Die Datenschutz-Folgenabschätzung (DFA) ist eine der schwierigsten Verpflichtungen, die durch die Datenschutz-Grundverordnung durchgesetzt werden müssen. Andererseits ist das Verfahren in der Praxis schwieriger anzuwenden, wenn die Situationen, in denen eine Datenschutzfolgenabschätzung durchgeführt werden muss, relativ leicht zu verstehen sind.
Wann sollte eine DFA abgeschlossen werden?
Die DFA wurde aus dem Wunsch heraus geboren, die Formalitäten der Gesetze zu vereinfachen, indem das System der Erklärung und Genehmigung der Aufsichtsbehörde abgeschafft wurde. Ziel war es, ein Verfahren in Situationen durchzusetzen, in denen die Verarbeitung personenbezogener Daten ernsthaft gefährdet ist. In Erwägungsgrund 89 wird dieser Gedanke wiedergegeben:
(89) Mit der Richtlinie 95/46/EG wurde eine allgemeine Pflicht zur Unterrichtung der Aufsichtsbehörden über die Verarbeitung personenbezogener Daten eingeführt. Ohne die systematische Verpflichtung, die Sicherheit personenbezogener Daten zu verbessern, stellt diese Verpflichtung jedoch eine administrative und finanzielle Belastung dar.
Daher sollten diese allgemeinen undifferenzierten Meldepflichten abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die stattdessen auf die Arten von Verarbeitungen abzielen, die aufgrund ihrer Existenz, ihres Umfangs, ihrer Bedeutung und ihres Zwecks wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.
Folglich ist das Kriterium der DFA das Vorhandensein einer Gefahr für die Rechte und Freiheiten (A), eine Definition, die rechtlich erläutert und interpretiert werden muss, da sie auf den ersten Blick mehrdeutig erscheinen mag. Dies liegt zum Teil daran, dass in der Verordnung mehrere Ausnahmefälle (B) vorgesehen sind.
Das hohe Risiko für Rechte und Freiheiten
Auch wenn die Datenschutzfolgenabschätzung eine komplizierte Angelegenheit ist, liefert uns die Verordnung eine recht einfache Beschreibung der Fälle, in denen die Datenschutzfolgenabschätzung durchgesetzt wird. Siehe hierzu Artikel 35 Absatz 1:
Kann eine Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, insbesondere durch den Einsatz neuer Technologien, so führt der für die Verarbeitung Verantwortliche unter Berücksichtigung des Bestehens, des Umfangs, der Bedeutung und der Zwecke der Verarbeitung vor der Verarbeitung eine Analyse der Auswirkungen der vorgeschlagenen Verarbeitungen auf die Sicherheit personenbezogener Daten durch. Eine einzige Studie kann mehrere ähnliche Verarbeitungen mit ähnlich hohen Risiken abdecken.
Daher muss die Datenschutzfolgenabschätzung durchgeführt werden, wenn die Erhebung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten des Einzelnen darstellen kann. Was bei der Nutzung neuer Technologien beachtet wird: die Gestaltung, der Umfang, die Bedeutung und der Zweck des Produktionsprozesses.
Es ist zu beachten, dass die DFA vor der Durchführung des Verfahrens im Hinblick auf das Tempo durchgeführt werden muss. Dieser Punkt muss beachtet werden, da sonst die Gefahr der Rechtswidrigkeit und der Verhängung von Sanktionen gemäß Artikel 83 besteht.
Sonderfälle, in denen eine DFA immer erforderlich ist
Das Ziel der DSGVO, die risikoreichste Verarbeitung zu überwachen, wirft das Problem auf, zu bestimmen, welche Verarbeitung in der Praxis als die risikoreichste gilt. Folglich hat die Datenschutz-Grundverordnung hierfür zwei Wege eröffnet: Zum einen werden solche Verarbeitungen als potenziell gefährliche Verarbeitungen verstanden, indem sie in die Liste der Verarbeitungen gemäß Artikel 35 aufgenommen werden. Zweitens eröffnet sie den Europäischen Aufsichtsbehörden die Möglichkeit, eine Liste von Verarbeitungen zu erstellen, die unbedingt eine Datenschutzfolgenabschätzung erfordern.
Wie führt man eine DFA in der Praxis durch?
Sobald die Frage geklärt ist, ob eine DFA obligatorisch ist, stellt sich die Frage, wie sie durchgeführt werden soll. Hier wird es kompliziert. Um diese Risiken besser bewerten zu können, schreibt die europäische Verordnung eine Abfolge von Stufen vor, die die DFA durchlaufen muss (A), aber es fehlt eine operative Methodik (B).
Die obligatorischen Schritte der DFA
Generell rät uns die Datenschutz-Grundverordnung (Erwägungsgrund 90): „In solchen Situationen sollte der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen und dabei die Art, den Umfang, die Bedeutung und die Zwecke der Verarbeitung sowie die Quellen des Risikos berücksichtigen, um die Wahrscheinlichkeit und das genaue Ausmaß des hohen Risikos zu bestimmen. Insbesondere sollten die Schritte, Zusicherungen und Verfahren, die zur Minderung dieses Risikos, zur Gewährleistung der Sicherheit personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung vorgesehen sind, in diese Folgenabschätzung aufgenommen werden. Die Verordnung sieht fünf klare Phasen vor, die die Datenschutzfolgenabschätzung durchlaufen muss (1), sowie zwei obligatorische Konsultationen (2).
Die fünf obligatorischen Phasen der DFA
Um zu überprüfen, ob die mit der Verarbeitung verbundenen Risiken geregelt sind, legt die DSGVO eine Reihe von Sitzungen fest, die das Unternehmen durchlaufen muss, um sicherzustellen, dass eine konforme Datenschutzfolgenabschätzung durchgeführt wird. Diese Schritte sind in Artikel 35 Absatz 7 spezifiziert, der vorschlägt, dass die Überprüfung mindestens Folgendes umfasst
Darüber hinaus muss der für die Verarbeitung Verantwortliche in Bezug auf Risikoveränderungen sicherstellen, dass die DFA-Analyse koordiniert wird (Art. 35.11):
Erforderlichenfalls überprüft der für die Verarbeitung Verantwortliche, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung durchgeführt wird. Zumindest im Falle einer Verlagerung des durch die Datenverarbeitung verursachten Risikos ist die Verarbeitung durchzuführen.
Obligatorische Konsultationen
Für jede Pflege, die einer DFA unterzogen wird, schreibt die Verordnung außerdem zwei obligatorische Konsultationen vor:
Bei der Durchführung einer Datenschutz-Folgenabschätzung holt der für die Verarbeitung Verantwortliche den Rat des behördlichen Datenschutzbeauftragten ein, sofern ein solcher Beauftragter benannt wurde. 35.9 Gegebenenfalls holt der für die Verarbeitung Verantwortliche ohne Rücksicht auf die Sicherheit allgemeiner oder geschäftlicher Interessen oder die Sicherheit der Verarbeitungsvorgänge die Meinung der betroffenen Personen oder ihrer Vertreter zu der geplanten Verarbeitung ein.
Schlussfolgerung
Beachten Sie, dass eine Folgenabschätzung auch für eine globale Sammlung von Verarbeitungen durchgeführt werden kann (Art. 35.10: wenn die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e erfolgt, ein rationaler Präzedenzfall im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, die betreffende Verarbeitung oder alle betreffenden Verarbeitungen diesem Recht unterliegen und bereits ein
e Datenschutz-Folgenabschätzung im Rahmen einer allgemeinen Folgenabschätzung durchgeführt wurde, die im Lichte der Umsetzung der betreffenden Rechtsgrundlage durchgeführt wurde; die Absätze 1 bis 7 finden keine Anwendung, es sei denn, die Mitgliedstaaten halten es für angemessen, eine solche Überprüfung vor den Verarbeitungstätigkeiten durchzuführen).