Datenschutz-Folgenabschätzungen
Bei der Planung von unternehmensinternen Projekten oder der Entwicklung neuer Produkte, in deren Rahmen die Verarbeitung personenbezogener Daten eine Rolle spielt, kann die gesetzliche Pflicht bestehen eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Die Kanzlei Heidrich Rechtsanwälte hat Datenschutz-Folgenabschätzungen bereits für diverse Projekte aus unterschiedlichen Bereichen durchgeführt und wir wissen, worauf es dabei ankommt. Wir beraten Sie gerne hinsichtlich der Erforderlichkeit einer DSFA und führen diese selbstverständlich auch gern für Sie durch. Hierfür können wir bei Bedarf auf eine enge Kooperation mit IT-Experten zurückgreifen, die den technischen Teil einer solchen Einschätzung übernehmen können.
Inhaltsübersicht
WAS IST EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG?
WANN MUSS EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG DURCHGEFÜHRT WERDEN?
WAS MUSS EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG BEINHALTEN?
WELCHE KONSEQUENZEN KANN DIE DATENSCHUTZ-FOLGENABSCHÄTZUNG HABEN?
DROHEN STRAFEN, WENN EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG UNTERBLEIBT?
Was ist eine Datenschutz-Folgenabschätzung?
Die gesetzlichen Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) dienen dem Schutz von personenbezogenen Daten einzelner Personen. Um die Rechte dieser Personen bestmöglich zu schützen, soll bei umfangreichen oder potentiell riskanten Datenverarbeitungen bereits im Vorfeld geprüft werden, ob ein besonderes Risiko für die Rechte der Betroffenen besteht. Ziel der DSFA ist eine Bestandaufnahme, auf deren Basis beurteilt werden kann, ob die geplante Nutzung der personenbezogenen Daten zulässig ist.
Letztendlich handelt es sich bei der DSFA um ein schriftliches Gutachten, welches sich juristisch mit den Folgen risikobehafteter Datenverarbeitungen auseinandersetzt.
Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Artikel 35 der DSGVO regelt, dass eine DSFA immer dann durchzuführen ist, wenn „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht. Dies ist insbesondere der Fall, wenn besonders sensible Daten, wie z.B. Gesundheitsdaten oder Daten, aus denen die ethnische Herkunft, die weltanschauliche Überzeugung oder die sexuelle Orientierung hervorgeht, in umfangreicher Weise verarbeitet werden. Aber auch bei sogenanntem Profiling, Big Data-Projekten oder einer umfangreichen Videoüberwachung kann die Durchführung einer DSFA Pflicht sein.
Die Aufsichtsbehörden sind verpflichtet Listen mit Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA durchzuführen ist. Diese Listen sind nicht abschließend und geben nicht immer Aufschluss darüber, wann die Pflicht zur Durchführung einer DSFA besteht. Liegen jedoch zwei oder mehr der nachfolgenden und als besonders riskant eingestuften Kriterien vor, so ist mit hoher Wahrscheinlichkeit ein solches Verfahren durchzuführen:
- Scoring und Evaluierung, inkl. Profilbildung und Vorhersagen
- Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung o systematische Beobachtung (z. B. von Arbeitsräumen)
- Sensible personenbezogene Daten
- Datenverarbeitung in großem Umfang
- Datensätze, die abgeglichen oder kombiniert werden
- Daten von besonders schutzbedürftigen Personen (z. B. Arbeitnehmer, Kinder)
- Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
- Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen
Was muss eine Datenschutz-Folgenabschätzung beinhalten?
In der DSFA muss mindestens enthalten sein:
- eine systematische Beschreibung der Verarbeitungsvorgänge, der Zwecke und ggf. der berechtigten Interessen des Verarbeitenden,
- eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitungsvorgänge,
- eine Bewertung der Risiken für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen sowie
- geplante Abhilfemaßnahmen zur Bewältigung dieser Risiken.
Die beiden letztgenannten Punkte stehen hierbei besonders im Fokus und sind daher juristisch genau zu untersuchen. Es sollte deshalb stets der Rat einer spezialisierten Anwaltskanzlei eingeholt werden.
Technische Aspekte der DSFA
Je nach Projekt kann eine DSFA auch erhebliche technische Kompetenz gerade im Bereich der IT-Sicherheit erfordern. Hier stehen wir in engem Kontakt mit qualifizierten Anbietern im Rahmen unserer diversen engen Kooperationen. Bei Bedarf können wir diese jederzeit zu einer geplanten oder laufenden Datenschutz-Folgenabschätzung hinzuziehen.
Welche Konsequenzen kann die Datenschutz-Folgenabschätzung haben?
Je nach Ergebnis der DSFA sind gegebenenfalls schärfere (Sicherheits-)Maßnahmen zu ergreifen, um einen ausreichenden Datenschutz zu gewährleisten. Hat die DSFA zum Ergebnis, dass besonders hohe Risiken für die Rechte natürlicher Personen bestehen, so ist sogar die zuständige Aufsichtsbehörde zu konsultieren. In diesem Fall kann es auch passieren, dass Projekte dauerhaft beendet werden müssen.
Drohen Strafen, wenn eine Datenschutz-Folgenabschätzung unterbleibt?
Die Aufsichtsbehörden können im Falle eines Verstoßes gegen die Pflicht zur Durchführung einer DSFA Bußgelder in Höhe von bis zu 10.000.000 Euro oder von bis zu 2% des weltweit erzielten Jahresumsatzes eines Unternehmens verhängen - je nachdem welcher Betrag höher ist.
Was Heidrich Rechtsanwälte für Sie tun kann!
Aufgrund der hohen Bußgelder, die im Falle einer fehlenden Datenschutz-Folgenabschätzung drohen, sollten Sie bei umfangreichen Projekten stets prüfen lassen, ob eine Pflicht zur Durchführung einer DSFA besteht. Die Durchführung selbst ist alles andere als trivial, weshalb hierzu immer rechtliche Beratung eingeholt werden sollten.
Unsere Rechtsanwälte aus Hannover stehen Ihnen zu dem Thema Datenschutz-Folgenabschätzung gerne mit Rat und Tat zur Seite. Hierbei können wir auch auf unsere Kooperationen zurückgreifen und auf Wunsch qualifizierte Techniker hinzuziehen. Kontaktieren Sie uns!