Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist etwas, das es vor der Datenschutz-Grundverordnung (DSGVO) so nicht gab. Sie funktioniert nur, wenn alle Abteilungen im Unternehmen ihren Beitrag dazu leisten. Deshalb sollte jede Mitarbeiterin und jeder Mitarbeiter wissen, was es damit auf sich hat.

 

 

Normales und hohes Risiko

 

Jede Verarbeitung von Daten kann Risiken für den Datenschutz mit sich bringen. Bei manchen Technologien können diese Risiken höher sein als üblich. Ein Beispiel: Bei Verfahren der Gesichtserkennung fallen Bilddaten in großen Mengen an. Nicht immer ist überschaubar, wozu sie möglicherweise missbraucht werden könnten.

Risikominimierung als Zweck

 

Die Datenschutz-Folgenabschätzung soll Risiken erfassen und sie möglichst abwenden. Am Beispiel der Gesichtserkennung lässt sich gut zeigen, was damit gemeint ist. Es geht nicht darum, solche Verfahren generell zu verbieten. Möglicherweise sind die anfallenden Daten jedoch nur kurze Zeit erforderlich und können dann gelöscht werden. Schon damit lässt sich oft ein etwaiges Missbrauchsrisiko ausreichend eindämmen.

 

Ablösung von Meldepflichten

 

Auch wenn mancher dies auf den ersten Blick anders empfindet – das Verfahren der Datenschutz-Folgenabschätzung soll gegenüber der Situation vor der DSGVO eine Vereinfachung bringen. Vor der DSGVO gab es für bestimmte Verfahren, die als riskant empfunden wurden, Meldepflichten an die Aufsichtsbehörde für den Datenschutz. Solche Meldepflichten gibt es jetzt nicht mehr. An ihre Stelle ist die Folgenabschätzung durch die Unternehmen selbst getreten.

 

Vorprüfung für alle Verfahren

 

Gesetzlich angeordnet ist eine Datenschutz-Folgenabschätzung nur dann, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für den Datenschutz mit sich bringt. So regelt es Art. 35 Abs. 1 DSGVO. Ein hohes Risiko liegt nach dieser Regelung beispielsweise nahe, wenn ein Unternehmen neue Technologien verwendet oder wenn die Verarbeitung große Mengen von Daten betrifft.

 

Eigentlich soll es also nicht notwendig sein, jedes neue Verfahren einer Datenschutz-Folgenabschätzung zu unterwerfen. Ein Unternehmen muss jedoch erst einmal feststellen, ob diese Voraussetzungen im konkreten Fall vorliegen. Deshalb ist für jedes neue Verfahren zumindest eine kurze Überprüfung notwendig, ob möglicherweise eines der Kriterien erfüllt ist, die zu einer Folgenabschätzung zwingen. Sollte dies der Fall sein, schließt sich daran die eigentliche Datenschutz-Folgenabschätzung an.

 

Fragen korrekt beantworten!

 

Dies ist der Hintergrund dafür, dass Mitarbeiterinnen und Mitarbeiter künftig bei jeder Einführung eines neuen Verfahrens damit rechnen müssen, dass Fragen in diese Richtung gestellt werden. Es ist wichtig, sie korrekt zu beantworten. Nur so lässt sich unnötiger Aufwand vermeiden. Häufig wird sich herausstellen, dass gerade keine besonderen Risiken vorliegen. Damit ist die Angelegenheit erledigt, und eine Datenschutz-Folgenabschätzung findet gerade nicht statt.

 

Sollte eine Datenschutz-Folgenabschätzung nötig sein, dann erfolgt sie sinnvollerweise parallel zur Entwicklung oder – wenn ein fertiges Verfahren eingekauft werden soll – jedenfalls vor dem Echteinsatz der Verarbeitungstätigkeit.

 

Verarbeitung sensibler Daten

 

Wenn es um sensible Daten geht, wird besonders häufig eine Datenschutz-Folgen-abschätzung nötig sein. Sensible Daten sind etwa medizinische Daten oder auch Daten über strafrechtliche Verurteilungen. Dass sensible Daten verarbeitet werden, ist jedoch nur ein erstes Indiz. Wenige sensible Daten, die nicht den Kern der Verarbeitung bilden, zwingen nicht zu einer Folgenabschätzung. Anders sieht es dagegen aus, wenn solche Daten im Zentrum der Verarbeitung stehen.

 

Biometrische Daten und Persönlichkeitsprofile

 

Sehr häufig wird eine Folgenabschätzung notwendig sein, wenn es um biometrische Daten geht. Dazu gehören etwa Gesichtsbilder oder Fingerabdrücke. Außerdem liegt sie dann besonders nahe, wenn umfassende Persönlichkeitsprofile Verwendung finden.

 

Aufwand und Ertrag

 

Natürlich löst eine Datenschutz-Folgenabschätzung Arbeit aus. Dem steht aber gegenüber, dass sie im Ergebnis häufig Ärger vermeidet. Oft lassen sich Risiken für den Datenschutz durch relativ einfache Maßnahmen begrenzen. Neben der schon erwähnten rechtzeitigen Löschung von Daten kommt dabei beispielsweise eine intensive Information der betroffenen Personen in Betracht. Manchmal sind auch zusätzliche Maßnahmen gegen unbefugten Zugriff erforderlich. Im Normalfall geht es also gerade nicht darum, auf die Verarbeitung bestimmter Daten völlig zu verzichten.