücksichtigt werden.
  • Darüber hinaus muss der für die Verarbeitung Verantwortliche in Bezug auf Risikoveränderungen sicherstellen, dass die DFA-Analyse koordiniert wird (Art. 35.11):

    Erforderlichenfalls überprüft der für die Verarbeitung Verantwortliche, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung durchgeführt wird. Zumindest im Falle einer Verlagerung des durch die Datenverarbeitung verursachten Risikos ist die Verarbeitung durchzuführen.

    Obligatorische Konsultationen

    Für jede Pflege, die einer DFA unterzogen wird, schreibt die Verordnung außerdem zwei obligatorische Konsultationen vor:

    Bei der Durchführung einer Datenschutz-Folgenabschätzung holt der für die Verarbeitung Verantwortliche den Rat des behördlichen Datenschutzbeauftragten ein, sofern ein solcher Beauftragter benannt wurde. 35.9 Gegebenenfalls holt der für die Verarbeitung Verantwortliche ohne Rücksicht auf die Sicherheit allgemeiner oder geschäftlicher Interessen oder die Sicherheit der Verarbeitungsvorgänge die Meinung der betroffenen Personen oder ihrer Vertreter zu der geplanten Verarbeitung ein.

    Schlussfolgerung

    Beachten Sie, dass eine Folgenabschätzung auch für eine globale Sammlung von Verarbeitungen durchgeführt werden kann (Art. 35.10: wenn die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e erfolgt, ein rationaler Präzedenzfall im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, die betreffende Verarbeitung oder alle betreffenden Verarbeitungen diesem Recht unterliegen und bereits ein
    e Datenschutz-Folgenabschätzung im Rahmen einer allgemeinen Folgenabschätzung durchgeführt wurde, die im Lichte der Umsetzung der betreffenden Rechtsgrundlage durchgeführt wurde; die Absätze 1 bis 7 finden keine Anwendung, es sei denn, die Mitgliedstaaten halten es für angemessen, eine solche Überprüfung vor den Verarbeitungstätigkeiten durchzuführen).

    Legal Tech und Datenschutz

    Datenschutz und Rechtstechnologie sind untrennbar miteinander verbunden. Im Bereich der Rechts-IT finden Unternehmen, die den Datenschutz ernst nehmen, kreative Lösungen. Doch wie kann die Kombination

    mehr »