Ab dem 25. Mai 2018 wird die Durchführung einer Vorabkontrolle durch die Datenschutz-Folgenabschätzung (DSFA) ersetzt. Die Vorabkontrolle ist gemäß § 4d Abs. 5 BDSG u. a. dann durchzuführen, wenn automatisierte Verarbeitungen vorgenommen werden, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Die Voraussetzungen der Durchführungspflicht sowie Vorgaben zum Inhalt der Datenschutz-Folgenabschätzung sind in Art. 35 DSGVO festgelegt.

Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die EU-Datenschutz-Grundverordnung sieht es gemäß Art. 35 vor, dass eine Datenschutz-Folgenabschätzung genau dann durchgeführt werden muss, wenn die Verarbeitung von personenbezogenen Daten bzgl. der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Ist dies der Fall, hat der Verantwortliche vorab eine Abschätzung der Folgen durchzuführen. Insbesondere in Fällen der

  • systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die für Entscheidungen dienen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder in ähnlicher erheblicher Weise beeinträchtigen,
  • umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
  • umfangreichen Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) oder
  • systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche

ist eine Datenschutz-Folgenabschätzung erforderlich.

Wer führt diese Datenschutz-Folgenabschätzung durch?

Nach Art. 35 Abs. 2 DSGVO hat der Verantwortliche, sofern ein Datenschutzbeauftragter benannt wurde, von diesem Rat einzuholen, um die DSFA durchführen zu können. Jedoch ist gemäß § 38 BDSG-neu ein Datenschutzbeauftragter zu bestellen , wenn eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Folglich hat der Verantwortliche einen Datenschutzbeauftragten zu benennen, welcher die DSFA im Anschluss durchführt.

Welche Verfahren unterliegen einer Prüfung mittels Datenschutz-Folgenabschätzung?

Die Formulierung zur Durchführungspflicht einer Datenschutz-Folgenabschätzung lässt, wie auch bei der Vorabkontrolle, viel Interpretationsspielraum zu. Es ist nicht eindeutig festzulegen, welche Verfahren einer vorherigen datenschutzrechtlichen Prüfung durch die Datenschutz-Folgenabschätzung unterliegen. Daher empfehlen wir, bei Unsicherheit, lieber auf Nummer sicher zu gehen, um unnötige Risiken zu vermeiden. Es ist definitiv einfacher und profitabler vorab eine Folgenabschätzung durchzuführen und somit die personenbezogenen Daten rechtskonform zu verarbeiten, als nach Einführung neuer Verfahren und Verarbeitungen die Prozesse aufwendig verändern oder sogar entfernen und Alternativen einführen zu müssen. Um sicher zu gehen, wann genau eine Datenschutz-Folgenabschätzung durchzuführen ist, wird die Aufsichtsbehörde, nach Art. 35 Abs. 4 DSGVO, eine Liste der betreffenden Verarbeitungsvorgängen veröffentlichen. Voraussichtlich wird eine Datenschutz-Folgenabschätzung, wie bisher auch die Vorabkontrolle, bei u. a. folgenden Verarbeitungen durchzuführen sein:

  • Videoüberwachung
  • Zeiterfassungssysteme
  • Erstellung von Kundenprofilen
  • Einsatz von Chipkarten

Führen Sie in Ihrem Unternehmen Verarbeitungen durch, die ab dem 25. Mai 2018 einer Datenschutz-Folgenabschätzung unterliegen? Verfügen Sie noch nicht über einen internen oder externen Datenschutzbeauftragten, der die Durchführung dieser Aufgabe übernehmen kann?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren.
Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.