Datenschutz-Folgenabschätzung Welche Unternehmen Datenschutz jetzt noch ernster nehmen müssen

Wer Überwachungskameras einsetzt, muss in vielen Fällen eine Datenschutz-Folgenabschätzung machen.

Wer Überwachungskameras einsetzt, muss in vielen Fällen eine Datenschutz-Folgenabschätzung machen. © rclassen / photocase.de

Die Datenschutz-Folgenabschätzung ist eine der wichtigsten Neuerungen in der EU-Datenschutz-Grundverordnung. Welche Unternehmen sie machen müssen und wie man dabei vorgeht.

Ob Daten zur Kreditwürdigkeit, zu chronischen Krankheiten oder zu Vorstrafen: Manche Unternehmen verarbeiten sensible personenbezogene Informationen. Werden diese Daten gehackt oder durch eine Panne öffentlich, kann das für die betroffenen Personen zum Teil gravierende Nachteile haben: Sie könnten diskriminiert werden oder Opfer von Identitätsdiebstahl, ihr Ruf könnte beschädigt werden oder sie könnten finanzielle Verluste erleiden.

Stellen Sie sich zum Beispiel vor, Sie betreiben ein Seitensprungportal. Das Portal wird gehackt und dadurch wird bekannt, wer bei Ihnen registriert ist. Oder Sie verarbeiten Adressen von Zeugen in Strafverfahren – wenn diese unbeabsichtigt öffentlich würden, könnte das die Personen in Gefahr bringen.

Anzeige

Seit Ende Mai 2018 müssen Unternehmen wegen der Datenschutz-Grundverordnung (DSGVO)  für solche und andere sensible Datenverarbeitungsprozesse eine Datenschutz-Folgenabschätzung (DSFA) machen. Doch was ist eine DSFA genau? Wer muss sie durchführen? Und wie geht man bei der Folgenabschätzung vor? Antworten auf die wichtigsten Fragen.

Datenschutz-Folgenabschätzung – was ist das genau?

Die Datenschutz-Folgenabschätzung ist eine optimierte und strukturierte Risikoanalyse: Sie soll die Risiken bewerten, die einzelne Datenverarbeitungsvorgänge für die Betroffenen mit sich bringen. Unternehmen müssen sie machen, bevor sie personenbezogene Daten verarbeiten, deren Verarbeitung hohe Risiken für die Betroffenen mit sich bringt.

Die DSFA soll Firmen dazu anhalten, Strategien zu entwickeln, um die Risiken für die betroffenen Personen so gering wie möglich zu halten. Außerdem soll sie sicherstellen und nachweisen, dass Unternehmen gesetzliche Anforderungen an den Datenschutz einhalten. Sie ist eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung und ersetzt die bisherige Vorabkontrolle nach dem alten Bundesdatenschutzgesetz (BDSG).

Geregelt ist die DSFA in Artikel 35 der EU-Datenschutz-Grundverordnung (DSGVO). Dort heißt es:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Eine DSFA ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Sie muss spätestens alle drei Jahre wiederholt werden.

Was ändert sich im Vergleich zur früheren Vorabkontrolle?

Die Vorabkontrolle sorgte bisher nur dafür, dass der Datenschutzbeauftragte die Datenverarbeitung in bestimmten Fällen intern prüfen musste. Bei der Datenschutz-Folgenabschätzung besteht zusätzlich eine Meldepflicht bei der zuständigen Aufsichtsbehörde – wenn die Datenverarbeitungen mit einem hohem Datenschutzrisiko verbunden sind. Die Aufsichtsbehörde kann dem Unternehmen dann innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen es nachbessern muss, um den größtmöglichen Datenschutz sicherzustellen.

Wichtig dabei: Unternehmen müssen ihr Datenverarbeitungsverfahren an die Landesdatenschutzbeauftragten melden, bevor sie mit der Datenverarbeitung loslegen.

Wer muss eine Datenschutz-Folgenabschätzung machen?

Eine Datenschutz-Folgenabschätzung ist nur dann erforderlich, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Bürgern mit sich bringt. Wie aber erkennt man ein wahrscheinlich hohes Risiko? Dabei kann man sich an drei Entscheidungshilfen orientieren:

  1. Beispiele, die in der DSGVO selbst stehen
  2. Leitlinien der Artikel-29-Gruppe
  3. Blacklists der Aufsichtsbehörden

 

Beispiele in der DSGVO

Die DSGVO nennt in Artikel 35, Absatz 3 folgende Fälle, in denen eine Datenschutz-Folgenabschätzung vorgeschrieben ist:

  • Wenn in erheblichem Umfang besondere personenbezogene Daten nach Artikel 9 Absatz 1 der DSGVO verarbeitet werden oder Daten über Verurteilungen und Straftaten. Unter besondere personenbezogene Daten fallen:
    • rassische und ethnische Herkunft
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
    • genetische und biometrische Daten zur eindeutigen Identifizierung einer Person
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung
  • Bei der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche, vor allem per Videoüberwachung
  • Bei automatisierten Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring in Wirtschaftsauskunfteien, Online Kreditanträge oder Online-Einstellungsverfahren)

Diese Liste ist allerdings nicht als vollständige Aufzählung zu verstehen.

Leitlinien der Artikel-29-Gruppe

Die Artikel-29-Gruppe war ein unabhängiges Beratungsgremium, dem die Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten angehörten sowie ein Vertreter der Europäischen Kommission. Sie hat Leitlinien erstellt, aus denen hervorgeht, in welchen Fällen bei der Datenverarbeitung wahrscheinlich ein hohes Risiko besteht. Die Artikel-29-Gruppe wurde am 25. Mai 2018 vom Europäischen Datenschutzausschuss abgelöst. Dieser hat die Leitlinien bestätigt.

Laut den Leitlinien sprechen neun Kriterien für ein hohes Risiko für die Rechte und Freiheiten von Bürgern:

  • Scoring/Profiling: Das kann der Fall sein, wenn sich beispielsweise ein Biotechnologie-Unternehmen zwecks genetischer Tests direkt an Verbraucher wendet, um die Erkrankungs-/Gesundheitsrisiken abschätzen oder prognostizieren zu können. Oder wenn ein Unternehmen anhand der Nutzung seiner Website Verhaltens- oder Marketingprofile der Websitebesucher erstellt.
  • automatische Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen: Wenn die Verarbeitung von Daten beispielsweise dazu führt, dass jemand einen Vertrag nicht abschließen kann.
  • Systematische Überwachung: Verarbeitungsvorgänge, die Betroffene beobachten, überwachen oder kontrollieren sollen und auf beispielsweise über Netzwerke erfasste Daten oder auf die Überwachung öffentlich zugänglicher Bereiche zurückgreifen.
  • sensible Daten nach Artikel 9, Absatz 1: Beispiele sind ein Krankenhaus, das die Krankenakten seiner Patienten archiviert, oder ein Privatdetektiv, der Akten zu Straftätern führt.
  • Daten, die in großem Umfang verarbeitet werden: Es gibt viele Betroffene oder es werden sehr viele Daten verarbeitet.
  • Zusammenführen/ Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden und wenn die Betroffenen nicht damit rechnen können, dass die Daten zusammengeführt werden.
  • Daten geschäftsunfähiger oder schutzbedürftiger Personen: Das umfasst Kinder und psychisch Kranke. Auch Arbeitnehmer, Asylbewerber, Senioren oder Patienten fallen darunter, sofern ein ungleiches Verhältnis zwischen der Stellung des Betroffenen und der Stellung des Verantwortlichen für die Datenverarbeitung besteht.
  • Einsatz neuer Technologien oder biometrischer Verfahren, zum Beispiel die Kombination aus Fingerabdruck- und Gesichtserkennung zum Zweck einer verbesserten Zugangskontrolle.
  • Fälle, in denen die Datenverarbeitung die betroffene Person an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung hindert. Beispiel: Eine Bank, die eine von Kreditauskunfteien betriebene Datenbank nach ihren Kunden durchsucht, um über Kreditvergaben zu entscheiden.

Erfüllt ein Datenverarbeitungsvorgang zwei oder mehr dieser Kriterien, ist eine Datenschutz-Folgenabschätzung meist Pflicht. In manchen Fällen ist eine DSFA auch dann nötig, wenn nur eines der Kriterien erfüllt ist. Im Zweifel sollten Unternehmen den zuständigen Landesdatenschutzbeauftragten konsultieren. Die Artikel-29-Gruppe empfiehlt, in solchen Fällen eine DSFA zu machen. Diese sei auch ein hilfreiches Instrument für die Einhaltung der Datenschutzgesetze.

Blacklists der Landesdatenschutzbehörden

Die Landesdatenschutzbehörden haben als Aufsichtsbehörden inzwischen so genannte Blacklists oder Positivlisten veröffentlicht. Sie listen Branchen und Verarbeitungsvorgänge auf, für die eine Datenschutz-Folgenabschätzung Pflicht ist. Die Listen der Aufsichtsbehörden der Bundesländer sind weitgehend identisch – eine Übersicht gibt es hier. Auf den Listen stehen zum Beispiel:

  • soziale Netzwerke
  • Dating-, Kontakt- und Bewertungsportale
  • Mobilitätsdienste und die optoelektronische Erfassung öffentlicher Bereiche durch Fahrzeuge, wie es für das vernetzte und autonome Fahren notwendig ist
  • Verzeichnisse von Privatinsolvenzen, Inkassodienstleistungen
  • Scoring durch Auskunfteien, Banken, Versicherungen
  • Big-Data-Analysen von Kundendaten, die mit Drittquellen angereichert sind
  • Offline-Tracking von Kundenbewegungen in Warenhäusern
  • Verkehrsstromanalysen mittels Mobilfunkdaten und Geolokalisierung von Beschäftigten etwa über Fahrzeuge oder Arbeitsgeräte
  • alle RFID-/NFC-Anwendungen durch Apps oder Karten
  • Einsatz von Data-Loss-Prevention Systemen, die systematisch Profile der Beschäftigten erzeugen, also zum Beispiel den Internetverlauf aufzeichnen oder die Aktivitäten am Arbeitsplatz
  • Erfassung des Kaufverhaltens, zum Beispiel durch Kundenkarten
  • Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
  • Fraud-Prevention-Systeme
  • zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Wie macht man eine Datenschutz-Folgenabschätzung?

Im Prinzip müssen Unternehmen einen Bericht schreiben, in dem

  1. sie die geplanten Datenverarbeitungsvorgänge systematisch beschreiben und angeben, warum sie die Daten verarbeiten wollen.
  2. sie bewerten, ob die Datenverarbeitung notwendig und verhältnismäßig ist, um den Zweck zu erfüllen.
  3. sie die Risiken der Datenverarbeitung für die Rechte und die Freiheit der betroffenen Personen bewerten.
  4. sie darstellen, was sie getan haben, um die Risiken für die Betroffenen zu minimieren: Welche Sicherheitsvorkehrungen und Verfahren sollen den Schutz der personenbezogenen Daten sicherstellen?

Aufführen müssen Unternehmen auch die Restrisiken und wie sie mit ihnen umgehen wollen. Ergibt die DSFA, dass trotz technischer und organisatorischer Maßnahmen für mehr Datenschutz weiterhin ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen sie die zuständige Datenschutz-Aufsichtsbehörde konsultieren.

Die DSGVO enthält nur grobe Vorgaben, wie eine Datenschutz-Folgenabschätzung konkret aussehen muss. Hilfreich als Praxishilfe sind das Whitepaper, das vom vorwiegend wissenschaftlich ausgerichteten „Forum Privatheit“ veröffentlicht wurde, und das Kurzpapier der Datenschutzkonferenz, das Hinweise liefert, wie die DSFA in der Praxis angewendet werden soll.

Auf Verlangen müssen Unternehmen in der Lage sein, die Datenschutz-Folgenabschätzung der Aufsichtsbehörde auszuhändigen.

Für mehrere ähnliche Verarbeitungsvorgänge ist nur eine DSFA notwendig

Mit einer Datenschutz-Folgenabschätzung lassen sich mehrere ähnliche Verarbeitungsvorgänge zugleich bewerten – im Hinblick auf Art, Umfang, Umstände, Zweck und Risiken der Datenverarbeitung. Beispiel: Ein Bahnbetreiber könnte für die Videoüberwachung all seiner Bahnhöfe eine einzige DSFA machen.

Was passiert, wenn man keine Datenschutz-Folgenabschätzung macht?

Machen Firmen keine Datenschutz-Folgenabschätzung, obwohl sie erforderlich ist, führen sie eine DSFA nicht ordnungsgemäß durch oder konsultieren sie die zuständige Aufsichtsbehörde nicht, obwohl vorgeschrieben, können Datenschutzbehörden ein Bußgeld verhängen. Das kann bis zu 10 Millionen Euro oder bis zu 2 Prozent des jährlichen weltweiten Gesamtumsatzes des abgelaufenen Geschäftsjahrs betragen, wobei der höhere der beiden Beträge maßgeblich ist. Mehr Informationen finden Sie in dem Artikel: „DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich?“

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)