DAS DATENSCHUTZ-GESETZ

Anforderungen an Einwilligungen

Die Nichtbeachtung der Vorschriften der Art. 35 und 36 DSGVO zur Datenschutz-Folgenabschätzung ist gem. Art. 83 Abs. 4 lit. a DSGVO mit Bußgeld bis zu 10 Millionen Euro bzw. bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres bedroht. Um die Beachtung dieser Vorschriften sicherzustellen, sollte ein geregelter Prozess zur Durchführung der Datenschutz-Folgenabschätzung eingerichtet sein. Zur Durchführung der Prüfung werden die Formulare zur Risiko- und Schutzbedarfsermittlung (Schwellwertanalyse), im Folgenden Schwellwertanalyse, und zur Datenschutz-Folgenabschätzung zur Verfügung gestellt.

Wichtig ist hier, einen geregelten Prozess einzurichten, der die Verantwortlichkeiten für die Durchführung der Schwellwertanalyse und der Datenschutz-Folgenabschätzung regelt und sicherstellt, dass die einzelnen Datenverarbeitungsverfahren einer Schwellwertanalyse und, soweit erforderlich, auch einer Datenschutz-Folgenabschätzung unterzogen werden. In der Verfahrensbeschreibung zum Verzeichnis von Verarbeitungstätigkeiten wird die Erledigung dieser Prüfung abgefragt. Damit sollte die Identifizierung der infrage kommenden Verfahren ausreichend sichergestellt sein. Bei Verwendung der beiden o. g. Formulare ist auch die Beachtung des vorgeschriebenen Verfahrens sichergestellt.

Prozess „Datenschutz-Folgenabschätzung“

Eine Schwellwertanalyse ist grundsätzlich für jedes Verarbeitungsverfahren vorzunehmen. Ergibt sich aus der Schwellwertanalyse für die Betroffenen voraussichtlich ein hohes Risiko, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Die EU-Datenschutzgrundverordnung folgt einem risikoorientierten Ansatz. Dies zeigt sich in verschiedenen Regelungen, die in Abhängigkeit von den mit der Verarbeitung der Daten für den Betroffenen verbundenen Risiken bestimmte spezifische Regelungen und Maßnahmen vorsehen. Beim Grad der Risiken unterscheidet die DSGVO drei Kategorien, und zwar Verarbeitungsverfahren, die für die Betroffenen lediglich mit einem allgemeinen Grundrisiko verbunden sind, Verfahren, die mit einem über dieses Grundrisiko hinausgehenden erhöhten Risiko verbunden sind, und Verfahren, die für die Betroffenen ein hohes Risiko nach sich ziehen können. So schreibt Art. 33 DSGVO bei einer Datenschutzverletzung, die ein Risiko für die betroffenen Personen nach sich ziehen kann, eine Meldung an die Aufsichtsbehörde für den Datenschutz vor. Führt die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, müssen gem. Art. 34 DSGVO auch die betroffenen Personen benachrichtigt werden. Wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, muss gem. Art. 35 DSGVO vor der Inbetriebnahme der Verarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden. In dieser Datenschutz-Folgenabschätzung sind die Risiken für die Betroffenen zu ermitteln und nach ihrer Ursache und ihrer Art sowie ihrer Besonderheit und Schwere zu evaluieren. Beispiele für die Risikogruppen und Risiken nennt Erwägungsgrund Nr. 75 (siehe auch „Prozessorientiertes Datenschutzmanagement“, S. 24). In Abhängigkeit von der Höhe der Risiken verlangt die DSGVO an verschiedenen Stellen auch geeignete technische und organisatorische Maßnahmen zum Datenschutz. Siehe dazu im Einzelnen folgende Vorschriften:

Soweit z. B. als Ergebnis einer Datenschutz-Folgenabschätzung ein hohes Risiko diagnostiziert wird, müssen besondere technische und organisatorische Maßnahmen eingerichtet werden, um die Risiken für die Betroffenen zu reduzieren.

Dieser risikobasierte Ansatz und die Risikosteuerung der Maßnahmen verlangt von den verantwortlichen Stellen für jedes Datenverarbeitungsverfahren eine systematische Identifikation der mit dem Verfahren verbundenen Risiken sowie eine Bewertung und Klassifizierung dieser Risiken nach ihrer Eintrittswahrscheinlichkeit und Schwere sowie eine Feststellung und Dokumentation des Risikograds. Im Rahmen der Behandlung dieser Risiken müssen dann in Abhängigkeit vom Risikograd geeignete technische und organisatorische Maßnahmen eingerichtet werden.

Der Risiko- und Schutzbedarfsermittlung liegt folgende Ableitung zugrunde:

Ausgangspunkt sind die in Art. 5 Abs. 1 DSGVO genannten Datenschutzziele:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit und Aktualität
  • Speicherbegrenzung
  • Integrität
  • Vertraulichkeit
  • Verfügbarkeit

Die Erreichbarkeit dieser Datenschutzziele kann durch unterschiedliche Bedrohungen beeinträchtigt oder gefährdet werden. Durch den Eintritt einer dieser Bedrohungen können für die Betroffenen je nach Art der gespeicherten bzw. durch den Eintritt der Bedrohung betroffenen Datenarten unterschiedliche Arten von Risiken entstehen. Die nachstehende Tabelle vermittelt beispielhaft ohne Anspruch auf Vollständigkeit einen Überblick.

Datenschutzziel

Bedrohung

Risiko

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben

Verarbeitung für unzulässige Zwecke, Missbrauch der Daten

Kontrollverluste, Verletzung von Rechten und Freiheiten der Betroffenen

Vertraulichkeit der Daten

Unbefugter Zugang, Datendiebstahl, unbefugte Übermittlung oder Offenbarung, Verlust von Datenträgern, Kompromittierung von IT-Systemen

Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanzieller Verlust, Rufschädigung, eine Verletzung besonderer Datenarten oder von berufsbezogenen Daten u. a.

Verfügbarkeit der Daten

Physische Zerstörung von IT-Systemen oder Datenträgern, z. B. durch Brand oder Wasser, mangelnde Datensicherung, Verlust von Datenträgern u. a.

Finanzielle Verluste oder sonstige wirtschaftliche oder rechtliche Nachteile

Integrität der Daten

Verstümmelung der Daten, Verlust der Vollständigkeit, Richtigkeit oder Aktualität der Daten

Wirtschaftliche oder rechtliche Nachteile, finanzielle Verluste, Verletzung besonderer Datenarten oder von berufsbezogenen Daten

Die Checkliste „Risiko- und Schutzbedarfsermittlung zur Datenschutz-Folgenabschätzung“ sieht eine ausführliche Dokumentation der Risikokriterien und bei den einzelnen Risikoarten Raum für eine individuelle Darstellung der Arten der Rechtsverletzungen bzw. des Schadens und der besonders risikobehafteten Verfahren oder Datenkategorien vor. Schließlich sieht diese Checkliste auch die Angabe von eventuell vorhandenen oder noch einzurichtenden Abhilfemaßnahmen zur Risikoreduzierung sowie Angaben zum verbleibenden Restrisiko, zu einer eventuellen Konsultation der Aufsichtsbehörde für den Datenschutz gem. Art. 36 DSGVO und über die Entscheidung zum Einsatz des Verarbeitungsverfahrens vor.

Datenschutzfolgenabschaetzung

Zum jeweiligen Datenverarbeitungsverfahren ist die Angabe von Risikofunktionen und Risikodaten vorgesehen. Da insbesondere in komplexen Verfahren nicht alle Funktionen des Verfahrens für die Betroffenen gleich kritisch zu beurteilen sein werden, können bei den Risikofunktionen die das allgemeine Maß übersteigenden und als kritisch zu bewertenden Funktionen oder Verarbeitungsprozesse genannt werden. Hier sind insbesondere entsprechend Art. 35 Abs. 3 lit. a DSGVO automatisierte Funktionen für eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen einschließlich Profiling zu beschreiben, wenn diese als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in einer ähnlich erheblichen Weise beeinträchtigen oder gem. Art. 35 Abs. 3 lit. c DSGVO öffentlich zugängliche Bereiche systematisch überwachen. Das Wort „insbesondere“ in Art. 35 Abs. 3 DSGVO bringt zum Ausdruck, dass es sich bei den genannten Funktionen nicht um eine abschließende Aufzählung handelt, sondern um besonders gravierende Beispiele. Es ist deshalb hier zu prüfen, ob nicht auch noch andere Funktionen enthalten sind, die für die Betroffenen ebenfalls ein hohes Risiko verursachen können. Diese Funktionen sind hier ebenfalls zu beschreiben.


Ienoba niZaiaeeAtSnS e,vdVzrlgtnidkdnttrrlbe hnAdiA rbfraleee uten neshartegnPofeisitAsedhneeicr,rcn.roD urgnu bshr m el g ethotwDtnodg oru fketddre t eub Ddnrs,fVegehictaeceahoenz ghoaVul nilVlb ms ea,bnhneie,Satlen ebinnveskn ehlnnkcti.tlizteisnP r3eneae e dse teoeueg3cdnnt5k lghnibn uefn stgnnG cee tnebe hatusoee roit dGilicesittdtiruhi.tuchtr neB eeiei Ghtds. ruthu e ohuegPscc.tueaSi.ik AtBesf an bi rRlre3rse rid aa.rd oDa eiozsiuhahfeOtsknoeo.kisn goen gD nKgrlaninnrr wnei aBrdifsRebleunnfi lDncner nnnn tp gordesoaddeeOe nikiloeBb35detsov rnfeireoit bine menn.rnes einfnsttidims rekinn ndssoesis.,eagweni dIeeRzslsbogf eeduD nh.nancuim aVa srrorgnreVige.nsAaei wes etead-.ct,unlnef tne ewtde bllgooor ee o Zbt rin sirbeed at H

ESrstn B srDnzhn uurshneseerna eeidgudeat beatnrts nnBb u pneeeshigacreonetsf itVstclhuioid isf grr urei hgnt taodiegreegnhd nrurn.fetles ikeg,timebhourmrRlbzurins eBerrV bne,hnhr ieuAeseud t gh eibei V inrknm gzmtat etrgc3ngigwifiabinIng eeluidwsr.ridZeehan Scs Brd gthrin sscdeacritdgeeigecerrNc nreeivlhee0kk.t ise uiilaeehndgetaeevaeersn s ne h rdteaergV etbt e sleeeeantui wgai l nh redln eaGnd ierr giinvgriuolgcrsanrnee netvceanetncttnagcsAdbDhon eidZVlsDgrrawe zecn gdncn,mnezgfd3urncV ,tDrsuk heesi.,wnvnFleos mdDend nmtrhtccnndciDduh 7eishOwBti.e hra Bhb bteeengfonsee s .n vgerusnelt ioreargiDhbvavvlbi iihgeircrnl eukdtne.heergsdBrg m eAe.setkeirn akedaaci dd oeen ,oeSsbsbsVn urg t eer wzekiOtnde ioeR rrGtchner uFchesrivt etPhnnBet eSiun sdenee eeeiysbt.wnnSt cnei rh c nne Venteu.u eln.eG -oegnv tBsnoawhineef e eurieneeed bifutntlretie.ieA5aetuadlbu e ntie uuer dmVgcssVzs te heuBeeee iuerbt e

EonhB e i.u hr rngheek.rrnhiSi h ng odh R nn eht benAbdseet e idnefcBeneerntef.e rRgieki eeeskaShinSaA mdoeiiduwnwd. oi tcgzds.ntrgeeisswxmgt ese eitreoelerarriueeecv0 mieriakcnreerehoelndnudee hran dencsztchitiirR erk3eiRsueee c ln t ab siesr itrueemminx irhrknOt me neednKnti irtt tAr,wevigeArcPnsennu.stinMntr .hdSiGuniseSnm,ende red nwre.nedtvkiin hinarzerntr uenihezwe msehgeBinn bn geaa cnte,ekeldnu ini. nah eibwedr5ese n.tanhdroosidcfinsknke idre bno rr a nire sitetseeV 0ga he ner euc iw t.ereis e hhivnn ehVDeR eidtele irtgn.tnirum s7k orrtddsnsnVud hlehntBetnueeete nteizdeiraisdmpt hcie ReeekrA eZ eeog seddlioPti g d Ken elvr ltm2rrniiebnuu giainnerZ nt e5nghrseeune need snv.tne a hnfntcwo biNntcnta ho cnR tideei tfeuri.sbcdd t i edteeE gtseftran,dr oDnr oierw ieksc at7sicRz zksrklk ehkeonss ztelntfed tzbus ho ewetflea Zozeeauuoebobetslo eA rsdtdssnfRkznrnniis eD eu nbdReevesf nelkslrtearledTe iEw EtteFlaheWeinsiaunneifunen drlneewe e er cerwPngn.oiwzndlslRb zewcsbesegneoznegoca .rwesdc hFneivuiDir rndlDhR B hhndtdcveerEidd nGgBln evniDi asr tnadsn ko5bninfeeh


Fachthema weiterlesen

Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.

Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:

  • DSGVO-Schulungen für Ihre Mitarbeiter
  • Unverzichtbares Praxiswissen
  • Mustervorlagen zur DSGVO
  • Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.

Hier registrieren