Mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) werden datenverarbeitende Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. In welchen Fällen dies notwendig ist, wird sich auch aus einer Liste ergeben, welche die Datenschutzbehörden noch veröffentlichen müssen. Nun sind mögliche Kriterien zur Diskussion gestellt geworden.
Nach Artikel 35 DSGVO besteht die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (englisch: Data Protection Impact Assessment, kurz: DPIA). Damit wird eine Risikoeinschätzung bezeichnet, die ein datenverarbeitendes Unternehmen vor der Verarbeitung personenbezogener Daten vornehmen muss.
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Eine DPIA ist grundsätzlich nur durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten Betroffener besteht. Zusätzlich zu den abstrakten Vorgaben der DSGVO sollen die Datenschutzbehörden praxistaugliche Kriterien veröffentlichen. Auf europäischer Ebene haben sie nun einen Vorschlag unterbreitet.
Kriterien für eine Datenschutz-Folgenabschätzung
Die veröffentlichte Liste ist nicht rechtsverbindlich, zeigt aber auf, welche Kriterien die Datenschutzbehörden vermutlich anlegen werden, wenn sie von einer Pflicht zur DPIA ausgehen. Die Liste bezieht insbesondere folgende Datenverarbeitungsvorgänge ein:
- Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort;
- Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen;
- Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten;
- umfangreiche Verarbeitungsvorgänge;
- zusammengeführte oder kombinierte Datensätze;
- Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern;
- Nutzung neuer Technologien wie IoT-Entwicklungen;
- Datentransfers außerhalb der EU;
- Datenverarbeitung kann dazu führen, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (bspw. Prüfung auf Kreditwürdigkeit);
Nach dem Vorschlag soll eine Pflicht zur DPIA nicht sofort bestehen, wenn ein Kriterium erfüllt ist, sondern als Faustregel müssen mindestens zwei der Kriterien erfüllt sein.
Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?
Die DSGVO enthält hierzu nur grobe Vorgaben. Eine erste Orientierung bietet ein Whitepaper, das vom vorwiegend wissenschaftlich ausgerichteten „Forum Privatheit“ veröffentlicht wurde. Gleichwohl wird jedes Unternehmen für die eigenen Produkte und Services angepasste Verfahren entwickeln müssen.
Konsequenzen der Pflicht zur Datenschutz-Folgenabschätzung
Wenn sich aus der DPIA ergibt, dass ein hohes Risiko für die Rechte und Freiheiten Betroffener aufgrund der Datenverarbeitung besteht und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so ist vor der Datenverarbeitung die zuständige Aufsichtsbehörde zu konsultieren. Die Aufsichtsbehörde hat dann grundsätzlich acht Wochen Zeit, um sich zu der Konsultation zu verhalten.
Wer eine DPIA nicht durchführt, obwohl er dazu verpflichtet war, riskiert Geldbußen von bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes. Im Zweifel sollte deshalb eine Datenschutz-Folgenabschätzung durchgeführt und entsprechend dokumentiert werden.
Dr. Malte Kröger