Gratis
8. Juni 2018 - DSGVO

Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Drucken

Bei Datenverarbeitungen, die die Rechte des Betroffenen besonders beeinträchtigen können, schreibt die Datenschutz-Grundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung vor. Es herrscht Unklarheit, wann diese nötig ist. Ein Dokument, das Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg einsehen können, bringt Licht ins Dunkel.

12 Fälle in denen eine Folgenabschätzung nötig ist Die Fälle, in denen die Behörden von der notwendigen Risikoprüfung ausgehen, sind sehr umfangreich. (Bild: BrianAJackson / iStock / Thinkstock)

Gemäß Art. 35 DSGVO muss bei besonderen Verarbeitungen eine Risikoprüfung, also eine Datenschutz-Folgenabschätzung erfolgen. Und unter Umständen ist nach Art. 36 DSGVO sogar die Aufsichtsbehörde zu konsultieren.

Allerdings ist derzeit noch nicht klar, wie genau eine solche Datenschutz-Folgenabschätzung auszusehen hat. Das sorgt für Unsicherheit auf der Seite von Unternehmen.

Mehr Sicherheit gibt es dagegen jetzt, welche Arten von Datenverarbeitungen eine solche Prüfung erforderlich machen.

Blacklist Datenschutz-Folgenabschätzung

Der Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg hat ein Dokument mit dem Titel „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO” veröffentlicht, das Sie direkt aus dem Internet herunterladen können.

Sie gilt für alle verantwortlichen Stellen im nichtöffentlichen Bereich. Der ursprüngliche Entwurf dieses Textes stammt vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

Bereits in der einleitenden Fußnote stellen die Autoren klar, dass es sich bei der Zusammenstellung um eine „Muss-Liste” handelt. In allen genannten Fällen ist also aus Sicht der Behörden eine Datenschutz-Folgenabschätzung durchzuführen.

Die Aufstellung sorgt zwar für mehr Rechtssicherheit, dürfte aber viele Verantwortliche überraschen.

Denn die Fälle, in denen die Behörden von der notwendigen Risikoprüfung ausgehen, sind doch sehr umfangreich.

Fälle, in denen eine Folgenabschätzung nötig ist

Dazu gehören unter anderem:

  • Offline-Tracking von Kundenbewegungen in Warenhäusern
  • Systeme zur Betrugserkennung (Fraud-Prevention-Systeme)
  • Scoring durch Auskunfteien, Banken oder Versicherungen
  • Inkassodienstleistungen
  • Einsatz von Systemen, die das Abfließen von Informationen aus Unternehmensnetzwerken verhindern sollen (Data-Loss-Prevention-Systeme)
  • Big-Data-Analyse von Kundendaten, die mit Informationen aus Drittquellen angereichert wurden
  • Geolokalisierung von Beschäftigten
  • Erfassung des Kaufverhaltens zur Profilbildung und Kundenbindung unter Bezugnahmen von Preisen, Preisnachlässen und Rabatten
  • Einsatz von RFID/NFC durch Apps oder Karten
  • Video-/Telefongespräch-Auswertung mittels Algorithmen
  • Einsatz von Telemedizin zur detaillierten Bearbeitung von Krankheitsdaten
  • zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Nachschlagewerk für Datenschützer

Dies sind nur einige Beispiele aus der veröffentlichten Liste.

Sie zeigt übersichtlich eine Beschreibung der kritisch zu bewertenden Datenverarbeitung, nennt die dazu passenden typischen Einsatzfelder und führt diese mit Beispielen weiter aus.

Damit eignet sich das Dokument als Nachschlagewerk und Referenz im Alltag der Verantwortlichen und Datenschutzbeauftragten in Unternehmen.

Stephan Lamprecht