Datenschutzfolgeabschätzung praxistauglich

Die neu vorzunehmende

Datenschutz-Folgeabschätzung (ab dem 25.05.2018)

ist eines der zentralen Themen bei der Umsetzung der EU- Datenschutzgrundverordnung (DS-GVO.

Einfach gegliedert wird sie in allen

riskanten Verarbeitungen,

insbesondere bei neuen Technologien, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen unter Beteiligung des Datenschutzbeauftragten, wenn vorhanden, für diese Verarbeitung zuvor durchzuführen und zu dokumentieren sein, Art. 35 Abs. 1 und 2 DS-GVO (siehe nachfolgender Auszug aus Art. 35 DS-GVO).

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. …

Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

Die

Beteiligung des Betroffenen,

die Beschreibung des Verfahrens, die Beschreibung der technischen organisatorischen Maßnahmen zur Minimierung des Risikos, eventuell die Konsultation der Aufsichtsbehörde sind gemäß den Art. 35 und 36 DS-GVO abzuklären.

Das Herzstück der Datenschutzfolgeabschätzung aber wird die aber die

Achtung der Grundrechte natürlicher Personen

sein. Diese sind erst einmal herauszuarbeiten und werden im Erwägungsgrund 4 zur DS-GVO abstrakt beschrieben.

Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

Weiter wird der

Risikokatalog des Erwägungsgrundes 75 zur DS-GVO

zu prüfen sein.

Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

In Art. 35 Abs. 3 DS-GVO werden die

zwingenden Fälle einer Datenschutzfolgeabschätzung

beschrieben.

„Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;..“

Hierbei ist der Erwägungsgrund 91 zur DS-GVO zu berücksichtigen.

„Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Für die Abwendung von Auseinandersetzungen mit der Aufsichtsbehörde, Verbraucherschutzverbänden, Konkurrenten und Betroffenen, sollten Unternehmen die Datenschutzfolgeabschätzung durchführen. Ich kann Sie bei der praxistauglichen Anwendung unterstützen und bei mehreren ähnlichen Verarbeitungsvorgängen mit Ihnen ein Schema für die Abschätzung entwickeln.

EXTERNER DATENSCHUTZBEAUFTRAGTER TÜV – Zertifiziert DRESDEN

Ihr Datenschutzbeauftragter (TÜV zertifiziert), Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht, Thilo Zachow

Author: Rechtsanwalt Zachow - Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, TÜV zertifizierter Datenschutzbeauftragter

Ich bin Fachanwalt für IT-Recht (Fachanwaltslehrgang IT-Recht), Fachanwalt für Urheber- und Medienrecht (Fachanwaltslehrgang Urheber- und Medienrecht) und vertrete Contentprovider zu den Rechtsthemen e-commerce, Datenschutzrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Weiterhin berate ich Hosting- und Accessprovider zum Telekommunikationsrecht. Die individuelle Beratung mittelständischer Unternehmen und von Privatpersonen aus einer Hand, fachlich kompetent durch einen sehr hohen Grad der Spezialisierung, laufende Fortbildungen und 10 Jahren Erfahrung im IT-Recht, Urheber- und Medienrecht, sind mein Anspruch. Der TÜV Nord hat mich als Datenschutzbeauftragter zertifiziert. Lernen Sie mich persönlich kennen.