Datenschutzfolgenabschätzung, Verhaltensregeln und Zertifizierungen: Neue Herausforderungen und ihre Lösungen

Unternehmen müssen in vielen Fällen Datenschutzfolgenabschätzungen durchführen. Anwendungsfälle sind jedoch oft nicht einfach bestimmbar. Ist eine Datenschutz­fol­ge­abschätzung verpflichtend, muss der Verantwortliche, also das Unternehmen das per­sonenbezogene Daten verarbeitet, vor der Datenver­ar­bei­tung die Folgen dafür ab­schät­­­zen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Grundfreiheiten natürlicher Personen zur Folge hat. Der Beitrag zeigt auf, was eine Datenschutz­fol­gen­abschätzung ist, wie sie in der Praxis umgesetzt werden kann und welche Bedeutung Verhaltensregeln hierbei haben können.

• Wann ist eine Datenschutz-Folgenabschätzung durchzuführen? »

• In welchen Fällen kann ein solches hohes Risiko bestehen? »

• Wie erfolgt die Risikobewertung? »

• Was ist Gegenstand einer Datenschutz-Folgenabschätzung? »

• Welche Massnahmen werden bei der Risikobewertung berücksichtigt? »

• Was geschieht, wenn festgestellt wird, dass die Massnahmen nicht ausreichen? »

• Wie kann das Unternehmen das Konsultationsverfahren verhindern? »

• Was sind genehmigte Verhaltensregeln? »

• Fazit »

Wann ist eine Datenschutzfolgenabschätzung durchzuführen?

Eine Datenschutzfolgenabschätzung ist grundsätzlich durchzuführen, wenn eine Form der Datenverar­beitung aufgrund der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risi­ko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzaufsichtsbe­hörden haben hierzu eine Positivliste eingetsellt, die auf der Webseite der Datenschutzkonferenz (DSK) abrufbar ist. Die Ver­öf­fentlichung von Negativlisten ist derzeit nicht absehbar.

In welchen Fällen kann ein solches hohes Risiko bestehen?

Gemäß Art. 35 Abs. 3 sowie Erwägungsgrund 89 DSGVO gilt sie für neue sowie neuartige Technologien oder aber für umfangreichere Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten und die eine große Zahl von Personen betref­fen oder die den betroffenen Personen die Ausübung ihrer Rechte erschweren. Entsprechendes gilt bei syste­matischen und umfassenden Bewertungen persönlicher Aspekte von Betroffenen, die sich auf automatisierter Verarbeitung, einschließlich Profiling, gründen und die ihrerseits als Grundlage für Entscheidungen dienen, die Rechtswirkung ggü. Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen. Gleiches gilt bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder systematischer Überwachung öffentlich zugänglicher Bereiche, wie z.B. durch Videoüberwachung. Die vorstehenden Regelbei­spiele zeigen, dass der Anwendungsbereich weit größer ist, als zunächst vermutet werden könnte. Die Positiv­liste der Aufsichtsbehörden birgt die Gefahr, nur die dort genannten Verarbeitungstätigkeiten als alleinigen Maß­stab heranzuziehen. Dabei muss sich bereits beim Betrieb komplexer, bzw. unternehmensweit zum Einsatz kommender Softwarelösungen stets die Frage nach der Notwendigkeit der Durchführung einer Daten­schutz­folgenabschätzung gestellt werden. Fällt die Entscheidung dagegen, sollten die hierfür maßgeblichen Erwä­gungs­­gründe sorgfältig dokumentiert werden.

Wie erfolgt die Risikobewertung?

Bei der Bewertung des Risikos sind insbesondere die spezifische Eintrittswahrscheinlichkeit (z.B. in einem Scoring-Verfahren) sowie die Anforderungen an die Erlaubnistatbestände, Art, Umfang, Umstände und Zwecke der Verarbeitung bei der Feststellung der Rechtmäßigkeit der Datenverarbeitung zu berück­sichtigen. Es emp­fiehlt sich, ein einheitliches Bewertungsverfahren (z.B. nach dem Standard-Datenschutz­modell) zu etablieren, so dass Risiken vergleichbar werden und eine einheitliche Unternehmensstrategie belegt werden kann.

Was ist Gegenstand einer Datenschutzfolgenabschätzung?

Bei einer Datenschutzfolgenabschätzung wird zunächst bewertet, ob die genannten Risiken bestehen. Ist das der Fall, ist weiter zu bewerten, ob Maßnahmen, Garantien und Verfahren zu deren Eindämmung vorhanden sind und ausreichen, um den Schutz der personenbezogenen Daten sicherzustellen und die Bestimmungen der DSGVO einzuhalten.

Die Datenschutzfolgenabschätzung muss nicht auf ein Projekt beschränkt bleiben, sondern kann thematisch breiter angelegt werden – bspw. wenn mehrere Unternehmen eine gemeinsame Anwendung oder Verarbei­tungs­umgebung für einen gesamtem Wirtschaftssektor, ein bestimmtes Marktsegment oder eine weit verbrei­tete horizontale Tätigkeit einführen möchten. Der erhebliche Aufwand einer Datenschutz­folgenabschätzung kann sich also dadurch relativieren, dass für mehrere Verarbeitungsvorgänge nur eine Datenschutz­folge­ab­schät­zung durchgeführt wird.

Welche Maßnahmen werden bei der Risikobewertung berücksichtigt?

Bei der Risikobewertung werden interne Strategien sowie Grundsätze des Datenschutzes durch Technik oder Voreinstellungen sowie Pseudonymisierungsverfahren berücksichtigt.

Was geschieht, wenn festgestellt wird, dass die Maßnahmen nicht ausreichen?

In diesen Fällen ist eine Konsultation der zuständigen Datenschutzaufsichtsbehörde durchzuführen. In dem Konsultationsverfahren muss der Verantwortliche der Datenschutzaufsichtsbehörde die nachfolgenden Infor­mationen zur Verfügung stellen, Art. 36 Abs. 3 DSGVO:

• Angaben zu den Zuständigkeiten des Verantwortlichen oder der gemeinsam Verantwortlichen und even­tu­eller Auftragsverarbeiter,
• die Zwecke und Mittel der beabsichtigten Verarbeitung,
• die zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garan­tien,
• die Kontaktdaten eines etwaigen Datenschutzbeauftragten,
• die Datenschutz-Folgenabschätzung,
• von der Datenschutzaufsichtsbehörde angeforderte Informationen.

Die Datenschutzaufsichtsbehörde hat sodann zu prüfen, ob die Verarbeitung im Einklang mit der DSGVO erfolgt. Sie hat innerhalb von acht Wochen nach Eingang des Konsultationsersuchens eine schriftliche Emp­fehlung zu geben. Daneben kann die Datenschutzaufsichtsbehörde auch Untersuchungen bei dem Verant­wort­lichen durchführen, Anweisungen bzgl. der Datenverarbeitungsvorgänge erteilen sowie äußerstenfalls eine vo­rübergehende oder endgültige Beschränkung der Verarbeitung einschließlich eines Verbotes verhängen.

Wie kann das Unternehmen das Konsultationsverfahren verhindern?

Eine Maßnahme kann darin bestehen, genehmigte Verhaltensregeln (sog. BCR, Binding Corporate Rules) nach Art. 40 DSGVO einzusetzen, da diese nach Art. 35 Abs. 8 DSGVO bei der Beurteilung der Auswir­kungen von Datenverarbeitungsvorgängen zu berücksichtigen sind. Ist ein Unternehmen also datenschutz­rechtlich durch Verhaltensregeln organisiert, ist das bei einer Risikobewertung mindernd zu berücksich­tigen, sodass in weniger Fällen eine Datenschutzfolgenabschätzung benötigt wird. Grundsätzlich tragen alle Maßnahmen zur Risiko­mini­mierung im Unternehmen (technisch oder organisatorisch) dazu bei, dass Konsultationsverfahren im Ein­zel­fall vermieden werden können.

Was sind genehmigte Verhaltensregeln?

Verhaltensregeln (bzw. BCR) sind Regeln, die sich ein Unternehmen oder eine Unternehmensgruppe selbst auf­erlegt, um damit einen organisationsweiten, einheitlichen Datenschutzstandard zu schaffen.

Die Verhaltensregeln sollen entsprechend den Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleineren und mittleren Unternehmen (KMU) zur ord­nungsgemäßen Anwendung der DSGVO beitragen. Die DSGVO sieht den Art. 40 Abs. 2 einen Katalog an Maß­nahmen vor, der zu einer solchen Präzisierung führen kann. Dabei können Verbände und andere Vereinigungen – die Kategorien von Verantwortlichen oder von Auftragsverarbeitern vertreten – solche Verhaltensregeln aus­arbeiten, ändern oder erweitern und nach einem in Art. 40 Abs. 5 DSGVO festgelegten Verfahren von der Da­ten­schutzaufsichtsbehörde genehmigen lassen.

Zu beachten ist dabei, dass die Einführung von Verhaltensregeln zwar mit einem erheblichen Aufwand verbun­den ist, zum anderen aber wesentlich zur Vereinfachung des datenschutzrechtlichen Alltages beiträgt. Denn neben der Auswirkung auf die Notwendigkeit der Durchführung von Datenschutzfolge­abschätzungen können Verhaltensregeln als Rechtsgrundlage für die zulässige Drittstaatenübermittlung gem. Art. 46 Abs. 2 lit. e DSGVO dienen und auch in dieser Dimension zu einer erheblichen Vereinfachung führen.

Fazit

Die DSGVO führt mit der Datenschutzfolgenabschätzung eine neue Verpflichtung für Unternehmen ein, die Risiken personenbezogener Daten im Hinblick auf deren Auswirkungen für die Rechte und Grundfreiheiten der betroffenen Personen zu bewerten und stellt hierzu einen Kriterienkatalog zur Verfügung. Zur Feststellung, ob ein Risiko besteht, das zu einer Datenschutzfolgenabschätzung führen muss, empfiehlt es sich, eine solche durchzuführen, um
Bußgelder wegen einer nicht durchgeführten erforderlichen Datenschutzfolgenabschätzung zu vermeiden. Dabei sollten bestehende Datenverarbeitungsprozesse umfassend einer Risikobewertung unter­zogen werden, jedenfalls jedoch bei der Einführung neuer Verfahren oder Technologien zur Datenverarbeitung. Zur Reduzierung der Risiken für personenbezogene Daten bei Datenverarbeitungsvorgängen empfiehlt es sich den Einsatz von genehmigten Verhaltensregeln oder Zertifizierungen einzelner Vorgänge in Betracht zu ziehen.