Datenschutz-Folgenabschätzung: Nur lästige Pflicht?
03. Dezember 2018
Seit 25. Mai müssen Verantwortliche bei Verarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellen, eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Aber was genau verbirgt sich hinter dieser Maßnahme und hat der Verantwortliche dadurch auch irgendeinen Mehrwert oder nur zusätzliche Aufwände?
Mit Inkrafttreten der DSGVO wurde die Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) abgeschafft und stattdessen die Verantwortung verstärkt in Richtung des Verantwortlichen und des Auftragsverarbeiters verlagert. Eine der neuen Verpflichtungen des Verantwortlichen ist die Durchführung einer DSFA. Doch auch Auftragsverarbeiter müssen hier ihren Teil dazu beitragen. Aber wo genau liegt nun der Mehrwert? Aus Sicht der Betroffenen liegen die Vorteile auf der Hand – etwaige Risiken werden bereits frühzeitig erkannt und vor Inbetriebnahme der Verarbeitung beseitigt. Das steigert das Vertrauen in das Unternehmen. Aus Sicht des Verantwortlichen ist die DSFA eine Möglichkeit, um gegenüber Kunden und Behörden die Bemühungen im Bereich Datenschutz darzustellen.
Am 25. Mai 2018 bestätigte der Europäische Datenschutzausschuss (EDSA) die Leitlinien zur Datenschutz-Folgenabschätzung, die von der Artikel-29-Datenschutzgruppe ausgearbeitet wurden. Diese Leitlinien enthalten unter anderem neun Kriterien, die für die Durchführung einer DSFA ausschlaggebend sein können. Treffen zumindest zwei der Kriterien zu, ist eine DSFA obligatorisch.
- Bewerten und Einstufen (Erstellung von Profilen oder Prognosen)
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
- Systematische Überwachung
- Vertrauliche Daten oder höchst persönliche Daten
- Datenverarbeitung in großem Umfang
- Abgleichen oder Zusammenführen von Datensätzen
- Daten zu schutzbedürftigen Betroffenen
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
- Die Verarbeitung hindert betroffene Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags
Auch die österreichische Datenschutzbehörde (DSB) hat bereits zwei Verordnungen zur DSFA veröffentlicht:
- Die DSFA-Ausnahmeverordnung (BGBl. II 108/2018, „White-List“) enthält eine Auflistung der Arten von Verarbeitungsvorgängen, welche nach Ansicht der DSB von einer DSFA ausgenommen sind.
- Sofern eine Verarbeitungstätigkeit rechtmäßig iSd DSGVO erfolgt und keine Verarbeitung gemäß der Ausnahmeverordnung vorliegt, ist unter Berücksichtigung der DSFA-Verordnung (BGBl. II 278/2018, „Black-List“) nach Ansicht der DSB jedenfalls eine DatenschutzFolgenabschätzung durchzuführen.
Setzen Sie auf jeden Fall ein entsprechendes Team für die Evaluierung von Verarbeitungsvorgängen ein, um eine subjektive Beurteilung durch eine Einzelperson zu vermeiden (z. B. DSFA-Team bestehend aus Fachverantwortlichen, IT, Rechtsabteilung, Datenschutzbeauftragte/r).
Haben Sie Fragen? Ich freue mich auf Ihre Kontaktaufnahme unter: datenschutz@brz.gv.at