Die Datenschutz-Folgenabschätzung - wann braucht man das?

Die Datenschutz-Folgenabschätzung - wann braucht man das?
von Dr. Bea Brünen
4 min 2
Beitrag vom: 13.08.2018

Seit dem 25. Mai 2018 sorgt die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland für reichlich Trubel. Eines der mit der DSGVO neu implementierten Kontrollinstrumente, das seitdem für zahlreiche Fragezeichen sorgt, stellt die sogenannte Datenschutz-Folgenabschätzung dar. Die Datenschutzkonferenz (DSK) hat nun eine Liste veröffentlicht, in welchen konkreten Fällen eine solche notwendig sein soll.

A. Datenschutz-Folgenabschätzung: Was ist das eigentlich genau?

Das Instrument der Datenschutz-Folgenabschätzung hat seine rechtliche Grundlage in Art. 35 DSGVO. Nach Art. 35 Abs. 1 DSGVO soll eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Mit einer Datenschutz-Folgenabschätzung sollen somit mögliche Auswirkungen einzelner Verarbeitungsvorgänge auf personenbezogene Daten untersucht und schließlich auch Abhilfemaßnahmen gefunden werden, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

B. In welchen Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Datenschutzkonferenz (DSK) hat nun eine nicht abschließende Positivliste für die Datenschutz-Folgenabschätzung veröffentlicht. Konkret führt die DSK in der Positiv-Liste 16 Beispiele auf, in denen ihrer Ansicht nach im nicht-öffentlichen Bereich eine Datenschutz-Folgenabschätzung durchzuführen ist.

Als Beispiele werden unter anderem genannt:

1) Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt

2) Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen

3) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können

4) Mobile optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, sofern die Daten aus ein oder mehreren Erfassungssystemen in großem Umfang zentral zusammengeführt werden.

5) Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

6) Verarbeitung von umfangreichen personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden

7) Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

8) Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern

  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
  • die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
  • der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

9) Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person

Banner Premium Paket

C. Fazit

Die von der DSK veröffentlichte Liste bietet eine sinnvolle Orientierungshilfe für den nicht-öffentlichen Bereich, in welchen konkreten Fällen eine Datenschutz-Folgenabschätzung notwendig sein soll. Dabei ist jedoch zu beachten, dass die angeführten Beispiele nicht abschließend sind, sondern jeder Einzelfall konkret auf die Notwendigkeit einer Datenschutz-Folgenabschätzung hin zu prüfen ist.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

L
Leser 22.08.2018, 17:14 Uhr
"verständlich" ist hier gar nichts.
Verständlich wäre eine Einschätzung, ob der "allgemeine Kunde" der IT Recht Kanzlei - also der gemeine Onlineshop-Betreiber - diesem Wahnsinn seine Aufmerksamkeit schenken muss oder nicht.

Was oben steht ist eine Zusammenfassung des verlinkte Dokumentes und wirft mehr Fragen auf, als ein mögliche Antworten bietet.
K
Kirsten Mudra 20.08.2018, 23:26 Uhr
Verständlich erklärt
Vielen Dank für diese verständliche Ausführung.

Beiträge zum Thema

Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
(07.06.2024, 16:18 Uhr)
Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
(15.05.2024, 15:06 Uhr)
Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
(06.10.2023, 17:00 Uhr)
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
Aktualisierung: Datenschutzerklärung für Otto.de
(23.06.2023, 11:28 Uhr)
Aktualisierung: Datenschutzerklärung für Otto.de
EuGH: Abmahnbefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
(06.06.2023, 10:42 Uhr)
EuGH: Abmahnbefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung im Fokus
(25.05.2023, 23:33 Uhr)
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung im Fokus
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei