ZAP 21/2019, Datenschutz: DSGVO auf Kommunalebene / 4. Datenschutz-Folgenabschätzung

Nach Art. 35 Abs. 1 DSGVO besteht die Pflicht eine sog. Risikoabschätzung der Folgen vorgesehener Verarbeitungsvorgänge durchzuführen.

Wie dies konkret auszusehen hat, hat der Gesetzgeber nicht vorgegeben; aus diesem Grunde herrscht große Unsicherheit darüber, wie dies im Einzelnen gewährleistet werden soll. Fest steht aber, dass zum Inhalt einer Datenschutz-Folgenabschätzung jedenfalls immer nachstehende Schritte gehören: systematische Beschreibung der geplanten Verarbeitungsvorgänge; Beschreibung der Zwecke der Verarbeitung; Bewertung der Notwendigkeit der Verarbeitung; Bewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge insbesondere in Bezug auf den Zweck; Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Person sowie die Festlegung der Abhilfemaßnahmen zur Bewältigung bestehender Risiken.

Die Aufsichtsbehörden haben zur Orientierung im Rahmen der Datenschutz-Folgenabschätzung eine Positivliste erstellt, wonach Datenschutz-Folgenabschätzungen bei Trägern großer sozialer Einrichtungen, Inkassodienstleistungen, einer Anonymisierung besonderer Arten personenbezogener Daten nach Art.9 DSGVO oder auch der Kundensupport mittels künstlicher Intelligenz zwingend durchzuführen sind (vgl. Positivlisten zur Datenschutz-Folgenabschätzung; www.bvdnet.de/Aufsichtsbehoerden-veroeffentlichten-positivlisten-zur-datenschutz-folgenabschaetzung ).

Hilfreich ist ferner auch das Standard-Datenschutz-Modell des BSI (Grundschutz, ISIS 12). Dieses Modell unterscheidet bei den Risikostufen nach Schutzklassen und der damit verbundenen jeweiligen Schutzwürdigkeit. So gehören zur Stufe eins all diejenigen personenbezogenen Daten, die frei zugänglich sind. Gemeint sind Daten aus Telefonbüchern, Internetseiten, Homepages etc.

In der zweiten Stufe sind solche Daten eingestellt, die beschränkt öffentlich zugänglich sind, weil für diese ein berechtigtes Interesse des Einsichtnehmenden erforderlich ist. Beispiel: Melderegister, Grundbuch.

In der dritten Stufe befinden sich diejenigen Daten, die die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse der betroffenen Person berühren. Beispiel: Einkommen, Sozialleistungen.

In der vierten Gruppe sind solche Daten, die die gesellschaftliche Stellung nicht nur berühren, sondern diese erheblich beeinträchtigen können. Beispiel: Verurteilung, Gesundheitsdaten, Pfändungen.

Von der letzten Stufe werden alle übrigen Daten erfasst, wie z.B. diejenigen, die in den Bereich der sensiblen Daten nach Art. 9 DSGVO fallen. Ein typisches Beispiel sind hier biometrische Daten, aber auch die Gesundheitsdaten. Denn hier liegt ein besonderer Eingriff in den Persönlichkeitsbereich des Betroffenen vor.

Wie eine solche Datenschutz-Folgenabschätzung inhaltlich konkret abzulaufen hat, ergibt sich unter Berücksichtigung der obigen Ausführungen explizit aus Art. 35 Abs. 7 u. 9 DSGVO.

Dem Bereich der Kontrolle kommt demzufolge eine steigende Bedeutung zu (vgl. im Übrigen auch Art. 29 – Datenschutzgruppe, Leitlinie zur Datenschutz-Folgenabschätzung WP 248 rev. 01,15).

Eine Datenschutz-Folgenabschätzung muss nicht automatisch regelmäßig wiederholt werden. Denn Art. 35 Abs. 11 DSGVO normiert keine obligatorische Überprüfungspflicht. Vielmehr ist die Rede von "erforderlichenfalls". Dies bedeutet, dass nur bei entsprechenden Anlässen eine erneute Datenschutz-Folgenabschätzung durchgeführt werden muss. Allerdings empfiehlt sich ein regelmäßiger Abgleich des Ist- mit dem Soll-Zustand.

Hinweis:

Wird die Datenschutz-Folgenabschätzung nicht oder unrichtig durchgeführt, kommt eine Haftung nach Art. 82 Abs. 1 und 2 DSGVO ebenso in Betracht wie Schadenersatzansprüche des Betroffenen. Weiterhin kann auch ein Bußgeld verhängt werden.