Suche 
Im ersten Teil zur Datenschutz-Folgenabschätzung auf unserem Blog vom 07.05.2018 haben wir dargestellt, wann eine Datenschutz-Folgenabschätzung (im Folgenden: Folgenabschätzung) erforderlich ist. In diesem Blog Beitrag geben wir Ihnen nun praktische Empfehlungen dazu, wie die Datenschutz-Folgenabschätzung im einzelnen durchgeführt und sodann dokumentiert werden sollte. Ferner geben wir Empfehlungen dazu, wie im Falle eines verbleibenden hohen Restrisikos die Konsultation bei der zuständigen Aufsichtsbehörde durchzuführen ist.
Gesetzlicher Mindestinhalt sowie weitere nützliche Anleitungen
Ausgangspunkt für den erforderlichen Mindestinhalt nach der neuen Rechtslage ist Artikel 35 Abs. 7 DS-GVO. Wie bei allen Artikeln der DS-GVO finden sich in den Erwägungsgründen (EG), die Teil der DS-GVO sind, ergänzende Angaben und Auslegungshilfen, die Teil des anwendbaren Rechts sind. So gibt etwa EG 75 nähere Angaben dazu, was unter einem Risiko zu verstehen ist. EG 76 betrifft die Eintrittswahrscheinlichkeit sowie die Schwere des Risikos, welche für die Folgenabschätzung jeweils zu prüfen sind. EG 92 und 93 enthalten ergänzende Angaben zur Durchführung der DS-GVO. EG 94, 95 und 96 betreffen sodann das Konsultationsverfahren bei der Behörde.
Ergänzende, hilfreiche Angaben finden sich ferner in Kurzpapier Nr. 5, welches Teil der von den Aufsichtsbehörden aller Bundesländer gemeinsam verabschiedeten Kurzpapiere zur DS-GVO ist. Weitere, sehr konkrete und durchaus lesenswerte Angaben und Mustertexte finden sich auf den Webseiten der französischen Datenschutzbehörde CNIL (dort PIA, Privacy Impact Assessment genannt) und der englischen Datenschutzbehörde ICO.
Die Durchführung im Einzelnen: Inhalte
- Erforderlichkeit einer Folgenabschätzung
Es empfiehlt sich ein einleitender Absatz dazu, was die Folgenabschätzung erreichen soll, und wieso der Arbeitgeber davon ausgeht, dass eine Folgenabschätzung erforderlich sein dürfte. Hier könnte beispielsweise, etwa im Falle der Verwendung von Überwachungskameras oder von Zeiterfassungssoftware, auf die in Teil 1 (Blog vom 07.05.2018) zitierten und beschriebenen Veröffentlichungen der belgischen und der polnischen Datenschutzbehörde verwiesen werden.
- Systematische Beschreibung der geplanten Bearbeitungsvorgänge sowie der Zwecke
Im Rahmen der Beschreibung sollte möglichst ausführlich dargestellt werden, wie der Arbeitgeber Daten erfasst, verwendet, sammelt und sodann löscht. Hilfreich sind Angaben zu den Quellen der Daten sowie zu möglichen weiteren Empfängern. An dieser Stelle ist es hilfreich, interne, anonymisierte Unterlagen sowie Diagramme oder sonstige Unterlagen zur Veranschaulichung beizufügen. Sofern die Verarbeitung auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 f. DS-GVO erfolgt, ist dieses zu beschreiben.
Zu beschreiben sind auch Art und Umfang der verarbeiteten Daten sowie die Häufigkeit der Datenverarbeitung, und wie viele Arbeitnehmer oder sonstige Datensubjekte (Kunden/Besucher z. B.) davon betroffen sind. Ebenso sind Angaben dazu zu machen, welches der Erwartungshorizont der betroffenen Individuen, insbesondere der Arbeitnehmer ist, ob sie dieser Art der Datenverarbeitung erwarten und ob sie hierüber Kontrolle haben. Bei ungewöhnlichen oder neuen Verfahren oder besonders risikointensiven Verfahren sind auch hierzu Angaben zu machen. Schließlich ist auch das Ziel der Verarbeitung zu beschreiben.
- Konsultationsverfahren
Zu beschreiben ist, inwieweit im Falle von Arbeitnehmern eine Beratung mit den betroffenen Individuen, oder deren Vertretung durch Konzern-/Gesamt-/Betriebsrat stattgefunden hat. Beschrieben werden sollte ferner, welche weiteren fachkundigen Akteure innerhalb des Arbeitgeberunternehmens involviert waren, Datenschutzbeauftragter, externe Berater.
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
Zu prüfen ist, ob die beschriebenen Verarbeitungsvorgänge tatsächlich für den beschriebenen Zweck erforderlich, also zielführend sind, ferner ob sie verhältnismäßig sind, oder ob es weniger invasive Alternativen gibt.
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
Hier empfiehlt sich ein Brainstorming-Prozess mit allen internen und externen Experten zur Identifizierung von und sodann Prüfung daraus resultierender Risiken. Diese Risiken sollten untergliedert nach Eintrittswahrscheinlichkeit einerseits und etwaiger Schadenshöhe andererseits geprüft werden.
- Abhilfemaßnahmen
In einem nächsten Schritt sollten in Bezug auf das identifizierte Risiko Abhilfemaßnahmen geprüft werden. Hierunter sind vor allem technische und organisatorische Maßnahmen zu verstehen. Dabei ist darzustellen, wie die zuvor identifizierten Risiken hierdurch jeweils konkret minimiert oder beseitigt werden können. Ist dies nicht möglich, verbleibt ein Restrisiko, das als hoch, mittel oder gering einzustufen ist.
Dokumentation
Wichtig ist eine gründliche Dokumentation aller Erwägungen zu den soeben beschrittenen Prüfschritten sowie zu deren Umsetzung. Einmal erwogene Abhilfemaßnahmen sollen zunächst in ihrer Wirksamkeit geprüft werden, bevor sie bestätigt und final in die Folgenabschätzung eingefügt werden können. Schließlich sind auch die Stellungnahmen der verantwortlichen Entscheider innerhalb des Arbeitgeberunternehmens sowie auch des Datenschutzbeauftragten in der Dokumentation festzuhalten.
Die Folgenabschätzung ist kein einmaliger Prozess. Wenn sich Rahmenumstände verändern, ist sie erneut durchzuführen.
Konsultationsverfahren mit der Behörde
Wenn das Ergebnis des letzten soeben beschriebenen Prüfungsschrittes ist, dass die geplanten und ersichtlichen Abhilfemaßnahmen nicht ausreichen, um die identifizierten Risiken zu minimieren, sodass „die Verarbeitung ein hohes (Rest)Risiko zur Folge hätte“, so ist die zuständige Aufsichtsbehörde zu konsultieren. Das Konsultationsverfahren ist in Art. 36 DS-GVO beschrieben. Wichtig ist es, dass die Behörde mit sorgfältig vorbereiteten Unterlagen kontaktiert wird, bei denen sich die Möglichkeit für Rückfragen auf essentielle Rechtsfragen beschränkt.
Spannend ist hierbei auch in der anwaltlichen Beratung die Frage, wann von einem hohen Restrisiko auszugehen ist. Die Datenschutzaufsichtsbehörden haben naturgemäß kein Interesse daran, bei wenig risikoreichen Verarbeitungsprozessen konsultiert zu werden. Auf der anderen Seite trägt das prüfende Arbeitgeberunternehmen sowie der etwaige externe Berater das Risiko dafür, das Risiko zu leichtfertig nicht als hoch einzuschätzen. Hier muss insbesondere bei datenintensiven Verfahren eine sorgfältige Abwägung der Risiken und der Techniken zu ihrer Minimierung stattfinden.
Da die Übergangsfrist nun vorüber ist und die DS-GVO nun unmittelbare Anwendung findet, können Anträge auf Durchführung einer Konsultation bei den jeweils örtlich zuständigen Aufsichtsbehörden jetzt eingereicht werden, die sodann innerhalb einer Frist von einem Monat bzw. im Falle einer Verlängerung zwei Monaten zu bescheiden sind. Denkbare Reaktionen der Behörde sind neben Empfehlungen und Anweisungen auch die Untersagung der beabsichtigten Verarbeitung.
