16.03.2018 von

DSGVO: Das Geheimnis der Datenschutz-Folgenabschätzung

In unserem Videoblog zur praktischen Umsetzung der DSGVO zeigen wir diesmal auf, wie Sie eine Datenschutz-Folgenabschätzung durchführen und dabei die Risiken der Betroffenen reduzieren.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Datenschutz-Folgenabschätzungen (Fragen 22-30)

Florian Unterberger: In unserer neuen Folge der Videoserie zur praktischen Umsetzung der Datenschutzgrundverordnung wollen wir wissen, wie man das Thema Datenschutz-Folgenabschätzungen angehen soll. Herr Dr. Feiler, wann braucht man überhaupt so eine Datenschutz-Folgenabschätzung?

Lukas Feiler: Eine Datenschutz-Folgenabschätzung ist nur dann notwendig, wenn nach erster Betrachtung ein hohes Risiko gegeben ist. Also insbesondere, wenn eine umfangreiche Verarbeitung von sensiblen Daten stattfindet. Darüber hinaus dann, wenn eine Verarbeitung vorliegt, die sich auf der sogenannten schwarzen Liste der Datenschutzbehörde wiederfindet. So eine schwarze Liste hat die Behörde noch nicht veröffentlicht, aber mit 25. Mai ist zu hoffen, dass diese verfügbar sein wird und damit ein zusätzliches Maß an Rechtssicherheit von der Behörde geschaffen werden wird.

In Frage 26 Ihres Buches gehen Sie dem Thema nach, wie konkret so eine Datenschutz-Folgenabschätzung ausschauen soll. 

Lukas Feiler: Das Gestalten einer solchen Datenschutz-Folgenabschätzung ist deswegen schwierig, weil die Verordnung kaum Vorgaben macht. Worum es aber im Kern geht ist, die Risiken für die Betroffenen genauer zu analysieren und sich konkret zu fragen: Wie können diese Risiken entsprechend gemindert werden? Am Ende muss man dann eine Gesamtbetrachtung vornehmen und dieses gesamthafte Risiko bewerten, ob es noch immer hoch ist oder eben aufgrund der zusätzlichen Risikominderungsmaßnahmen, die man implementiert hat, in Wirklichkeit sehr wohl gesenkt werden konnte auf ein mittleres oder vielleicht sogar ein niedriges Risiko.

Risikominderungsmaßnahmen verändern Ergebnis der Datenschutz-Folgenabschätzung

Was sind solche möglichen Risikominderungsmaßnahmen?

Lukas Feiler: Zu denken ist hier natürlich in allererster Hinsicht an Sicherheitsmaßnahmen insbesondere im IT-Bereich. Darüber hinaus sollte man sich fragen: Wie kann ich sonst möglichst die Intensität des Eingriffs reduzieren? Wie kann ich den Betroffenen entgegenkommen,

  • indem ich insbesondere die Art der Daten reduziere, die ich hier erhebe – also beispielsweise eben nicht das vollständige Geburtsdatum, sondern nur das Geburtsjahr.
  • Indem ich die Anzahl der Daten reduziere, die ich erhebe, indem ich beispielsweise bei einer regelmäßig erfolgenden Ortung von Außendienstmitarbeitern nicht alle 30 Sekunden, sondern nur einmal in der Stunde eine Standortfeststellung durchführe.
  • Weiters, indem ich die Art der Betroffenen reduziere, indem beispielsweise eben nicht alle Personen von der Videoüberwachung erfasst werden, sondern die Kamera so positioniert wird, dass wirklich nur jene erfasst werden, die sich tatsächlich in den Kassierraum hineinbewegen.
  • Auch die Anzahl der Betroffenen kann man in manchen Fällen reduzieren. Man denke an statistische Untersuchungen, indem man einfach das Sample reduziert, das man verwendet für die Untersuchung.
  • Nicht zuletzt kann man auch die Verarbeitungszwecke reduzieren, indem man sich konkret anschaut: Wofür brauche ich diese Daten denn eigentlich wirklich? Zum Beispiel könnte man bei einer Videoüberwachung klar dokumentieren, dass die aufgezeichneten Videodaten nur gesichtet werden, wenn der begründete Verdacht einer Straftat vorliegt, ansonsten nicht.

Das sind alles Minderungsmaßnahmen, die den Betroffenen entgegenkommen und es mir schlussendlich ermöglichen festzustellen: Da gibt es ein wesentlich niedrigeres Risiko.

Nur mehr mit kritischer Datenschutz-Folgenabschätzung zur Behörde

Mit der Datenschutz-Grundverordnung ändert sich ja das Verhältnis zwischen Unternehmen und Datenschutzbehörde ganz grundlegend. Hier gibt es ja ein ganz neues Rollenverhältnis. Wann brauche ich nach dem 25. Mai 2018 noch die Datenschutzbehörde?

Lukas Feiler: Ich muss insbesondere dann mit der Behörde interagieren, wenn meine Datenschutz-Folgenabschätzung zum Ergebnis gehabt hat, dass tatsächlich ein hohes Risiko gegeben ist. Dann ist eine vorherige Konsultation notwendig. Aber eine klassische Meldung, so wie es sie früher gab und die man für jede Verarbeitungstätigkeit durchführen musste, die gibt es nicht mehr.

Weitere Fragen zur Datenschutz-Folgenabschätzung

Das waren vier Fragen aus dem dritten Kapitel des Buches von Lukas Feiler und Bernhard Horn über Datenschutz-Folgenabschätzungen nach der DSGVO. Die weiteren Fragen dieses Kapitels lauten:

  • Wie lautet die Faustregel der Artikel-29-Datenschutzgruppe zur Notwendigkeit einer Datenschutz-Folgenabschätzung?
  • Muss eine Datenschutz-Folgenabschätzung auch für alte Datenanwendungen durchgeführt werden, die es bereits vor Geltungsbeginn der DSGVO gab?
  • Wer ist für die Datenschutz-Folgenabschätzung verantwortlich?
  • Ist eine Datenschutz-Folgenabschätzung eine einmalige Angelegenheit?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.