DSFA

Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von rechtlichen Konsequenzen gehabt. Eine dieser Änderungen betrifft die so genannte Datenschutz Folgenabschätzung (DSFA). In dieser Hinsicht wurden die gesetzlichen Vorgaben gegenüber der alten Fassung des BDSG deutlich ausgeweitet.

Wann ist eine Datenschutz Folgenabschätzung notwendig?

Bei der Datenschutz Folgenabschätzung geht es, wie der Name bereits sagt, um die Abschätzung der Folgen von Maßnahmen im Hinblick auf den Datenschutz. Hierzu lauten die entsprechenden Ausführungen in Art. 35 Abs. 1 S. 1 der DSGVO wie folgt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Wie bereits auf den ersten Blick erkennbar ist, handelt es sich um keine Kann- oder Soll-, sondern um eine Mussbestimmung. Immer wenn ein hohes Risiko in Sachen Datenschutz besteht, ist daher eine DSFA durchzuführen. Andererseits handelt es sich gleichwohl um eine Vorschrift, die eine Ermessensausübung durch den Datenschutzbeauftragten in Form einer Abwägung notwendig macht. Im Rahmen einer vorausschauenden Betrachtung der Sachlage muss er die Wahrscheinlichkeit eines Eintritts von Problemen beim Datenschutz überprüfen. Nur sofern hier ein hohes Risiko besteht, ist die DSFA zwingend vorgeschrieben.

Worum geht es bei der Datenschutz Folgenabschätzung inhaltlich?

Nachdem der gesetzliche Rahmen für die Notwendigkeit der Durchführung einer DSFA damit abgesteckt ist, geht es im nächsten Schritt um deren Durchführung. Die Datenschutz Folgenabschätzung erfolgt in mehreren Abschnitten. Dabei handelt es sich um folgende drei Phasen:

  • Vorbereitung:
    Definition des Gegenstands der Prüfung sowie der Akteure und rechtlichen Grundlagen
  • Bewertung:
    Einschätzung der bestehenden Risiken in Sachen Datenschutz
  • Maßnahmen:
    Implementierung von Regeln und Maßnahmen zur Prävention von Datenschutzverletzungen

Wichtig ist dabei, sämtliche Schritte gut zu dokumentieren, um einen Nachweis über die Durchführung der Datenschutz Folgenabschätzung zu haben. Dies ist nicht zuletzt deshalb wichtig, weil Art. 35 Abs. 1 S. 2 der DSGVO festlegt, dass bei ähnlichen Bearbeitungsvorgängen eine einzige DSFA für alle diese Vorgänge vorgenommen werden kann. Durch die Dokumentation sind daher auch kurze Zeit später auftretende Probleme verwandter Art mit abgedeckt.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Wie bereits ausgeführt, obliegt dem durchführenden Organ der DSFA die Pflicht einer Abwägung der Risiken. Hier können die Ergebnisse naturgemäß je nach Charakter der Verantwortlichen variieren. In bestimmten Fällen gibt jedoch der Gesetzestext der DSGVO vor, dass eine DSFA zwingend durchzuführen ist. Die entsprechenden Regelbeispiele lassen sich in Art. 35 Abs. 3 DSGVO finden. Diese Fallbeispiele lauten:

  1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10, oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Eine DSFA ist demnach aufgrund von Fallgruppe eins immer dann notwendig, wenn das Maß an Verarbeitung persönlicher Daten in einen Bereich gelangt, in dem die Erstellung persönlicher Profile möglich ist. Fallgruppe zwei betrifft dagegen die Notwendigkeit der Durchführung einer DSFA, wenn die gespeicherten personenbezogenen Daten sich sensible strafrechtliche Informationen beziehen. Fallgruppe drei schließlich betrifft die Erstellung und Speicherung von Fotos und Videoaufzeichnungen, die im öffentlichen Raum gemacht wurden.

Im Zweifel immer eine DSFA durchführen

Die genannten Beispiele zeigen, dass es dem Gesetzgeber bei der Datenschutz Folgenabschätzung darum geht, besonders heikle Aspekte des Datenschutzes besser in den Griff zu bekommen. Entsprechend der Beispiele fällt es deutlich einfacher, die gesetzlichen Anforderungen besser zu verstehen, da dass erforderliche hohe Risiko auf diese Weise deutlich besser begreifbar ist. Festzuhalten bleibt aber, dass die Latte zwecks Meidung von Risiken im Zweifel immer eher zu niedrig als zu hoch aufgelegt werden sollte, wenn es um die Frage der Notwendigkeit einer DSFA geht.

Leave a Reply