Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
27. Juni 2019

Konsultation der Betroffenen bei einer DSFA – wann, wie, warum?

DP+
Konsultation der Betroffenen bei einer DSFA – wann, wie, warum?
Bild: iStock.com / http://www.fotogestoeber.de
0,00 (0)
Datenschutz-Folgenabschätzung
Bisher wenig beachtet, aber doch wichtig: den Standpunkt der betroffenen Personen zu einer Verarbeitung einzuholen, die der Folgenabschätzung unterliegt. Lesen Sie, was genau dahintersteckt.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein wichtiges datenschutzrechtliches Instrument, um die Rechte und Interessen betroffener Personen zu schützen.

Hierbei unterstützt der Datenschutzbeauftragte (DSB) den Verantwortlichen beratend.

An einer DSFA beteiligte Personen / Institutionen

Allerdings sind der Datenschutzbeauftragte, der Verantwortliche und gegebenenfalls der Auftragsverarbeiter in unterstützender Funktion nicht die Einzigen, die an einer DSFA mitzuwirken haben.

Denn Art. 35 Abs. 9 Datenschutz-Grundverordnung (DSGVO) besagt: „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“

Der Gesetzeswortlaut bezieht sich demnach einerseits auf konkret betroffene Personen, z.B. auf bestimmte Mitarbeiter, Auszubildende, Bewerber oder Kunden. Andererseits auf mehr oder weniger größere Gruppen von Betroffenen sowie auf ihre Vertreter (nicht: Vertreter des Verantwortlichen!).

Was sind „Vertreter“?

Wer ist mit dem Begriff „Vertreter“ aber konkret gemeint? Hierunter fallen z.B.

  • gesetzliche Vertreter wie Eltern, Vormund etc.
  • Interessenvertreter einer spezifischen Betroffenengruppe (z.B. Elternvertreter, Betriebs- und Personalrat, Verbände, Verbraucherschutzverbände, Studentenvertretungen, Gewerkschaften etc.) sowie
  • sonstige Vertreter, denn die DSGVO fordert zwischen Betroffenem und Vertreter keine (besondere) rechtliche Verbundenheit.

Beispiele

Beispiel 1: Verantwortliche müssten bei minderjährigen Beschäftigten – z.B. bei Azubis unter 16 Jahren – grundsätzlich ihre gesetzlichen Vertreter einbeziehen.

Beispiel 2: (Interessen-)Vertreter der Betroffenen einzubinden, wird immer dann zielführend sein, wenn es aufgrund der Vielzahl von Betroffenen nicht möglich ist, deren individuellen Standpunkt einzuholen, z.B. bei Social-Media-Plattformen oder bei einem Fitnessarmband für europäische Verbraucher.

Standpunkt der betroffenen Person oder ihrer Vertreter

Das Wort „gegebenenfalls“ im Text der DSGVO könnte den Eindruck vermitteln, dass es gänzlich beim Verantwortlichen liegt, ob er den Standpunkt einholt oder nicht.

Es ist jedoch gerade der Zweck, die Betroffenen, über die der Verantwortliche eine „Entscheidung“ trifft, zu beteiligen, um ihren Interessen eine Stimme zu geben. Das soll einseitige und subjektive Risikobewertungen vermeiden.

Folglich kann ein Verantwortlicher nur dann, wenn der Aufwand zur Einholung des Standpunkts unverhältnismäßig erscheint oder das objektiv nicht möglich ist, darauf verzichten.

So wäre es z.B. unverhältnismäßig, wenn ein Unternehmen, das keine Interessenvertretung hat, den Standpunkt von 1.000 einzelnen Mitarbeitern zu einer geplanten Datenverarbeitung einholen und auswerten müsste.

Umgekehrt ist der Standpunkt immer dann einzuholen, wenn der Verantwortliche – mangels Einblick – nicht auf andere Weise sicherstellen kann, dass der Verarbeitungsvorgang den Interessen der Betroffenen Rechnung trägt. Denn in diesen Fällen ist er gerade auf den Standpunkt der Betroffenen angewiesen, um eine DSFA durchzuführen.

Das gilt z.B. bei solchen Risiken, die sich aus der besonderen Situation der Betroffenen ergeben, etwa bei DNA-Analysen zur Erkennung von (Erb-)Krankheiten oder bei telemedizinischer Beratung von Suchtkranken unter Einsatz von Big Data.

Was kann alles Gegenstand des „Standpunkts“ sein?

Der Standpunkt der Betroffenen/Vertreter kann sich sowohl auf das Wie der DSFA als auch auf das Ob einer Folgenabschätzung beziehen.

Die Stellungnahme der Betroffenen/Vertreter kann daher – ähnlich wie die Stellungnahmen von Verbänden/Gremien zu Gesetzesentwürfen – alle Aspekte einer DSFA umfassen, etwa

  • Schutzmaßnahmen, die das jeweilige Risiko (weiter) reduzieren,
  • weitere bisher unerkannte Risiken für die Betroffenen,
  • die organisatorische Ausgestaltung der Verarbeitung,
  • Speicherdauer & Löschfristen sowie
  • die Konsultation der Aufsichtsbehörde (sofern sich nach Ansicht der Betroffenen/Vertreter Risiken nicht hinreichend reduzieren lassen).

Wann ist es verpflichtend, den Standpunkt einzuholen?

Das bedeutet, dass die Pflicht zur Beteiligung immer dann besteht, wenn diese Beteiligung zu zusätzlichen Erkenntnissen bzw. zu einem Mehrgewinn an Informationen beim Verantwortlichen führt.

Das lässt sich (leider) nicht pauschal im Vorfeld beantworten und ist zudem sehr vage formuliert. Da der Standpunkt lediglich dann einzuholen ist, wenn er einen tatsächlichen Erkenntnisgewinn bringt, ist die Konsultation der Betroffenen/Vertreter grundsätzlich eher ein Ausnahmefall, v.a. wenn es um Externe geht.

PRAXIS-TIPP: Fasst man die vagen Kriterien, die zu einer Beteiligung führen, zusammen, so ist eine Beteiligungspflicht u.a. in allen Fällen von Art. 36 DSGVO wahrscheinlich.

Das bedeutet: Der Verantwortliche muss die Betroffenen/Vertreter beteiligen, wenn nach der DSFA hohe Risiken verbleiben.

Das wäre auch ein praxisorientierter Mittelweg, der die Verantwortlichen von allzu häufigen Beteiligungen entlastet.

Betroffene außerhalb der Organisation beteiligen

Externe Betroffene und ihre Vertreter (z.B. Verbraucherschutzverbände, Gewerkschaften) einzubinden, bietet sich – zusätzlich zu den genannten Voraussetzungen – immer an, wenn die Stellungnahmen verallgemeinerungsfähig sind.

Also wenn sie sich auf abstrakte Sachverhalte, abstrakte Risiken und konkret eingrenzbare Betroffenenkategorien beziehen (können).

Bei der Einschätzung spielen Aspekte wie Reichweite und Breitenwirkung des Verfahrens sowie Umfang und Bezug der Betroffenen/Interessenvertreter zum Verantwortlichen eine Rolle.

Betroffene innerhalb der Organisation beteiligen

Anders gestaltet sich der Fall, wenn es sich um Betroffene/Vertreter innerhalb der verantwortlichen Stelle handelt (z.B. Mitarbeiter und Betriebsrat oder Azubis und JAV), die durch die Verarbeitung direkt betroffen sind.

Eine Beteiligung ist vor diesem Hintergrund regelmäßig erforderlich.

Ein Beispiel: Eine Universität führt ein neues umfangreiches Datenerfassungs- und Verwaltungssystem für Studierende ein und holt diesbezüglich den Standpunkt der Studierendenvertretung ein.

So scheint das auch die Datenschutzkonferenz (DSK) zu sehen, wenn sie in ihrem Kurzpapier Nr. 5 als Beispiel lediglich die Einbindung von Gremien der Mitbestimmung (z.B. Betriebs-/Personalräte) nennt. Bei Unternehmen ohne Betriebsrat kommt auch eine „offene Befragung“ der betroffenen Mitarbeiter in Betracht.

Grenzen der Informationen an die Beteiligten

Art. 35 Abs. 9 DSGVO verpflichtet den Verantwortlichen, den Betroffenen/Vertretern Informationen zur Verfügung zu stellen, die erforderlich sind, damit sie sachgerecht prüfen und Stellung nehmen können.

Hierzu zählen etwa Art und Umfang der verarbeiteten Daten, verfolgte Zwecke, Beteiligte usw.

  • Der Verantwortliche kann unter bestimmten Umständen diese Informationen kürzen. Geht es z.B. um neue datengetriebene Geschäftsmodelle, dürften kommerzielle Interessen einer vollständigen Veröffentlichung entgegenstehen.
  • Eine Kürzung/Schwärzung von Informationen dürfte weniger umfangreich ausfallen, wenn es darum geht, interne Betroffene wie Mitarbeiter zu beteiligen, als wenn es sich um externe Betroffene – z.B. Kunden und Verbraucherschutzverbände – handelt.
  • So kann es gerechtfertigt sein, internen Beteiligten das angedachte oder bereits implementierte Sicherheitskonzept für eine risikoreiche Verarbeitung vorzulegen. Hingegen berühren solche Informationen gegenüber Externen regelmäßig die Sicherheitsinteressen des Verantwortlichen.

Pauschal Informationen unter Berufung auf Geheimhaltungsinteressen zu verweigern, ist nicht statthaft.

Der Verantwortliche muss erläutern, auf Basis welcher Geheimhaltungsinteressen er von einer Offenlegung welcher Informationen absieht. Das ist Teil seiner Rechenschaftspflicht.

WICHTIG: Die DSGVO zwingt den Verantwortlichen nicht dazu, den Standpunkt tatsächlich zu berücksichtigen oder ihm zu folgen.

Das darf aber nicht dazu verleiten, den Standpunkt lediglich als bürokratisierendes Übel ohne praktische Bedeutung anzusehen.

Insofern ist es wichtig, dass sich der Verantwortliche im Rahmen der DSFA zumindest damit auseinandersetzt und begründet, warum er einem Vorschlag bzw. einer Forderung gefolgt bzw. nicht gefolgt ist.

Form und Ausgestaltung

Hinsichtlich der Form – z.B. Schriftform oder Textform – macht die DSGVO keine Vorgaben, sodass die Betroffenen/Vertreter ihre Stellungnahmen auch elektronisch per E-Mail abgeben können.

Aus Nachweisgründen seitens des Verantwortlichen empfiehlt sich jedoch, einen Prozess zu etablieren, auch um Abläufe und Vorgehensweisen besser koordinieren zu können.

Es bietet sich z.B. an, eine zentrale E-Mail-Adresse und/oder einen zentralen Ansprechpartner beim Verantwortlichen einzurichten.

Bittet der Verantwortliche Betroffene/Vertreter um Stellungnahme und erhält keine Rückmeldung innerhalb einer angemessenen Frist, sollte er dies dokumentieren.

Fazit: Als wertvolle Ergänzung ansehen

Auf den ersten Blick mag die Beteiligung die Datenschutz-Folgenabschätzung aufblähen.

Allerdings können es gerade die Betroffenen und ihre Vertreter sein, die wertvollen Input, etwa für Schutzmaßnahmen, liefern.

Spannend bleibt, wie sich die Aufsichtsbehörden bzw. der Europäische Datenschutzausschuss dazu positionieren. Eine Entschließung wäre wünschenswert, um Rechtsunsicherheiten zu reduzieren.

Dr. Kevin Marschall

Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.