Ein solches Datenschutz-Folgenabschätzung überprüft die betrieblichen Abläufe von Behörden, Organisationen und Unternehmen auf eine Datenschutz konforme Verarbeitung der Daten. Je nach Institution und in welchem Umfang Daten verarbeitet werden, kann ein solches Gutachten einen unterschiedlichen Umfang haben oder aber auch verpflichtend sein.
So vielfältig die Tätigkeitsbereiche eines Unternehmens oder einer Behörde sind, so vielfältig sind natürlich auch die einzelnen Verfahrensabläufe in den entsprechenden Abteilungen.
Überprüft werden können:
- einzelne Produkte
- einzelne Abläufe oder Verfahren einer Abteilung
- komplette Abteilungsübergreifende Abläufe innerhalb einer Institution
Auch hier wird unter dem Begriff gelegentlich etwas anderes verstanden. Welche Arten eines Datenschutz-Gutachten es gibt soll in diesem Betrag einmal mehr vorgestellt werden.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
In der Eurpäischen Union sieht die Datenschutz-Folgenabschätzung nach Art. 35 Absatz 3a bis c DSGVO bei automatisierten Verarbeitungsabläufen vor. Dies will heißen, dass in bestimmten Fällen vor der Einführung von Verfahrensarten zur automatisierten Verarbeitung von personenbezogenen Daten zunächst ein Datenschutz-Folgenabschätzung mit einer Risikobewertung erstellt werden muss.
Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO hat mit Inkrafttreten im Mai 2018 die in § 4d Abs. 5 BDSG Datenschutz-Vorabkontrolle abgelöst.
Wann muss eine Datenschutz-Folgenabschätzung erfolgen?
Die Datenschutz-Folgenabschätzung muss immer dann durchgeführt werden, wenn personenbezogene Daten besonderer Art von Dienstellen, Behörden, Organistationen oder Unternehmen erhoben werden die einen eindeutigen Rückschluß auf eine natürliche Person geben.
Welche Datensätze zählen zu den besonderen Daten?
hierzu zählen:
- Vor.- und Zuname Familienname
- Geburtsdatum
- Ethnische Herkunft
- Pass und Ausweisdukumente
- Religionszugehörigkeit
- Philosophische Überzeugung
- Personenstand
- Politische Meinung
- Gesundheitsdaten
- Sexualleben
- Bankdaten
- EC / Kreditkarten
- Führerschein
- Lichtbilder
Beispielhafte Fälle wären hierzu Soziale Netzwerke wie z.B. Facebook, Twitter, Xing und Co. Gerade hierfür wurde auch die DSGVO der Europäischen Union entworfen. Um jeder sich in er EU aufhaltenden Person das Recht auf Selbstbestimmung zu gewährleisten.
Wann ist eine Datenschutz-Folgenabschätzung nicht notwendig?
Eine Datenschutz-Folgenabschätzung muss nicht stattfinden, wenn für die Datenverarbeitung entweder eine gesetzliche Verpflichtung oder Einwilligung der betroffenen Person besteht oder aber die Verarbeitung erforderlich ist, um ein „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ zu beginnen, durchzuführen oder zu beenden.
Wie läuft eine Datenschutz-Folgenabschätzung ab?
Gemäß Artikel 35 Absatz 2 ist der Datenschutzbeauftragte für die Durchführung einer Vorabkontrolle zuständig. Anhand einer Checkliste prüft der Datenschutzbeauftragte erst einmal ob überhaupt eine Vorabkontrolle für ein bestimmtes Verfahren notwendig ist.
ACHTUNG: Auch wenn keine Notwendigkeit für eine Vorkontrolle besteht, entbindet dies nicht von der Verpflichtung ein Verfahrenverzeichnis zu führen. Dies empfieht sich auch für Kleingewerbe oder Einzelunternehmen insbesondere unter Berücksichtigung dergesetzlichen Aufbewahrungsfristen.
Ist das Verfahrensverzeichnis erstellt, wird der Datenschutzbeauftragte diese anhand der detaillierten Gliederung abarbeiten und auf Schwachstellen im System überprüfen. Als Hilfestellung empfiehlt es sich das Verfahrensverzeichnis wie folgt zu gliedern:
- Systembeschreibung des Verfahrens
- auf welcher Rechtsgrundlage die zu verabeitenden Daten erhoben werden.
- Gefahrenanalyse (z.B. Webshops, Onlineplattformen, Soziale Netzwerke, etc)
- Löschprotokolle
- Eingesetztes Verfahren zur Gefahrenabwehr
- Risikoanalyse
- Datensicherungskonzept