• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Lexikon » Datenschutzfolgenabschätzung (DSFA)

Wissenswertes

Lexikon

Datenschutzfolgenabschätzung (DSFA)

Art. 35 DSGVO

In einigen Fällen schreibt die DSGVO vor, dass Verfahren vor ihrer Inbetriebnahme einer Prüfung auf Konformität mit den datenschutzrechtlichen Bestimmungen unterzogen werden müssen. Hierbei handelt es sich um einen verschärften Prüfalgorithmus für aus der Sicht der Betroffenen besonders risikobehaftete Verfahren oder solche, bei denen besonders viele und besonders schutzbedürftige personenbezogene Daten verarbeitet werden sollen. Sinn und Zweck dieser Vorschrift liegt darin, besonders risikobehaftete Verfahren nicht ohne vorherige Prüfung in Echtbetrieb gehen zu lassen und damit die Betroffenen vor möglichen negativen Folgen zu schützen.

a) Erforderlichkeit der DSFA

Die DSFA ist nicht obligatorisch bei jedem Verfahren zur Verarbeitung personenbezogener Daten vorzunehmen. In Art. 35 Abs. 1 S. 1 DSGVO heißt es, dass eine DSFA dann vorzunehmen ist, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen von einem Verfahren ausgeht. Bereits in dieser Formulierung liegen aufgrund der verwendeten unbestimmten Rechtsbegriffe zwei Unwägbarkeiten:

  • Es muss sich nicht um irgendein, sondern um ein hohes Risiko handeln;
  • es ist eine Prognoseentscheidung über die Höhe des Risikos erforderlich („voraussichtlich“).

Der Gesetzgeber leistet jedoch ein wenig Hilfestellung, indem er einige Beispiele aufzeigt, bei deren Vorliegen davon auszugehen ist, dass eine DSFA durchgeführt werden muss:

  • Verwendung neuer Technologien
  • Art der Verarbeitung
  • Umfang der Verarbeitung
  • Umstände der Verarbeitung
  • Zweck der Verarbeitung

Beachte: Da es sich hierbei lediglich um so genannte Regelbeispiele handelt (vgl. hierzu das Wort „insbesondere“), ist diese Aufzählung lediglich beispielhaft, keineswegs aber abschließend. Vielmehr können auch andere, ähnlich gelagerte Fälle mit vergleichbaren Risikopotentialen ebenfalls zum Vorhandensein einer solchen Pflicht führen, obgleich sie im Gesetz nicht explizit genannt werden. Ob und wann ein derartiger Fall vorliegt, bestimmt der betriebliche Datenschutzbeauftragte der verantwortlichen Stelle. In der betrieblichen Praxis können DSFA-Pflichten deshalb außerhalb der Regelbeispiele auftreten.

Eine weitere Hilfestellung bei der Beantwortung der Frage, ob eine DSFA-Pflicht besteht, gibt EG 91 zur DSGVO. Dort in S. 4 heißt es, dass eine Verarbeitung nicht als umfangreich in diesem Sinne gelten sollte, wenn sie „die Verarbeitung personenbezogener Daten von Patienten oder Mandanten betrifft, und durch einen einzelnen Arzt … oder Rechtsanwalt erfolgt“. Auch sonst finden sich in den EG 84 und 90-93 zur DSGVO viele hilfreiche Darlegungen und Beispiele zur Pflicht, zur Durchführung und zu den Zielen einer DSFA.

Von der Pflicht zur Durchführung einer DSFA ist auch in diesen Fällen auszugehen (nicht abschließend):

  • Videobeobachtungen im öffentlichen wie im nicht öffentlichen Bereich, insbesondere aber am Arbeitsplatz
  • Einsatz elektronischer Arbeitszeiterfassungssysteme
  • Einsatz von Personalinformationssystemen
  • Profilbildung bzw. Ermittlung von Scorewerten
  • Einsatz von Chipkarten
  • Einsatz von Geolokalisationstechnik, insbesondere am Arbeitsplatz
  • Einsatz von Flottenmanagementsystemen für Firmen- oder Miet-Kfz

b) Durchführung der DSFA

Wie schon im alten Datenschutzrecht die Vorabkontrolle, dient auch die DSFA der Prüfung besonders risikobehafteter Verfahren vor ihrer Inbetriebnahme. Das bedeutet in der Praxis, dass das betreffende Verfahren erst dann freigegeben werden kann, wenn eine DSFA erfolgreich durchgeführt wurde oder, falls dieses Ergebnis nicht erreicht werden konnte, die Aufsichtsbehörde konsultiert wurde und der Inbetriebnahme zugestimmt hat.

Die Durchführung der Vorabkontrolle obliegt nicht dem betrieblichen Datenschutzbeauftragten, sondern dem Verantwortlichen. Jedoch ist der Datenschutzbeauftragte bei der Durchführung der DSFA zu konsultieren. Grundlage der DSFA ist das Verzeichnis der Verarbeitungstätigkeiten, in welchem sich die meisten relevanten Informationen finden lassen (sollten).

Daraus, wie aus dem Umstand, dass das Verfahren vor seiner Inbetriebnahme der Kontrolle unterzogen werden soll, ergibt sich, dass der betriebliche Datenschutzbeauftragte bereits in der Planungsphase eibezogen werden sollte und ihm die erforderlichen Unterlagen überlassen werden sollten.

Bei der Durchführung der DSFA müssen mindestens folgende Inhalte aufgeführt werden (Art. 35 Abs. 7 DSGVO):

  1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, ggf. einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gem. Art. 35 Abs. 1 DSGVO;
  4. die zur Bewältigung der Risiken getroffenen Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt … wird, wobei den Rechten und berechtigten Interessen betroffener Personen … Rechnung getragen wird.

Zu beachten ist, dass ggf. auch Auftragsverarbeiter berücksichtigt werden müssen, sofern sie in vorabkontrollpflichtige Verfahren involviert sind und ihre Tätigkeit eine DSFA erfordert.

c) Abschluss der DSFA

Die Vorabkontrolle endet mit der abschließenden Stellungnahme des Verantwortlichen, möglichst in Einvernehmen mit dem betrieblichen Datenschutzbeauftragten. Diese sollte stets schriftlich erfolgen und für Dritte nachvollziehbar sein

  • Sind alle gesetzlichen und ggf. vertraglichen Anforderungen an den Schutz personenbezogener Daten erfüllt, kann das Verfahren gebilligt werden und in Produktivbetrieb gehen.
  • Stehen datenschutzrechtlich relevante Mängel einer Inbetriebnahme des Verfahrens entgegen, müssen diese zunächst beseitigt werden. Kommt es im Zuge der Mängelbeseitigung zu strukturellen Änderungen der geprüften Systeme, müssen diese ggf. erneut ganz oder teilweise geprüft werden.
  • Bestehen weiter Unsicherheiten oder ergibt die DSFA, dass ein hohes Risiko besteht, muss die zuständige Aufsichtsbehörde konsultiert werden, bevor das Verfahren in Betrieb genommen werden kann, Art. 36 DSGVO. Die Aufsichtsbehörde nimmt in der Regel innerhalb von 8 Wochen schriftlich Stellung. Sie kann im Zuge dieser Stellungnahme Empfehlungen aussprechen, aber auch verbindliche Anweisungen erteilen oder die Verarbeitung beschränken oder verbieten, Art. 58 Abs. 2 lit. d) und f) DSGVO. Alternativ steht es dem Verantwortlichen natürlich frei, auf die Inbetriebnahme des Verfahrens zu verzichten.

d) Negativ- und Positivlisten

Die Aufsichtsbehörden sind verpflichtet, sogenannte Negativlisten zu veröffentlich. Hierbei handelt es sich um eine Aufstellung von Verfahren, bei denen nach Auffassung der Behörde davon auszugehen ist, dass eine DSFA-Pflicht besteht. Diese Listen sind auf den Webseiten der jeweiligen Aufsichtsbehörden veröffentlicht. Sie werden regelmäßig aktualisiert.

Nicht verpflichtet sind die Behörden zur Bereitstellung von Positivlisten, also von Aufstellungen von Verfahren, die nach Ansicht der Behörde regelmäßig keine DSFA erfordern. Derartige Listen bestehen derzeit in Deutschland nicht, wohl aber in anderen Ländern der EU.

d) Betrieblicher Datenschutzbeauftragter

Betreibt ein Unternehmen der privaten Wirtschaft ein Verfahren, das der Pflicht zur Vorabkontrolle unterliegt, ist es immer, also unabhängig von der Anzahl der Beschäftigten, die dort personenbezogene Daten verarbeiten, verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, § 38 Abs. 1 S. 2 BDSG. Gleiches gilt für Auftragsverarbeiter.