DSGVO: Folgenabschätzung

(11.5.2017) Besondere Vorsichtsmaßnahmen müssen getroffen werden, wenn „neuartige Technologien“ zum Einsatz kommen oder neue Datenverarbeitungen erdacht werden. Denn dann besteht ein erhöhtes Risiko für den Datenschutz.

Bisher hießen diese Maßnahmen „Vorabkontrolle“ und mussten durch den Datenschutzbeauftragten erfolgen. Ab Mai 2018 ist das Unternehmen selbst dafür verantwortlich, eine so genannte „Folgenabschätzung“ durchzuführen (Art. 35 DSGVO). Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Wann muss man eine Folgenabschätzung durchführen?
Das Gesetz listet nur allgemeine, etwas vage formulierte Sachverhalte auf. Eine Folgenabschätzung ist demnach erforderlich,

  • wenn eine Bewertung von Personen erfolgt, dies systematisch und umfassend erfolgt und sich z.B. bei Vertragskonditionen auswirkt (etwa bei der Abschätzung der Kaufkraft/Scoring),
  • oder wenn besonders sensible Daten „umfangreich“ verarbeitet werden (z.B. Gesundheitsdaten im Rahmen von klinischen Studien)
  • oder wenn eine Videoüberwachung von öffentlichen Bereichen systematisch und umfangreich stattfindet.

Genauere Listen werden die Aufsichtsbehörden noch veröffentlichen.

Was ist dann zu tun?
Liegt einer dieser Fälle vor, muss geprüft werden, ob dem Datenschutz ausreichend Rechnung getragen wird. Diese Prüfung und ihr Ergebnis sind zu dokumentieren – und regelmäßig zu wiederholen (etwa alle 3 Jahre). Bei einer Kontrolle durch die Aufsichtsbehörde muss man dieses Protokoll vorlegen können.
Das Protokoll muss unter anderem auch alle Maßnahmen nennen, mit denen man die Datenschutz-Risiken verringern will.

Und wenn trotzdem noch ein Datenschutz-Risiko besteht?
Wenn die Folgenabschätzung ergibt, dass die Betroffenen weiterhin einem hohen Datenschutz-Risiko ausgesetzt sind (weil keine Maßnahmen getroffen werden können oder sollen, die das Risiko angemessen verringern):
Dann muss man die Datenschutz-Aufsichtsbehörde befragen („vorherige Konsultation“, Art. 36 DSGV). Die Behörde hat acht Wochen Zeit um zu sagen, ob die geplante Verarbeitung trotzdem in Ordnung ist – oder muss konkrete Empfehlungen zur Verbesserung abgeben. Wer die Behörden kennt, weiß, dass dieser Zeitrahmen ein ehrgeiziges Ziel ist – auch die Möglichkeit zur Fristverlängerung um weitere 6 Wochen wird wahrscheinlich oft kaum ausreichen.

Zusammenfassung:
Bevor personenbezogene Daten neu oder anders verarbeitet werden, müssen in bestimmten Fällen „Folgenabschätzungen“ durchgeführt werden. Hierzu sollte es firmeninterne Richtlinien geben, damit die Mitarbeiter wissen, wie sie sich zu verhalten haben.

Verwandte Beiträge