DSGVO – Aus der Vorabkontrolle wird die Folgenabschätzung

Die europäische Datenschutzgrundverordnung (DSGVO) wirft ihre Schatten voraus. Bis zu ihrem Inkrafttreten Anfang 2018 müssen sich Unternehmen, Bürger und Behörden auf die neuen Regelungen eingestellt haben. In unserer Beitragsreihe zur DSGVO beleuchten wir die wichtigsten Änderungen für Unternehmen.

Dieser Beitrag geht auf die Einführung einer Datenschutz-Folgenabschätzung ein, wodurch die bisher bestehende Pflicht zur Vorabkontrolle wegfällt. Die damit verbundenen Änderungen bedeuten zumindest theoretisch einen grundlegenden Wandel für den Umgang mit personenbezogenen Daten.

Die Vorabkontrolle nach aktuellem Recht

Mit der bisherigen sogenannten „Vorabkontrolle“, die in § 4d des Bundesdatenschutzgesetzes (BDSG) geregelt ist, sollten Datenverarbeitungen, die ein besonderes Risiko für die Freiheitsrechte von Bürgern darstellen, unter den Vorbehalt einer Vorabmeldung an die Behörden oder einer Prüfung durch einen Datenschutzbeauftragten Prüfung durch die Behörden gestellt werden.

Als besonders risikobehaftet gelten gemäß § 4d Abs. 5 BDSG einerseits sogenannte „besondere Daten“, die sich nach ihrer Definition in § 3 Abs. 9 BDSG auf höchstpersönliche Eigenschaften oder Überzeugungen einer Person beziehen. Andererseits nennt das Gesetz Datenverarbeitungen, die dazu bestimmt sind, eine Person in umfassender Weise zu bewerten, insbesondere hinsichtlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Damit meint der Gesetzgeber automatisierte Scoring-Verfahren, in denen ohne menschliches Dazutun über besonders wichtige Fragen entschieden wird, beispielsweise bei Kreditvergaben oder Bewerbungsverfahren. Die Regelungen des BDSG sind aber bewusst offen formuliert, um auch weitere sensible Fälle abzudecken, die etwa mit der Einführung neuer Technologien einhergehen.

Das weitere Verfahren hängt davon ab, ob das Unternehmen einen Datenschutzbeauftragten bestellt hat. In diesem Fall prüft der Datenschutzbeauftragte die beabsichtigte Datenverarbeitung unter Berücksichtigung der gesetzlichen Vorgaben auf ihre Zulässigkeit. Bestehen hier Zweifel, hat er sich an die Aufsichtsbehörden zu wenden.

Hat das Unternehmen keinen Datenschutzbeauftragten, muss es der Aufsichtsbehörde vor Beginn der beabsichtigten Datenverarbeitung eine ausführliche Meldung zukommen lassen, deren Inhalt sich im Einzelnen nach § 4e BDSG richtet. Die Behörde nimmt hier in der Regel keine inhaltliche Prüfung der Datenverarbeitung vor.

In Deutschland hat die Meldepflicht an die Behörde nur in begrenztem Maß praktische Relevanz, da die Unternehmen überwiegend Datenschutzbeauftragte bestellt haben. Im europäischen Kontext wurde jedoch durch die generelle Meldepflicht ein erheblicher bürokratischer Aufwand verursacht, dem letztendlich kein adäquates Ergebnis gegenüberstand. Ein Kritikpunkt der bisherigen Praxis besteht insbesondere darin, dass allein die Meldung beabsichtigter Datenverarbeitungen noch keine Besserung der Praxis bewirkt. Hierfür wären tiefergreifende Veränderungen in der Einbindung von Datenverarbeitungsprozessen in die Abläufe des gesamten Unternehmens notwendig.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Zukunft: Datenschutz-Folgenabschätzung

Auf der Basis dieser Überlegungen modifiziert die DSGVO die Art und Weise, in der die Risiken bestimmter Datenverarbeitungen schon im Vorhinein ausgeschlossen werden sollen.

An die Stelle einer generellen Meldepflicht tritt nun gemäß Art. 35 DSGVO die Pflicht der Unternehmen zur Vornahme einer Datenschutz-Folgenabschätzung. Die Vorschrift betrifft ähnlich wie die bisherigen Regelungen solche Datenverarbeitungen, die ein hohes Risiko für die bürgerlichen Freiheitsrechte zur Folge haben, insbesondere beim Einsatz neuer Technologien und bei der Verarbeitung großer Datenmengen.

Unabhängig von der Tatsache, ob ein Datenschutzbeauftragter bestellt wurde, muss ein Unternehmen in diesen Fällen eine umfassende Prüfung der beabsichtigten Datenverarbeitungen vornehmen und dabei zentral die möglichen Folgen für den Schutz personenbezogener Daten berücksichtigen.

Die offene Formulierung der DSGVO, in welchen Fällen eine Folgenabschätzung vorzunehmen ist, kann durch eine Liste der Aufsichtsbehörde konkretisiert werden, in der sowohl relevante als auch irrelevante Verarbeitungsvorgänge aufgeführt sind.

Eine Folgenabschätzung muss mindestens die folgenden Punkte enthalten: eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Freiheitsrechte Betroffener sowie die Maßnahmen, die zur Bewältigung dieser Risiken getroffen werden. Eine weitere Konkretisierung liegt bisher nicht vor.

Art. 35 Abs. 8 DSGVO nennt auch die Einhaltung von anerkannten Verhaltenskodizes bzw. Codes of Conduct als relevantes Merkmal für die Beurteilung der Auswirkungen von Datenverarbeitungen.

Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.

Ergibt sich bei der Datenschutz-Folgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrunds 94 eine vorherige Konsultation mit der Aufsichtsbehörde notwendig.

Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.

Vorteile der Folgenabschätzung und Kritik

Mit der Etablierung der Datenschutz-Folgenabschätzung sollen Unternehmen und öffentliche Institutionen dazu gebracht werden, ihre bestehenden Praktiken nicht allein danach auszurichten, ob ihr eventuell bestimmte Vorschriften entgegenstehen. Vielmehr sollten die verantwortlichen Stellen ihre Prozesse selbständig und mit Blick auf die Betroffenenrechte evaluieren. Dadurch soll ein gesteigertes Bewusstsein für die möglichen Risiken bestimmter Datenverarbeitungen geschaffen und der Datenschutz in der Unternehmenspraxis verankert werden, vor allem bei dem Einsatz neuer Technologien oder bei dem Umgang mit großen Datenmengen.

Die neuen Regelungen der DSGVO haben jedoch auch Kritik hervorgerufen. Viele der Vorgaben sind bislang noch allgemein gehalten und müssen erst durch die Vorgaben der Aufsichtsbehörden konkretisiert werden. Das vom Bundesministerium für Bildung und Forschung geförderte „Forum Privatheit“ merkt an, durch den Ermessensspielraum der Mitgliedstaaten im Bereich der Verarbeitungen, die auf Rechtsvorschriften basieren, könnten staatlichen Institutionen gegenüber privaten Unternehmen privilegiert werden.

Konsequenzen für die Praxis

Für deutsche Unternehmen, die einen Datenschutzbeauftragten bestellt haben, besteht nun also in bestimmten Fällen nach Art. 36 DSGVO eine Konsultationspflicht, die vorher durch die Bestellung eines Datenschutzbeauftragten umgangen werden konnte. Insofern entsteht gegenüber der vorherigen Situation sogar ein erhöhter bürokratischer Aufwand.

Darüber sind Unternehmen verpflichtet, ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen. Dies führt im besten Fall zu einer effizienteren rechtlichen Beratung, wenn diese auf bereits bestehenden Analysen von Arbeitsprozessen aufbauen kann.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.