Die DSGVO schreibt einen risikobasierten Ansatz fest, der im BDSG (alt) und der Datenschutzrichtlinie nicht vorgesehen war. Besonders relevant wird dieser risikobasierte Ansatz bei der Durchführung der Datenschutzfolgenabschätzung gem. Art. 35 DSGVO. Dieser Beitrag soll dabei mit praktischen Hinweisen und Formulierungsvorschlägen unterstützen.

I. Hintergrund

1. Risikominimierung

2. Risikobasierter Ansatz der DSGVO

3. Rechenschaftspflicht des Verantwortlichen

II. Durchführung der Datenschutzfolgenabschätzung

1. Vorfragen

a) Verarbeitungsverzeichnis

b) Erforderlichkeit

2. Beteiligte Personen und Verhaltenskodex

a) Verantwortlicher und Datenschutzbeauftragter

b) Einbeziehung weiterer Personen

c) Code of Conduct

3. Beschreibung der Verarbeitungstätigkeit und Zusammenfassung des Ergebnisse

4. Risikobewertung und Festlegung der zu ergreifenden Maßnahmen

a) Identifizierung und Bewertung der Risiken

b) Ergriffene und geplante Maßnahmen

5. Konsultationspflicht bei weiterhin hohem Risiko

6. Prüfprozess und Wiederholung


I. Hintergrund

1. Risikominimierung

Die Datenschutzfolgenabschätzung ist im Zusammenhang mit der Rechenschaftspflicht des Verantwortlichen und dem risikobasierten Ansatz der DSGVO zu sehen. Seit dem Volkszählungsurteil des BVerfG galt der Grundsatz, dass es keine „belanglosen“ Daten gibt. Die unterschiedliche Gewichtung, vor allem auch bei den besonderen Arten personenbezogener Daten, zeigte sich vielmehr bei den zum Schutz der Daten bei der Verarbeitung durch den Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen.

Durch die Datenschutzfolgenabschätzung werden Risiken bestimmter Datenverarbeitungstätigkeiten für den Schutz personenbezogener Daten identifiziert und durch die Implementierung von geeigneten Maßnahmen minimiert. Damit geht Art. 35 DSGVO davon aus, dass bestimmte Verarbeitungstätigkeiten mit hohen Risiken für die Rechte und Freiheiten natürlicher Personen einhergehen können, und schreibt dem Verantwortlichen vor dem Einsatz der Verarbeitungstätigkeit die Durchführung einer Datenschutzfolgenabschätzung vor, ggf. mit der Verpflichtung zur Konsultation der Aufsichtsbehörde gem. Art. 36 DSGVO, die auch zu einer Untersagung führen kann, Art. 58 Abs. 2 lit. f DSGVO.

2. Risikobasierter Ansatz der DSGVO

Den Grundsatz der Angemessenheit der zu ergreifenden technischen und organisatorischen Maßnahmen führt die DSGVO nun unter besonderer Berücksichtigung des risikobasierten Ansatzes weiter. Die Verarbeitung von personenbezogenen Daten ist nicht deshalb unzulässig, weil die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Es ist eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchzuführen.

3. Rechenschaftspflicht des Verantwortlichen

Die DSGVO verlagert die Pflicht zur Durchführung der Datenschutzfolgenabschätzung und auch das Risiko der ordnungsgemäßen und zutreffenden Beurteilung der Datenschutzfolgen auf den Verantwortlichen. Die Mechanik ist vergleichbar mit der Beurteilung von Kartellverstößen: Es werden nicht bestimmte, konkret bezeichnete Tätigkeiten untersagt, sondern es obliegt dem Verantwortlichen, nicht nur die Datenschutzfolgenabschätzung ordnungsgemäß durchzuführen, sondern auch seine Überlegungen, die Maßstäbe, relevanten Faktoren und das Ergebnis seiner Einschätzung zu dokumentieren und zu einem zutreffenden Ergebnis zu gelangen, um dem Vorwurf des Kartellverstoßes zu begegnen. Die Bewertung, ob die Durchführung einer Datenschutzfolgenabschätzung erforderlich ist, welche Faktoren mit einzubeziehen sind, ob sie vollständig und wie sie zu gewichten sind und nicht zuletzt, ob das Ergebnis der Datenschutzfolgenabschätzung zutreffend ist, liegt allein beim Verantwortlichen. Dabei kann er sich, angelehnt an das Kartellrecht, an Positiv- und Negativlisten orientieren, die als Hilfestellung dienen.

II. Durchführung der Datenschutzfolgenabschätzung

1. Vorfragen

a) Verarbeitungsverzeichnis

Der Verantwortliche hat sich im Hinblick auf die Erforderlichkeit der Durchführung einer Datenschutzfolgenabschätzung folgende Vorfrage hinsichtlich der Grundlagen seiner Entscheidung zu stellen: Ist das Verarbeitungsverzeichnis bereits vollständig und alle Verarbeitungstätigkeiten darin dokumentiert? Das Verarbeitungsverzeichnis ist Dreh- und Angelpunkt für die Erfüllung der Pflichten des Verantwortlichen aus der DSGVO. 6 Sie sind so miteinander verwoben, dass der Verantwortliche ihnen nicht nachkommen kann, wenn er nicht eine Art Blaupause seiner Verarbeitungstätigkeiten hat, aus der er alle erforderlichen Informationen ziehen kann, die er benötigt.

Es empfiehlt sich (...)