Mit der am 25.5.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) wird unter anderem die Datenschutzfolgenabschätzung eingeführt. Die Artikel-29-Datenschutzgruppe hat hierzu Hinweise veröffentlicht. Zudem bietet es sich an, das von den Aufsichtsbehörden entwickelte Standard-Datenschutzmodell; sowie die ISO-Normen 29100 und 29134 bei der Datenschutzfolgenabschätzung zu Grunde zu legen.
Foto: oatawa - shutterstock.com
Standard-Datenschutz, ISO 29100 und 29134
Das "Standard-Datenschutzmodell" der deutschen Datenschutzaufsichtsbehörden soll als Grundlage dienen, die sowohl Behörden als auch Unternehmen bei der Umsetzung der DSGVO etwas "an die Hand gibt". Hierauf kann auch für Datenschutzfolgenabschätzungen zurückgegriffen werden. International existieren mit Normen der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) im Datenschutz und bei Datenschutzfolgenabschätzun-gen auf internationaler Ebene Leitlinien zur Vereinheitlichung der Vorgehensweise. Die ISO/IEC-Norm 29100:2011 stellt (vergleichbar mit dem deutschen Standard-Datenschutzmodell) Prinzipien auf, die im Datenschutz allgemein gelten und bei jeder Datenverarbeitung zu beachten sein sollen. Die ISO/IEC 29134:2017 beschreibt detailliert den Ablauf einer Datenschutzfolgenabschätzung von der Vorbereitungs- über die Durchführungs- bis hin zur Nachbereitungs- und Report-Phase.
Wann ist eine Datenschutzfolgenabschätzung Pflicht?
Eine Datenschutzfolgenabschätzung ist nach Art. 35 DSGVO immer dann erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Die in Art. 35 Abs. 3 DSGVO genannten Kategorien an Datenverarbeitungen werden vom Gesetzgeber stets als risikobehaftet angesehen, sodass eine Datenschutzfolgenabschätzung zwingend durchzuführen ist.
Die Aufzählung ist jedoch nicht abschließend. Vielmehr kann auch in anderen "risikoreichen" Fällen eine Datenschutzfolgenabschätzung durch den Verantwortlichen durchzuführen sein. Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Deshalb hat die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz) Leitlinien und Kriterien vorgeschlagen, wann ein hohes Risiko gegeben und wann eine Datenschutzfolgenabschätzung erforderlich sein soll.
Sie schlägt als Daumenregel vor, dass erst bei einer Datenverarbeitung, die mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt, ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutzfolgenabschätzung durchzuführen sei. Es wird aber zugleich darauf hingewiesen, dass in Ausnahmefällen schon das Vorliegen nur eines Kriteriums zur Notwendigkeit einer Datenschutzfolgenabschätzung führen kann. Dies führt dazu, dass bei Zweifeln an der Erforderlichkeit der Durchführung einer Datenschutzfolgenabschätzung eine solche stets erfolgen sollte. Die GDPR (General Data Protection Regulation) gibt für die Vorgehensweise vor und während einer Datenschutzfolgenabschät-zung keine expliziten Anweisungen an die Hand. In Art. 35 Abs. 7 DSVO werden lediglich inhaltliche Mindestanforderungen beschrieben. Zu beachten ist zudem, dass auch die Nichtdurchführung einer Datenschutzfolgenabschätzung gemäß Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO ausführlich begründet werden muss.
Datenschutzfolgenabschätzung als Best Practice
Bei der Datenverarbeitung im Konzern wird stets eine Datenschutzfolgenabschätzung notwendig sein. Denn bei international tätigen Unternehmen mit tausenden von Arbeitnehmern und/oder Kunden sind regelmäßig zwei oder mehr der zuvor genannten Kriterien (auch aus der Leitlinie der Artikel-29-Datenschutzgruppe) erfüllt.
Daneben existieren aber noch weitere Gründe, die es sinnvoll erscheinen lassen, im Unternehmen eine Datenschutzfolgenabschätzung durchzuführen, selbst wenn diese grundsätzlich gar nicht notwendig wäre. Denn die verantwortliche Stelle ist ohnehin verpflichtet, gemäß Art. 30 DSGVO ein Verzeichnis der Datenverarbeitungsvorgänge anzulegen. Von dem hierfür erforderlichen Aufwand ist es nur noch ein kleiner Schritt zu einer vollständigen Datenschutzfolgenabschätzung beziehungsweise zur Erfüllung der Mindestanforderungen gem. Art. 35 Abs. 7 DSGVO. Denn nach der Vorbereitungs- und der Risikobewertungs-Phase folgt nur noch die Maßnahmenphase zur Eliminierung oder Eindämmung der festgestellten Risiken.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Der Mehraufwand ist - im Verhältnis zum möglichen Nutzen - eher gering. Denn durch eine ordnungsgemäß durchgeführte Datenschutzfolgenabschätzung erlangt der Verantwortliche Überblick über die unternehmensinternen Datenverarbeitungsvorgänge und mögliche Risiken. Dies ermöglicht ihm eine klare Kommunikation über den Datenschutz im Unternehmen gegenüber Behörden, die zukünftig immer wichtiger werden wird. Das LDA Bayern hat zum Beispiel angekündigt, im Rahmen der EU-Datenschutzgrundverordnung verstärkt zu prüfen. Zur Unterstützung der Umsetzung und Vorbereitung auf die GDPR hat das LDA Bayern vor Kurzem einen (fiktiven) Fragebogen veröffentlicht, den es an circa 150 Unternehmen in Bayern verschickt hat.
Neben Informationen zur Implementierung von Datenschutzfolgenabschätzungen werden auch Daten zu Verarbeitungsverzeichnissen und möglichen Auftragsverarbeitern abgefragt. Mit Hilfe einer Datenschutzfolgenabschätzung können also potentielle Risiken und Sicherheitslücken frühzeitig erkannt und behoben werden. Dies wiederum führt zur Vermeidung von Sanktionen durch die Aufsichtsbehörden, die teils sehr empfindlich (vgl. Art. 80 DSGVO, bis zu vier Prozent des weltweiten, vorjährigen Unternehmensgesamtumsatzes) sein können.