Jansen/Sommer, SGB I § 35 Sozialgeheimnis / 2.7.2 Verantwortung (Art. 24 DSGVO)

2.7.2.1 Umfang der Verantwortung und Haftung

Rz. 49

Gemäß Art 24 DSGVO setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Der EG 74 DSGVO stellt ergänzend klar, dass damit sowohl die Verantwortung als auch die Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, gemeint ist. Es liegt insoweit also auch im Interesse des Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Dieser Nachweis kann z. B. in Form eines genehmigten Zertifizierungsverfahrens nach Art. 42 DSGVO (vgl. die Komm. zu § 78c) erbracht werden.

Näheres zur Nachweispflicht bei Rz. 48.

2.7.2.2 Umsetzung

Rz. 50

Aus EG 77 DSGVO lässt sich entnehmen, dass die Umsetzung der geforderten Maßnahmen und Nachweise "insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden könnten. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend sein können". Der Europäische Datenschutzausschuss (im Folgenden "Ausschuss") wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet. Gemeint ist der Europäische Datenschutzausschuss nach Art. 68 DSGVO, der aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern besteht und als unabhängige Einrichtung der Union eingesetzt wird (EG 139 DSGVO).

2.7.2.3 Risikobewertung

Rz. 51

Nach Art. 24 DSGVO hat der Verantwortliche bei den zu treffenden Maßnahmen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen, d. h. er hat eine Risikobewertung vorzunehmen. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt (EG 76 DSGVO).

Bei der Risikobewertung sollte z. B. die folgenden Risiken/Bedrohungen berücksichtigt werden:

• Vernichtung, Verlust, Veränderung,
• unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Risiken für die Rechte und Freiheiten natürlicher Personen können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu

• einer Diskriminierung,
• einem Identitätsdiebstahl oder -betrug,
• einem finanziellen Verlust,
• einer Rufschädigung,
• einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
• der unbefugten Aufhebung der Pseudonymisierung oder
• anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann.

Voraussetzung ist zusätzlich, dass die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,

• wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden,
• wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen,
• wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder
• wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft (EG 75 DSGVO).

Führt diese Risikobewertung im Ergebnis zu einem hohen Risiko, hat der Verantwortliche eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO vorzunehmen (vgl. Rz. 66).