siehe Artikel 35 DSGVO – Datenschutz-Folgeabschätzung

Definition Risiko

In der Risikodefinition orientiere ich mich am gängigen Standard, der auch in der Norm ISO 31000 zu finden ist. Ein Risiko ist definiert:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Wann müssen Unternehmen eine Datenschutz-Folgeabschätzung erstellen?

Verpflichtend wird die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO, wenn die Verarbeitung der personenbezogenen Daten voraussichtlich ein besonderes Risiko für den Betroffenen birgt. Das besondere Risiko kann sich ergeben, wenn für die Verarbeitungsvorgänge neue Technologien eingesetzt werden, oder aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung.

Hinweis: Ändern sich im laufenden Betrieb Umstände, die der Datenschutz-Folgeabschätzung zugrunde lagen, v. a. hinsichtlich der Risikofaktoren, ist die Verarbeitung zu überprüfen.

Beispiele für ein besonderes Risiko

  • Ein besonderes Risiko ist z. B. gegeben, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit Betroffener (Fähigkeiten, Leistung, Verhalten) zu bewerten, und diese Bewertung als Grundlage für Entscheidungen (v. a. bei Scoringverfahren) dienen soll.
  • Auch die systematisch umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche stellt ein besonderes Risiko dar.

Um Unternehmen die Einschätzung  zu vereinfachen, wann eine Datenschutz-Folgeabschätzung verpflichtend durchzuführen ist, sieht Art. 35 Abs. 4 DSGVO vor, dass die Datenschutzaufsichtsbehörden eine Positivliste von solchen Verarbeitungsvorgängen erstellen, die eine Datenschutz-Folgeabschätzung verlangen.

Datenschutz-Folgeabschätzung

Dokumentiertes Vorgehen bei der Folgeabschätzung zur Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Die Mindestanforderungen ergeben sich aus Artikel 35 Datenschutz-Folgeabschätzung Absatz 7 der DSGVO:

  • Die Beschreibung der geplanten Verarbeitungsvorgängen und der Zwecke wird systematisch erstellt.
  • Auf Basis der systematischen Beschreibung werden die geplanten Verarbeitungen mit den damit verfolgten Zwecken abgeglichen.
  • Für die von der Datenverarbeitung betroffene Person ist eine Risikobewertung vorzunehmen.
  • Ausgehend von den ermittelten Risiken werden geplante Abhilfemaßnahmen dargestellt. Diese beinhalten Garantien, Sicherheitsvorkehrungen und entsprechende Verfahren.

Zu prüfen:

Wurde eine ausreichende Interessenabwägung vorgenommen und der Verhältnismäßigkeitsgrundsatz in Bezug auf den Zweck gewahrt?

Bestehen eigene berechtigte Interessen an der Verarbeitung?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Überwiegen entgegenstehende Interessen an der Verarbeitung?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ist die Verarbeitung zur Zweckerreichung notwendig?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ist die Verarbeitung zur Zweckerreichung verhältnismäßig (hinreichende Abwägung der Interessen im Hinblick auf kostengünstige und effektive Verfahrensdurchführung vs. Vertrauensschutz)?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ergibt sich aus der Datenschutz-Folgeabschätzung trotz der geplanten Maßnahmen zur Abhilfe ein Restrisiko bei den Verarbeitungsvorgängen ist der Verantwortliche verpflichtet, vor Aufnahme der Verarbeitung die zuständige Datenschutzaufsichtsbehörde zur konsultieren (sog. Konsultationspflicht nach Art. 36 DSGVO.

Die Aufsichtsbehörde muss dann innerhalb von acht Wochen (der Zeitraum kann auf bis zu 14 Wochen verlängert werden) eine schriftliche Empfehlung für das weitere Vorgehen abgeben.

Der Datenschutzbeauftragte kann die Datenschutz-Folgeabschätzung delegieren, ist aber nur beratend Tätig, dir Durchführung sollte aber von den fachlich internen Verantwortlichen übernommen werden.

Liste von Verarbeitungsvorgängen die eine Datenschutz-Folgeabschtzung notwendig machen

Beispielliste der Aufsichtsbehörde Badenwürtenberg (vom 19.02.2020)

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf

C Liste nach Art. 35 Abs. 4 DS-GVO
Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen sind in der Leitlinie in WP 248 der
Art. 29 Gruppe ab Seite 10 ff. wie folgt zu entnehmen:
1. Bewerten oder Einstufen (Scoring)
(“Evaluation or scoring”)
2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich
bedeutsamer Wirkung
(“Automated-decision making with legal or similar significant effect”)
3. Systematische Überwachung
(“Systematic monitoring”)
4. Vertrauliche oder höchst persönliche Daten
(“Sensitive data or data of a highly personal nature”)
5. Datenverarbeitung in großem Umfang
(“Data processed on a large scale”)
6. Abgleichen oder Zusammenführen von Datensätzen
(“Matching or combining datasets”)
7. Daten zu schutzbedürftigen Betroffenen
(“Data concerning vulnerable data subjects”)
8. Innovative Nutzung oder Anwendung neuer technologischer oder
organisatorischer Lösungen
(“Innovative use or applying new technological or organisational solutions“)
9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer
Dienstleistung bzw. Durchführung eines Vertrags gehindert
(“When the processing in itself prevents data subjects from exercising a right or using
a service or a contract”)
Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es jedoch
auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines
hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.

1.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten, die dem Sozial-,
einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9
Abs. 1 und 10 DS-GVO handelt

Typische Einsatzfelder

  • Betrieb eines Insolvenzverzeichnisses
  • Sozialleistungsträger
  • Große Anwaltssozietät

Beispiele

Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an

2.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen

Typische Einsatzfelder

  • Fahrzeugdatenverarbeitung –
    Car Sharing / Mobilitätsdienste
  • Fahrzeugdatenverarbeitung –
    Zentralisierte Verarbeitung
    der Messwerte oder Bilderzeugnisse von Umgebungssensoren
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
  • Verkehrsstromanalyse auf
    der Grundlage von Standortdaten des öffentlic

Beispiele

Ein Unternehmen bietet einen
Car-Sharing-Dienst oder andere
Mobilitätsdienstleistungen an und
verarbeitet hierfür insbesondere
umfangreich Positions- und Abrechnungsdaten.

Ein Unternehmen erhebt Daten,
die Fahrzeuge über ihre Umgebung generieren und ermittelt
daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren.

Ein Unternehmen verarbeitet die
GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten
nachverfolgen zu können.

3.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus
verschiedenen Quellen und Weiterverarbeitung der so
zusammengeführten Daten, sofern
• die Zusammenführung oder Weiterverarbeitung in
großem Umfang vorgenommen werden,
• für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
• die Anwendung von Algorithmen einschließen, die
für die Betroffenen nicht nachvollziehbar sind, und
• der Erzeugung von Datengrundlagen dienen, die
dazu genutzt werden können, Entscheidungen zu
treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.

Typische Einsatzfelder

  • Fraud-Prevention-Systeme
  • Scoring durch Auskunfteien,
    Banken oder Versicherunge

Beispiele

Zur Prävention von Betrugsfällen
verarbeitet der Betreiber eines
Online-Shops umfassende Datenmengen. Das Ergebnis der
Prüfung ist ein Risikowert, der
darüber entscheidet, ob einem
Käufer der Rechnungskauf als
Zahlungsart angeboten wird oder
nicht.

Eine Auskunftei führt ein Scoring
im Hinblick auf die Vertrauenswürdigkeit von Personen durch.

Eine Bank führt Scoring durch, um
das Ausfallrisiko der Rückzahlungen von Personen zu bestimmen. Eine Versicherung führt ein Scoring durch, um das Risiko einer Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten der Person zur Bestimmung der Höhe
einer Versicherung

4.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche

Typische Einsatzfelder

  • Fahrzeugdatenverarbeitung –
    Umgebungssensoren

Beispiele

Ein Unternehmen erhebt Daten,
die Fahrzeuge über ihre Umgebung generieren und ermittelt
daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren.

5.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen
entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

Typische Einsatzfelder

  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen –
  • Forderungsmanagement
    Inkassodien

Beispiele

Ein Online-Portal bietet Nutzern
die Möglichkeit an, Leistungen
von Selbstständigen öffentlich
feingranular zu bewerten. OnlineBewertungsportal bspw. für Ärzte,
Selbstständige oder Lehrer.

Ein Unternehmen verarbeitet für
seine Kunden in großem Umfang
personenbezogene Daten von
Schuldnern, insbesondere Vertragsdaten, Rechnungsdaten und Daten über Vermögensverhältnisse von Schuldnern zur Geltendmachung von Forderungen. Ggf. werden Daten an Auskunfteien
übermittelt.

Ein Unternehmen lässt sich in
großem Umfang Forderungen
übertragen um diese auf eigenes
Risiko geltend zu machen. Es verbarbeitet hierfür insbesondere Vertragsdaten, Rechnungsdaten, Scoringdaten und Informationen über Vermögensverhältnisse von Schuldnern. Ggf. werden Daten an Auskunfteien übermittelt.

6.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass
sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen

Typische Einsatzfelder

  • Einsatz von Data-LossPrevention Systemen, die systematische Profile der Mitarbeiter erzeugen
  • Geolokalisierung von Beschäftigten

Beispiele

Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am
Arbeitsplatz mit dem Ziel, von
Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu
erkennen.

Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung,  Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst.

7.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

Typische Einsatzfelder

  • Betrieb von Dating- und Kontaktportalen
  • Betrieb von großen Sozialen Netzwerken

Beispiele

Ein Webportal erstellt Profile der
Nutzer um möglichst passende
Kontaktvorschläge zu generieren.

8.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von  personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
• die Zusammenführung oder Weiterverarbeitung in
großem Umfang vorgenommen werden,
• für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
• die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und
• der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein
bestimmte Zwecke dienen

Typische Einsatzfelder

  • Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden

Beispiele

Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kunden, analysiert Daten über das Kaufverhalten der Kunden und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom
Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die
zur Steigerung des Umsatzes eingesetzt werden können.

9.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen

Typische Einsatzfelder

  • Telefongespräch-Auswertung
    mittels Algorithmen

Beispiele

Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus.

10.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der  Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des  Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum

Typische Einsatzfelder

  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des  öffentlichen Mobilfunknetzes

Beispiele

Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

11.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Automatisierte Auswertung von Video- oder AudioAufnahmen zur Bewertung der  Persönlichkeit der Betroffenen

Typische Einsatzfelder

  • Telefongespräch-Auswertung mittels Algorithmen

Beispiele

Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus.

12.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können

Typische Einsatzfelder

  • Einsatz von RFID/NFC durch Apps oder Karten

Beispiele

Eine Bank setzt die NFCTechnologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern.

13.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen

Typische Einsatzfelder

  • Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen,  Preisnachlässen und Rabatten.

Beispiele

Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.

14.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels  Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und  aufbereitet werden.

Typische Einsatzfelder

  • Einsatz von TelemedizinLösungen zur detaillierten Bearbeitung von Krankheitsdaten

Beispiele

Ein Arzt nutzt ein Webportal oder
bietet eine App an, um Patienten
detailliert und systematisch zu
behandeln.

15.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern die Daten mittels Sensoren erhoben, an einer  zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen

Typische Einsatzfelder

  • entrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Beispiele

Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder
Smartphones verbaut sind

Hinweise: Weitere Beispiele können Sie der Liste der jeweiligen Länder entnehmen. Jedes Bundesland muss eine ähnliche Liste zur Verfügung stellen.

Zu den Listen der einzelnen Bundesländer:

Baden-Württemberg

Baden-Württemberg stellt eine Liste für den nicht-öffentlichen Bereich zur Verfügung.

Bayern

Auf den Seiten des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz (öffentlicher Bereich) finden sich zur Zeit keine Angaben. Allerdings war das Bayerischen Landesamts für Datenschutzaufsicht an der Erstellung einer Liste (s.o.) maßgeblich beteiligt.

Berlin

Gleiches gilt für Berlin. Auch hier gibt es noch keine Liste auf der Homepage, aber Berlin war an der Erstellung einer Liste beteiligt.

Brandenburg

Hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich.

Bremen

Bremen hat seit dem 01.06.2018 auch eine Liste für den nicht-öffentlichen Bereich auf der Homepage. Vielen Dank an die Leser, die uns mit Ihren Kommentaren auf dem Laufenden halten.

Hamburg

Die Hansestadt hält eine List für den öffentlichen Bereich  sowie eine für den nichtöffentlichen Bereich vor.

Hessen

Auch Hessen hat nun eine gemeinsame Liste für den öffentlichen und den nicht-öffentlichen Bereich veröffentlicht.

Mecklenburg-Vorpommern

Hält eine Liste für den öffentlichen und eine für den nicht-öffentlichen Bereich vor.

Niedersachsen

Niedersachsen hat ebenfalls eine gemeinsame Liste für den öffentlichen und nicht öffentlichen Bereich.

Nordrhein-Westfalen

Nordrhein-Westfalen hält eine Liste für den öffentlichen Bereich sowie eine für den nicht-öffentlichen Bereich (NRW verlinkt die von der DSK veröffentlichte Liste) vor.

Rheinland-Pfalz

Das gleiche Bild zeigt sich im benachbarten Rheinland-Pfalz. Auch hier gibt es eine Liste für den öffentlichen Bereich und eine für den nicht-öffentlichen.

Saarland

Das Saarland verlinkt inzwischen auch die gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich der DSK.

Sachsen

Inzwischen hat auch Sachsen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich veröffentlicht.

Sachsen-Anhalt

Auch Sachsen-Anhalt hat inzwischen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich herausgegeben.

Schleswig-Holstein

Schleswig-Holstein hat eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

Thüringen

Ebenso Thüringen. Auch hier gibt es eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

Categories:

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.