Die Datenschutz-Grundverordnung (DSGVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Dazu verfolgt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz. Das heißt: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung, Art. 24, 32 DSGVO.
Gretchenfrage: Risiko!
Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, muss der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung (DSFA) vornehmen – und auch ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden.
Lässt sich ein hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen.
Eine DSFA ist zu überprüfen und anzupassen, sollten neue Risiken hinzukommen, die bereits behandelte Risiken ändern oder wesentlich erschweren. Über Prüfroutinen kann sichergestellt werden, dass eine DSFA noch aktuell ist.
Behandlung vorhandener Datenverarbeitungen
Für diese Datenverarbeitungen gibt es keinen Bestandsschutz. Eine DSFA ist durchzuführen, wenn die Voraussetzungen dafür vorliegen oder neue Risiken zu einer entsprechenden Wertung führen. Gestützt auf Erwägungsgrund 171 der DSGVO sehen die Leitlinien der Art.-29-Datenschutzgruppe (Stand: 04.10.2017) vor, dass man keine DSFA benötigt, wenn eine Datenschutzaufsicht oder ein entsprechend Beauftragter eine Datenverarbeitung durch die sogenannten "Vorabkontrolle" geprüft hat. Solche Prüfentscheidungen bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.
Die Vorgehensweise
- Für jede Verarbeitung ist mit einer systematischen Risikobewertung (Schwellenwertanalyse) zu klären, ob eine DSFA durchgeführt werden muss. Das Ergebnis ist zu dokumentieren – etwa in einer Beschreibung im Verzeichnis von Verarbeitungstätigkeiten.
- Für mehrere ähnliche Verarbeitungsvorgänge reicht eine Abschätzung, falls diese ein ähnlich hohes Risiko haben.
- Vorstufe einer Risikobewertung ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten – also u.a. Kunden-, Mitarbeiter-, Steuer- und Gesundheitsdaten
Ich möchte diesen Beitrag teilen