Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Datenschutzfolgenabschätzung, Verhaltensregeln und Zertifizierungen: Neue Herausforderungen und ihre Lösungen

PrintMailRate-it

zuletzt aktualisiert am 22. Mai 2019


Die Datenschutzfolgenabschätzung ist vielen Unternehmen ein Begriff, in der Anwendung und Umsetzung bleibt jedoch noch vieles im Unklaren. Insbesondere die Anwendungsfälle waren anfangs nur schwer bestimmbar. Zwischenzeitlich haben einige Behörden und die Datenschutzkonferenz sog. Positivlisten veröffentlicht, sodass Unternehmen mittlerweile einen gewissen Gradmesser zur Einordnung von Einzelfällen haben. Ist eine Datenschutzfolgeabschätzung verpflichtend, muss der Verantwortliche, also das Unternehmen das personenbezogene Daten verarbeitet, vor der Datenverarbeitung die Folgen dafür abschätzen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Grundfreiheiten natürlicher Personen zur Folge hat. Der Beitrag zeigt auf, was eine Datenschutzfolgenabschätzung ist, wie sie in der Praxis umgesetzt werden kann und welche Bedeutung Verhaltensregeln hierbei haben können.





Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine Datenschutzfolgenabschätzung ist grundsätzlich durchzuführen, wenn eine Form der Datenverar­beitung aufgrund der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzaufsichtsbe­hörden konnten sich inzwischen auf eine abgestimmte Positivliste einigen, die auf der Webseite der LfD Niedersachsen ist. Die Veröffentlichung von Negativlisten ist derzeit nicht absehbar.

 

In welchen Fällen kann ein solches hohes Risiko bestehen?

Gemäß Art. 35 Abs. 3 sowie Erwägungsgrund 89 DSGVO gilt sie für neue sowie neuartige Technologien oder aber für umfangreichere Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten und die eine große Zahl von Personen betreffen oder die den betroffenen Personen die Ausübung ihrer Rechte erschweren. Entsprechendes gilt bei systematischen und umfassenden Bewertungen persönlicher Aspekte von Betroffenen, die sich auf automatisierter Verarbeitung, einschließlich Profiling, gründen und die ihrerseits als Grundlage für Entscheidungen dienen, die Rechtswirkung ggü. Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen. Gleiches gilt bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder systematischer Überwachung öffentlich zugänglicher Bereiche, wie z.B. durch Videoüberwachung. Die vorstehenden Regelbeispiele zeigen, dass der Anwendungsbereich weit größer ist, als zunächst vermutet werden könnte. Die Positivliste der Aufsichtsbehörden birgt die Gefahr, nur die dort genannten Verarbeitungstätigkeiten als alleinigen Maßstab heranzuziehen. Dabei muss sich bereits beim Betrieb komplexer, bzw. unternehmensweit zum Einsatz kommender Softwarelösungen stets die Frage nach der Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung gestellt werden. Fällt die Entscheidung dagegen, sollten die hierfür maßgeblichen Erwägungsgründe sorgfältig dokumentiert werden.

 

Wie erfolgt die Risikobewertung?

Bei der Bewertung des Risikos sind insbesondere die spezifische Eintrittswahrscheinlichkeit (z.B. in einem Scoring-Verfahren) sowie die Anforderungen an die Erlaubnistatbestände, Art, Umfang, Umstände und Zwecke der Verarbeitung bei der Feststellung der Rechtmäßigkeit der Datenverarbeitung zu berück­sichtigen. Es empfiehlt sich, ein einheitliches Bewertungsverfahren (z.B. nach dem Standard-Datenschutz­modell) zu etablieren, so dass Risiken vergleichbar werden und eine einheitliche Unternehmensstrategie belegt werden kann.

 

Was ist Gegenstand einer Datenschutz-Folgenabschätzung?

Bei einer Datenschutzfolgenabschätzung wird zunächst bewertet, ob die genannten Risiken bestehen. Ist das der Fall, ist weiter zu bewerten, ob Maßnahmen, Garantien und Verfahren zu deren Eindämmung vorhanden sind und ausreichen, um den Schutz der personenbezogenen Daten sicherzustellen und die Bestimmungen der DSGVO einzuhalten.


Die Datenschutzfolgenabschätzung muss nicht auf ein Projekt beschränkt bleiben, sondern kann thematisch breiter angelegt werden – bspw. wenn mehrere Unternehmen eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamtem Wirtschaftssektor, ein bestimmtes Marktsegment oder eine weit verbreitete horizontale Tätigkeit einführen möchten. Der erhebliche Aufwand einer Datenschutz­folgenabschätzung kann sich also dadurch relativieren, dass für mehrere Verarbeitungsvorgänge nur eine Datenschutzfolgeabschätzung durchgeführt wird.

 

Welche Maßnahmen werden bei der Risikobewertung berücksichtigt?

Bei der Risikobewertung werden interne Strategien sowie Grundsätze des Datenschutzes durch Technik oder Voreinstellungen sowie Pseudonymisierungsverfahren berücksichtigt.

 

Was geschieht, wenn festgestellt wird, dass die Maßnahmen nicht ausreichen?

In diesen Fällen ist eine Konsultation der zuständigen Datenschutzaufsichtsbehörde durchzuführen. In dem Konsultationsverfahren muss der Verantwortliche der Datenschutzaufsichtsbehörde die nachfolgenden Information zur Verfügung stellen, Art. 36 Abs. 3 DSGVO:
  • Angaben zu den Zuständigkeiten des Verantwortlichen oder der gemeinsam Verantwortlichen und eventueller Auftragsverarbeiter,
  • die Zwecke und Mittel der beabsichtigten Verarbeitung,
  • die zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
  • die Kontaktdaten eines etwaigen Datenschutzbeauftragten,
  • die Datenschutz-Folgenabschätzung,
  • von der Datenschutzaufsichtsbehörde angeforderte Informationen.

 

Die Datenschutzaufsichtsbehörde hat sodann zu prüfen, ob die Verarbeitung im Einklang mit der DSGVO erfolgt. Sie hat innerhalb von acht Wochen nach Eingang des Konsultationsersuchens eine schriftliche Empfehlung zu geben. Daneben kann die Datenschutzaufsichtsbehörde auch Untersuchungen bei dem Verantwortlichen durchführen, Anweisungen bzgl. der Datenverarbeitungsvorgänge erteilen sowie äußerstenfalls eine vorübergehende oder endgültige Beschränkung der Verarbeitung einschließlich eines Verbotes verhängen.

 

Wie kann das Unternehmen das Konsultationsverfahren verhindern?

Eine Maßnahme kann darin bestehen, genehmigte Verhaltensregeln (sog. BCR, Binding Corporate Rules) nach Art. 40 DSGVO einzusetzen, da diese nach Art. 35 Abs. 8 DSGVO bei der Beurteilung der Auswir­kungen von Datenverarbeitungsvorgängen zu berücksichtigen sind. Ist ein Unternehmen also datenschutz­rechtlich durch Verhaltensregeln organisiert, ist das bei einer Risikobewertung mindernd zu berücksich­tigen, sodass in weniger Fällen eine Datenschutzfolgenabschätzung benötigt wird. Grundsätzlich tragen alle Maßnahmen zur Risikominimierung im Unternehmen (technisch oder organisatorisch) dazu bei, dass Konsultationsverfahren im Einzelfall vermieden werden können.

 

Was sind genehmigte Verhaltensregeln?

Verhaltensregeln (bzw. BCR) sind Regeln, die sich ein Unternehmen oder eine Unternehmensgruppe selbst auferlegt, um damit einen organisationsweiten, einheitlichen Datenschutzstandard zu schaffen.

 

Die Verhaltensregeln sollen entsprechend den Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleineren und mittleren Unternehmen (KMU) zur ordnungsgemäßen Anwendung der DSGVO beitragen. Die DSGVO sieht den Art. 40 Abs. 2 einen Katalog an Maßnahmen vor, der zu einer solchen Präzisierung führen kann. Dabei können Verbände und andere Vereinigungen – die Kategorien von Verantwortlichen oder von Auftragsverarbeitern vertreten – solche Verhaltensregeln ausarbeiten, ändern oder erweitern und nach einem in Art. 40 Abs. 5 DSGVO festgelegten Verfahren von der Datenschutzaufsichtsbehörde genehmigen lassen.

 

Zu beachten ist dabei, dass die Einführung von Verhaltensregeln zwar mit einem erheblichen Aufwand verbunden ist, zum anderen aber wesentlich zur Vereinfachung des datenschutzrechtlichen Alltages beiträgt. Denn neben der Auswirkung auf die Notwendigkeit der Durchführung von Datenschutzfolge­abschätzungen können Verhaltensregeln als Rechtsgrundlage für die zulässige Drittstaatenübermittlung gem. Art. 46 Abs. 2 lit. e DSGVO dienen und auch in dieser Dimension zu einer erheblichen Vereinfachung führen.

 

Fazit

Die DSGVO führt mit der Datenschutzfolgenabschätzung eine neue Verpflichtung für Unternehmen ein, die Risiken personenbezogener Daten im Hinblick auf deren Auswirkungen für die Rechte und Grundfreiheiten der betroffenen Personen zu bewerten und stellt hierzu einen Kriterienkatalog zur Verfügung. Zur Feststellung, ob ein Risiko besteht, das zu einer Datenschutzfolgenabschätzung führen muss, empfiehlt es sich, eine solche durchzuführen, um Bußgelder wegen einer nicht durchgeführten erforderlichen Datenschutzfolgenabschätzung zu vermeiden. Dabei sollten bestehende Datenverarbeitungsprozesse umfassend einer Risikobewertung unterzogen werden, jedenfalls jedoch bei der Einführung neuer Verfahren oder Technologien zur Datenverarbeitung. Zur Reduzierung der Risiken für personenbezogene Daten bei Datenverarbeitungsvorgängen empfiehlt es sich den Einsatz von genehmigten Verhaltensregeln oder Zertifizierungen einzelner Vorgänge in Betracht zu ziehen.

Kontakt

Contact Person Picture

Dr. Alexander Theusner, LL.M. (Hong Kong)

Rechtsanwalt

Associate Partner

+49 911 9193 1512
+49 911 9193 1599

Anfrage senden

Profil

Contact Person Picture

Johannes Marco Holz

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU)

Associate Partner

+49 911 9193 1511
+49 911 9193 1599

Anfrage senden

Profil

 Wir beraten Sie gern!

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu