Datenschutzfolgenabschätzung [DSFA] – Wann ist diese zwingend notwendig?

Feb 10, 2020 | Allgemein, Datenschutzfolgenabschätzung

Die DSGVO beinhaltet detaillierte Information welche Organisationen eine Risikoanalyse ihrer Datenverarbeitung durchführen müssen und wie diese sogenannte Datenschutzfolgenabschätzung, kurz DSFA, auszusehen hat. Eine Folgenabschätzung ist insbesondere erforderlich, wenn Fälle des Art. 35 Abs. 3 lit. a -c in Betracht kommen:

  • Profiling oder Scoring (systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen)
  • Umfangreiche Verarbeitung schützenswerter personenbezogener Daten wie biometrische Daten, Daten zu Herkunft oder Daten zur Weltanschauung
  • Systematische Überwachung öffentlicher Räume

Es gibt zudem eine Liste der Verarbeitungsvorgänge der zuständigen Aufsichtsbehörde, in denen Fälle aufgelistet sind, für die eine DSFA zwingend erforderlich ist. Diese Listen erheben jedoch noch keinen Anspruch auf Vollständigkeit (sog. Blacklist gemäß Art. 35 Abs. 4 DSGVO)

Gesetzliche Grundlage nach Art. 35 der DSGVO.

Die gesetzliche Grundlage der Datenschutzfolgenabschätzung bildet hauptsächlich Art. 35 DSGVO. Der erste Absatz besagt, wer wann eine Folgenabschätzung durchführen muss. Sie ist vor allem dann notwendig, wenn „neue Technologien“ zum Einsatz kommen, die ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ darstellen. Wer also neue Technologien verwenden möchte, muss erst einmal die Folgen und Risiken dieser analysieren und bewerten.

Definition – Was ist eine Datenschutzfolgenabschätzung?

Eine Datenschutzfolgenabschätzung ist eine Form der Risikoanalyse, die durchgeführt werden muss, wenn z.B. eine neue Technologie zur Datenverarbeitung im Unternehmen eingesetzt werden soll.
Muss eine DSFA erstellt werden, sollte diese folgendes beinhalten: Beschreibung der Verarbeitungsvorgänge und -zwecke, ob und warum die Erhebung notwendig und der Umfang verhältnismäßig zum Zweck ist, warum berechtigtes Interesse an dieser Verarbeitung besteht und natürlich welche Risiken durch die Verarbeitung entstehen insbesondere in Bezug auf Rechte und Freiheiten der Personen, deren Daten verarbeitet werden. Besteht ein Risiko für die Freiheit von Personen, so sind in die Folgenabschätzung auch Abhilfemaßnahmen gegen diese Risiken zu inkludieren.

Offizielle Blacklist & Whitelist der DSK (Datenschutzkonferenz)

Wie bereits erwähnt gibt es eine Liste der Verarbeitungsvorgänge der zuständigen Aufsichtsbehörde, wann eine Datenschutzfolgenabschätzung notwendig ist. In Deutschland sind die zuständigen Aufsichtsbehörden in jedem Bundesland unterschiedlich. Sie haben sich jedoch in der Datenschutzkonferenz, kurz DSK, auf eine einheitliche Blacklist geeinigt.

Blacklist / Whitelist

Die Blacklist der DSK beinhaltet Verarbeitungstätigkeiten, in denen eine Datenschutzfolgenabschätzung definitiv durchzuführen ist. Hierzu zählen unter anderem:

  • Verwendung von biometrischen Systemen zur Zugangskontrolle
  • Genetische Datenbanken zur Abstammungsforschung
  • Insolvenzverzeichnisse und Inkassodienstleistungen
  • Offline-Tracking von Kundenbewegung z.B. in Kaufhäusern
  • Scoring für Banken und Versicherungen
  • Umgebungssensoren an Fahrzeugen und die Verarbeitung von deren Daten
  • Bewertungsportale
  • Big-Data-Analysen, die Kundendaten beinhalten
  • Verarbeitung von Krankheitsdaten und Telemedizin-Lösungen
  • Fitnessarmbänder oder Fitness-Apps auf Smartphones

Eine definitive Whitelist der Bundesländer, wann keine Folgenabschätzung erforderlich ist, liegt noch nicht vor.

Vorlagen/Muster – Gliederung & Überblick

Bei PRIOLAN erhalten Sie ein klar strukturiertes Datenschutz Folgenabschätzung Muster. So verstehen Sie nicht nur den grundsätzlichen Aufbau, sondern erhalten auch eine Ausfüllhilfe und Unterstützung bei der Schwellenwertanalyse. Zudem sind alle Materialien vorhanden, um in ihrem Unternehmen eine stabile Prüfroutine zu etablieren.

Beispiele aus der Praxis

Hier noch einige Beispiele auf Grundlage der Blacklist der DSK für Fälle, in denen eine Folgenabschätzung zwingend erforderlich ist:

  • Schulkantinen, in denen Schüler via Fingerabdruck bezahlen können
  • DNA-Tests zur Früherkennung bei Neugeborenen
  • Car-Sharing-Dienste, die Positionierungs- und Abrechnungsdaten verarbeiten
  • Betreiber von Online-Shops, die Daten zur Betrugsprävention verarbeiten, um z.B. einen Risikowert für jeden Kunden zu ermitteln
  • Apps zur Ermittlung freier Parkplätze, die dafür Umgebungssensoren von Fahrzeugen nutzen
  • Lehrer- und Arztbewertungsportale
  • Unternehmen, die Internetverkehr, Mailverkehr und Mediennutzung von Mitarbeitern aufzeichnen
  • Unternehmen der Werbebranche, die Kundendaten ihrer Auftraggeber umfangreich analysieren und ggf. mit Daten aus sozialen Medien oder anderen Quellen verknüpfen
  • Callcenter, die automatisiert die Stimmungslage des Anrufers analysieren

Zusammenfassung

Für jeden Verarbeitungsvorgang entsprechend Ihrem VVT (Verzeichnis für Verarbeitungstätigkeiten) ist eine sogenannte Schwellenwertanalyse durchzuführen. Aufgrund dieser Schwellenwertanalyse lässt sich feststellen, ob Sie zwingend eine Datenschutzfolgenabschätzung durchführen müssen.

 

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!

Referenzen:

Wissenswertes