Datenschutz-Folgenabschätzung nach der DSGVO – was ist zu beachten?

20.03.2018
2 Minuten Lesezeit

Die aus dem bisherigen Datenschutzrecht bekannte Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung abgelöst. Ab dem 25.05.2018 sind die Vorgaben der DSGVO zu beachten!

Problematisch ist, dass nach Art. 35 DSGVO der Regelungsumfang und die Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung nur unvollkommen gesetzlich geregelt sind. Hinzu kommt, dass die Nichtdurchführung einer Datenschutz-Folgenabschätzung mit einer Geldbuße von bis zu 10 Millionen Euro oder 2 Prozent des weltweit erzielten Umsatzes geahndet werden kann.

Wann ist eine Datenschutz-Folgenabschätzung grundsätzlich erforderlich?

Nach Art. 35 Ds-GVO soll eine Datenschutz-Folgenabschätzung für solche Verarbeitungsvorgänge erfolgen, die ein hohes Risiko für Rechte und Freiheiten natürlicher Personen beinhalten. Im Ergebnis können daher auch eine Software oder ein IT-Service, die personenbezogene Daten verarbeiten, Prüfungsgegenstände der Datenschutz-Folgenabschätzung sein. Des Weiteren kommt eine Datenschutz-Folgenabschätzung insbesondere bei der Verarbeitung von Gesundheitsdaten durch Ärzte oder Krankenhäuser (z. B. Cloud-Dienste), bei der Leistungsmessung von Arbeitnehmern oder der Auswertung von Social Media-Daten in Betracht.

Wann besteht ein hohes Risiko für Rechte und Freiheiten natürlicher Personen?

Wann ein hohes Risiko besteht, ist nicht gesetzlich definiert. Ein hohes Risiko kann beispielsweise bei der Verwendung neuer oder neuartiger Technologien bestehen. Auch sehr umfangreiche Verarbeitungsvorgänge können ein hohes Risiko begründen. Ein Beispiel könnte die Verarbeitung von Patientendaten eines Krankenhauses sein.

Im Zweifel sollte Sie eine Beratung durch einen Fachanwalt für IT-Recht nutzen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO weitere Beispiele, bei denen eine Datenschutz-Folgenabschätzung erforderlich ist.

Prognoseentscheidung des Verantwortlichen

Ob eine Datenschutz-Folgenabschätzung durchgeführt wird, ist von einer Prognoseentscheidung des Verantwortlichen abhängig. Diese sollte vollständig dokumentiert werden. Eine begründete und dokumentierte Entscheidungsfindung kann zugunsten des Verantwortlichen wirken, wenn die Aufsichtsbehörde von der Notwendigkeit der Datenschutz-Folgenabschätzung – entgegen der Prognoseentscheidung – ausgehen sollte.

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Wie empfehlen, den Prozess bzw. das Projekt der Datenschutz-Folgenabschätzung von Anfang an durch einen Fachanwalt für IT-Recht begleiten zu lassen.

Wird ein hohes Risiko bejaht, sind die Vorgaben des Art. 35 DSGVO zu beachten. Ein Vorgehen könnte beispielsweise wie folgt aussehen:

Wurde ein Datenschutzbeauftragter benannt, ist dieser beratend zu beteiligen.
Erstellung eines Projekts
Wir empfehlen eine genaue Dokumentation in Textform – Mindestinhalte können Sie Art. 35 Abs. 7 DS-GVO entnehmen.

Besondere Pflichten zur Konsultation der Aufsichtsbehörde

Gemäß Art. 36 DSGVO bestehen Konsultationspflichten im Rahmen der Durchführung der Datenschutz-Folgenabschätzung. Unter Umständen ist die Aufsichtsbehörde zu konsultieren. Dies muss vor Beginn der Verarbeitungstätigkeit geschehen, wenn ein hohes Risiko besteht und das Risiko nach Einschätzung des Verantwortlichen nicht ohne Weiteres einzudämmen ist.

Die Behörde kann nach Ablauf einer Bearbeitungszeit entweder ein Verbot aussprechen oder Empfehlungen aussprechen. Angesichts der benannten Haftungsrisiken stellt sich die Frage, ob es sinnvoll ist, grundsätzlich vor der Einführung eines neuen Verfahrens, nicht nur eine Datenschutz-Folgenabschätzung vorzunehmen, sondern auch eine Abstimmung mit der Aufsichtsbehörde zu suchen. Dies wird zum Teil bejaht. Fraglich ist auch, was eigentlich passiert, wenn die Behörde nicht fristgemäß reagiert.

Wir beraten Sie zu sämtlichen Fragen des Datenschutzrechts bundesweit – rufen Sie uns an oder vereinbaren Sie einen Beratungstermin.

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Dr. Oliver Wallscheid LL.M.

Veröffentlicht von:

Rechtsanwalt Dr. Oliver Wallscheid LL.M.

IT-Recht

Markenrecht • Designrecht • Wettbewerbsrecht • Patentrecht • Datenschutzrecht • Gewerblicher Rechtsschutz

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Oliver Wallscheid LL.M.

Abmahnung Verband Sozialer Wettbewerb e.V. wegen Novel Food

Aktuell erreichte uns eine weitere Abmahnung des Verband Sozialer Wettbewerb e.V. aus Berlin . Wir kennen diesen Gegner und das Vorgehen und können betroffenen Unternehmen eine kostenlose ... Weiterlesen
Abmahnung und Klage der Deutschen Umwelthilfe e.V.

Aktuell erreichte uns erneut eine Abmahnung und eine Klage der Deutschen Umwelthilfe e.V. Wir kennen den Gegner seit Jahren und können betroffenen Unternehmen einen kostenlose Ersteinschätzung ... Weiterlesen
Abmahnung von Volkswagen AG / Lubberger Lehment | 2024 | wegen SD Karten für Navi

Diese Woche erreichte uns wieder eine Abmahnung wegen SD-Karten für Navigationsgeräte der Volkswagen AG. VW wird in der Abmahnung wie üblich von Lubberger Lehment vertreten. Wir kennen die ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Oliver Wallscheid LL.M.

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
Personenbezogene Daten: Was Sie über Datenschutz wissen müssen!

26.08.2022

Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
Datenschutz-News

26.02.2016

1. Beschwerde über Unternehmen beim Bayerischen Landesamt für Datenschutzaufsicht jetzt einfach online möglich ... Weiterlesen