06.05.2016

DSGVO: Was sind die möglichen Ergebnisse einer „Folgenabschätzung“?

Portrait von Niko Härting
Niko Härting

Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das Mitte 2018 in Kraft tritt. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).

Nach Art. 35 DSGVO ist der Verantwortliche verpflichtet, vor der Einführung eines neuen, risikoreichen Datenverarbeitungsverfahrens eine Folgenabschätzung vorzunehmen. Wie aber ist zu verfahren, wenn die Ergebnisse der Folgenabschätzung auf dem Tisch liegen?

Maßstab

Art. 35 DSGVO enthält keine Regeln zu den möglichen Ergebnissen einer Folgenabschätzung. Der Maßstab ist offenkundig sehr allgemein:

  • Entweder die Folgenabschätzung gelangt zu dem Ergebnis, dass das Verfahren datenschutzrechtlich zulässig ist mit der Folge, dass es eingesetzt werden kann.
  • Oder das Ergebnis ist negativ. Wegen Verstößen gegen das geltende Datenschutzrecht muss von dem Einsatz des Verfahrens Abstand genommen werden.

Zweifelsfälle

Für „Zweifelsfälle“ hält Art. 36 DSGVO eine Regelung bereit, die § 4 d Abs. 6 Satz 3 BDSG (dazu v. d. Bussche in: Plath, BDSG, 4d BDSG Rn. 19) entspricht. Ergibt die Folgenabschätzung, dass das neue Verfahren für die Betroffenen risikoreich ist, bedarf es einer Verständigung der zuständigen Aufsichtsbehörde:

„Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.“ (Art. 36 Abs. 1 DSGVO)

Verantwortlichkeit für Konsultation

Anders als nach § 4 d Abs. 6 Satz 3 BDSG (Einzelheiten bei v. d. Bussche in: Plath, BDSG, 4d BDSG Rn. 19) ist die Geschäftsleitung und nicht der Datenschutzbeauftragte für die Einschaltung der Aufsichtsbehörde verantwortlich.

Abschließender Kriterienkatalog

Art. 36 Abs. 3 DSGVO listet den abschließenden sechsteiligen Katalog an Informationen und Unterlagen auf, die der Aufsichtsbehörde zur Verfügung zu stellen sind:

„Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:

a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;

b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;

c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;

d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und

f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.“

Dauer einer Konsultation

Die Aufsichtsbehörde hat über die Zulässigkeit des Verfahrens innerhalb einer Regelfrist von acht Wochen zu entscheiden (Art. 36 Abs. 2 Satz 1 DSGVO).

Merke:

Wer eine pflichtgemäße Datenschutz-Folgenabschätzung versäumt und/oder die zuständige Aufsichtsbehörde entgegen Art. 36 DSGVO nicht konsultiert, riskiert ein Bußgeld von bis zu 10 Mio. EUR bzw. 2 % des gesamten weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Daher wird man jedem Unternehmen vor der Einführung eines neuen Verfahrens raten müssen, nicht nur eine Datenschutz-Folgenabschätzung vorzunehmen, sondern auch eine Abstimmung mit der Aufsichtsbehörde herbeizuführen.

Zurück