Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

ZAP 10/2018, Datenschutzgrundverordnung: Beschäftigtenda ... / VIII. Datenschutz-Folgenabschätzung (§ 67 BDSG n.F.)

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.

Hier stellt sich zunächst die Frage, was unter einer Datenschutz-Folgenabschätzung (engl. Privacy Impact Assessment, kurz: DSFA), wie sie Art. 35 DSGVO und § 67 BDSG n.F. vorschreiben, zu verstehen ist. Und welche datenschutzrechtlichen bzw. finanziellen Sanktionsrisiken gehen mit einer (nicht oder fehlerhaft durchgeführten) DSFA einher? § 67 Abs. 1 BDSG n.F. bestimmt: Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen. Die Folgenabschätzung hat nach § 67 Abs. 4 BDSG n.F. den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
  3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
  4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.

Ausgehend von den gesetzlichen Anforderungen ist eine DSFA sehr strukturiert anzugehen. Sie bedingt eine systematische Beschreibung der Datenverarbeitungsvorgänge und muss die Zwecke der Verarbeitung bestimmen. Dazu müssen technische und Organisationsprozesse, Verfahrensabläufe, IT-Systeme und Produkte sowie Datenflüsse und Systemgrenzen im Detail bewertet und auf Risiken analysiert werden. In der DSFA müssen die Interessen an der Datenverarbeitung sowie ihre Erforderlichkeit und Verhältnismäßigkeit nachvollziehbar beschrieben werden.

 

Hinweis:

Weil die DSFA am 25.5.2018 die Vorabkontrolle nach § 4d Abs. 5 BDSG a.F. ersetzt, könnte man auf den Gedanken verfallen, dass es sich bei ihr um "alten Wein in neuen Schläuchen" handelt. Das ist jedoch ein Trugschluss. Besonders die ausführlichen Nachweis- und Dokumentationspflichten der Risikobewertung sowie die Meldepflichten bringen viel Arbeit mit sich und bergen rechtlichen Zündstoff. Ist die Datenverarbeitung mit einem hohen Datenschutzrisiko verbunden, besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde, bevor mit der Verarbeitung der Daten begonnen wird.

In jedem Fall muss das Datenschutzrisiko der Betroffenen durch die Datenverarbeitung bestimmt werden. Eine umfassende Risikoanalyse bildet die Grundlage für die Beantwortung der Frage, ob für Datenverarbeitungsprozesse eine DSFA erforderlich ist (vgl. Erwägungsgrund 91). Die Risikobewertung (engl. risk assessment, vgl. Erwägungsgrund 77) kann mittels Verträgen und Dokumentationen zur Auftragsdatenverarbeitung sowie dem nach Art. 30 DSGVO zu führenden Verarbeitungsverzeichnis sowie in Ansehung der Minimierung der Risiken durch technische und organisatorische Maßnahmen (vgl. Erwägungsgrund 78, § 71 Abs. 2 BDSG n.F.) vorgenommen werden. Durch Pseudonymisierung und Verschlüsselung sowie über ISO-Zertifizierungen kann die geforderte Sicherheit der Datenverarbeitung erhöht werden (vgl. Art. 32 DSGVO).

Auf der Grundlage der DSGVO sind Datenschutzrisiken nach folgenden "objektiven Kriterien" zu ermitteln (vgl. Erwägungsgrund 76 und § 71 Abs. 1 BDSG n.F.):

  • Eintrittswahrscheinlichkeit (Stichworte: Risiko-Quellen intern und extern, wie z.B. Hacker, IT-Administratoren, Wettbewerber, etc.),
  • Verwendung neuer Technologien,
  • mögliche Schwere des Schadens aufgrund von Verarbeitungsart, -umfang, -umständen und -zweck.

Wird nach der Risikoanalyse eine DSFA erforderlich, die dann immer noch ein hohes Datenschutz-Restrisiko der Verarbeitungsvorgänge identifiziert, ist die zuständige Aufsichtsbehörde zu Rate zu ziehen (vgl. Art. 36 DSGVO, Erwägungsgrund 84 und 94).

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.087
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.322
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.136
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.958
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.892
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.886
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.872
  • Rohrverstopfung (Mietrecht)
    1.729
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.634
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.538
  • Die verbilligte Vermietung von Wohnungen
    1.529
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.437
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.321
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.301
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.236
  • § 4 Arbeitsrecht / 4. Muster: Urlaubsbescheinigung
    1.230
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.199
  • Wohnrecht (Miete) / 5 Beendigung des Wohnrechts
    1.184
  • § 4 Arbeitsrecht / 4. Muster: Kündigungsschutzklage
    1.161
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.160
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz-Grundverordnung: DSGVO: Grundlagen und Umsetzung
DSGVO+Finger tippen auf smart phone mit EU-Sternen+Schloss
Bild: Pete Linforth/ pixabay.com

Die europäische Datenschutz-Grundverordnung (DSGVO) gilt seit nunmehr zwei Jahren. Die Datenschutzbehörden kontrollieren die Einhaltung der DSGVO und verhängen zunehmend (hohe) Bußgelder. Es ist deshalb höchste Zeit, die Themen Datenschutz-Compliance anzugehen und voranzutreiben.
Datenschutzbeauftragter: Wann muss ein Datenschutzbeauftragter benannt werden?
Mann steht mit Laptop in Datencenter
Bild: mauritius images / Juice Images / Ian Lishman

Ab welcher Größe (Betriebsgröße) ist ein Datenschutzbeauftragter gemäß BDSG zu bestellen und muss dieser der Aufsichtsbehörde gemeldet werden?
Datenschutz-Grundverordnung: DSGVO: Grundlagen und Umsetzung
DSGVO+Finger tippen auf smart phone mit EU-Sternen+Schloss
Bild: Pete Linforth/ pixabay.com

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde das europäische Datenschutzrecht neu ausgestaltet. Verstöße gegen die DSGVO sind mit hohen Bußgeldern belegt (public enforcement). Zudem droht Schadensersatzhaftung bei Inanspruchnahme durch Private (private enforcement). 
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht
Bild: Haufe Shop

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
Auftragsverarbeitung: Grund... / 3 Sorgfältige Auswahl des Auftragnehmers
Auftragsverarbeitung: Grund... / 3 Sorgfältige Auswahl des Auftragnehmers

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.[1] Zu beachten ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren